EUCC: la certificazione UE che mette ordine nella sicurezza dei prodotti ICT
L’accreditamento degli organismi secondo lo schema EUCC rende comparabili le valutazioni della conformità sulla sicurezza dei prodotti ICT e sostiene le scelte consapevoli delle imprese e della PA nel mercato unico, riducendo rischi e incertezza.
Con l’avvio della certificazione accreditata EUCC per la sicurezza dei prodotti ICT, il quadro comunitario punta a rendere verificabili requisiti, prove e competenze lungo il ciclo di vita di prodotti e componenti.
Angelo Del Giudice, referente Industry & Digital Trust di Accredia, spiega a Milano Finanza il ruolo abilitante dell’accreditamento, che tutela imprese e PA.
Accredia verifica e attesta che gli organismi di certificazione e i laboratori di prova operino con competenza e imparzialità, secondo gli standard internazionali UNI CEI EN ISO/IEC 17065 e UNI CEI EN ISO/IEC 17025. Su questa base, le verifiche diventano confrontabili e utilizzabili nel mercato unico.
Lo schema di certificazione EUCC
EUCC (European Union Cybersecurity Certification) è lo schema europeo di certificazione della cybersicurezza pensato per superare requisiti “a geometria variabile” tra Paesi e sostenere un approccio comune alla qualificazione di hardware, software e, in alcuni casi, servizi digitali.
In concreto, EUCC può applicarsi a soluzioni e componenti ICT (ad esempio dispositivi di rete, autenticazione, moduli crittografici, componenti embedded), descrivendo in modo standardizzato cosa viene valutato e in quale contesto operativo.
Lo schema deriva dal Cybersecurity Act (Regolamento UE 2019/881) e si fonda sui Common Criteria, ossia criteri e procedure per valutare proprietà di sicurezza e livelli di garanzia.
A livello nazionale, l’attuazione dello schema si innesta sui sistemi dei singoli Paesi: in Italia l’Autorità competente è l’Agenzia per la Cybersicurezza Nazionale (ACN), con l’Organismo di Certificazione della Sicurezza Informatica (OCSI) che presidia il rilascio delle certificazioni.
La certificazione accreditata EUCC
Il meccanismo prevede che il produttore definisca requisiti di sicurezza e condizioni d’uso nella documentazione tecnica prevista dallo schema, mentre l’organismo di valutazione della conformità accreditato verifica tali dichiarazioni, analizzando la documentazione di progettazione e i risultati delle prove, con test e approfondimenti commisurati al livello di garanzia richiesto.
L’esito è un riferimento operativo per confrontare diverse soluzioni ICT, anche in fase di acquisto, e dimostrare, lungo la filiera del prodotto, che specifiche misure di sicurezza sono state valutate con un metodo comune riconosciuto a livello UE.
Nel tempo, la certificazione EUCC richiede di tenere conto di aggiornamenti e nuove vulnerabilità che possono incidere sul profilo di rischio.
I vantaggi della certificazione accreditata
Nel quadro europeo della cybersicurezza, la certificazione dei prodotti ICT non è un adempimento formale, ma uno strumento operativo a supporto delle decisioni.
Per imprese e Pubbliche Amministrazioni, disporre di certificazioni rilasciate da organismi accreditati significa poter confrontare soluzioni diverse, sulla base di requisiti verificati e livelli di garanzia dichiarati, riducendo incertezza e asimmetrie informative in fase di acquisto.
L’approccio favorisce una lettura più strutturata del rischio: la sicurezza non viene rappresentata come un valore assoluto, ma come un insieme di misure valutate in un contesto definito e con assunzioni esplicite. In questo senso, la certificazione accreditata diventa parte integrante della governance del rischio digitale, affiancando processi di progettazione, selezione dei fornitori e gestione del ciclo di vita del prodotto.
Questo modello è particolarmente rilevante anche per le piccole e medie imprese, che possono così fare affidamento su criteri riconosciuti a livello europeo per orientare investimenti, roadmap tecnologiche e relazioni lungo la filiera.
Il fattore strategico delle competenze
L’adozione della certificazione accreditata per la cybersicurezza dei prodotti ICT si inserisce in un quadro che rafforza la sicurezza “by design” e la responsabilità lungo il ciclo di vita.
In questo quadro, il tema delle competenze emerge come ambito complementare e altrettanto rilevante della valutazione della conformità. In Italia è già consolidata la certificazione dei professionisti, da parte di organismi accreditati secondo la norma UNI CEI EN ISO/IEC 17024.
Per le figure connesse all’Intelligenza Artificiale si profila, invece, un’evoluzione con la norma UNI 11621-8, che consentirà la valutazione delle competenze, delle abilità, delle conoscenze dei professionisti operanti in questo specifico settore.