La Commissione Europea ha adottato il regolamento attuativo relativo allo European cybersecurity certification scheme on Common Criteria (EUCC), un passo significativo nell’ambito della cybersecurity nell’UE. Questo schema è il primo del suo genere ad essere approvato e rappresenta un’importante pietra miliare verso l’obiettivo di un mercato unico digitale affidabile nell’Unione Europea.
Il risultato è pienamente in linea con il candidato schema di certificazione della sicurezza informatica sull’EUCC che ENISA ha redatto in risposta a una richiesta avanzata dalla Commissione Europea.
Nella stesura dello schema candidato, l’ENISA è stata supportata da un gruppo di lavoro ad hoc (AHWG) composto da esperti del settore e autorità nazionali di certificazione della sicurezza informatica (NCCA) degli Stati membri dell’UE, nonché con il sostegno e l’orientamento ricevuti dagli Stati membri tramite lo European Cybersecurity Certification Group (ECCG), nonché i contributi dello Stakeholder Cybersecurity Certification Group (SCCG).
Essendo il primo sistema di certificazione della cybersecurity dell’UE ad essere adottato, ci si aspetta che l’EUCC apra la strada ai prossimi schemi attualmente in preparazione. Anche se un atto di esecuzione fa parte dell’acquis comunitario, il quadro di certificazione della cybersecurity dell’UE è volontario. Nel tempo, l’EUCC sostituirà i sistemi di certificazione nazionali precedentemente previsti dall’accordo SOG-IS.
Cos’è l’EUCC?
Il nuovo schema EUCC, in linea con la legge sulla cybersecurity del 2019, fa parte del quadro di certificazione della sicurezza informatica dell’UE, progettato per aumentare il livello di sicurezza informatica dei prodotti, servizi e processi ICT nell’Unione Europea. Questo quadro stabilisce un insieme completo di norme, requisiti di standard tecnici, e procedure da applicare in tutta l’Unione.
Su base volontaria, l’EUCC consente ai fornitori ICT di sottoporsi a un processo di valutazione comune nell’UE per certificare prodotti ICT come chip, smartcard, hardware e software, offrendo così una prova di affidabilità. Basato sul collaudato quadro di valutazione SOG-IS Common Criteria, utilizzato già in 17 Stati membri dell’UE, l’EUCC propone due livelli di garanzia in base al rischio associato all’uso previsto del prodotto, servizio o processo, in termini di probabilità e impatto di un incidente.
Adattato alle esigenze degli Stati membri dell’UE attraverso ricerche e consultazioni approfondite, il sistema globale di certificazione dell’UE consente alle imprese europee di competere a livello nazionale, dell’Unione e globale. Si prevede che l’EUCC, insieme ad altri sistemi di certificazione dell’UE, sia un incentivo per i fornitori aderire ai requisiti di certificazione della sicurezza informatica. L’EUCC si inserisce nel vivace mercato delle certificazioni informatiche, contribuendo all’evoluzione delle metodologie di valutazione e degli organismi dedicati ai prodotti e servizi ICT.
Processo di adozione e fasi successive
L’ENISA, insieme al gruppo di lavoro ad hoc, ha compilato il programma candidato definendo i requisiti di sicurezza e i metodi di valutazione concordati. Dopo il parere positivo dell’ECCG, l’ENISA ha trasmesso la bozza dello schema alla Commissione Europea. Successivamente, l’atto attuativo è stato emesso dalla Commissione Europea seguendo la procedura di comitatologia.
Insieme al gruppo di lavoro ad hoc, l’ENISA ha compilato il programma candidato definendo e concordando i requisiti di sicurezza e i metodi di valutazione comunemente accettati.
L’ENISA ha trasmesso la bozza dello schema alla Commissione Europea dopo che l’ECCG ha espresso il suo parere. L’atto attuativo conseguentemente emanato dalla Commissione Europea è stato successivamente adottato secondo la relativa procedura denominata procedura di comitatologia.
L’atto prevede un periodo di transizione durante il quale le organizzazioni potranno beneficiare delle certificazioni esistenti nei sistemi nazionali di alcuni Stati membri selezionati. Gli organismi di valutazione della conformità interessati a valutare rispetto all’EUCC possono essere accreditati e notificati. I fornitori avranno la possibilità di convertire i loro certificati SOG-IS esistenti in certificati EUCC, previa valutazione delle loro soluzioni rispetto ai requisiti aggiunti o aggiornati come specificato nell’EUCC
I certificati emessi nell’ambito dell’EUCC saranno pubblicati dall’ENISA, che metterà a disposizione sul suo sito web l’atto di attuazione e documenti di supporto come allegati, documenti sullo stato dell’arte e linee guida. Inoltre, l’ENISA proporrà materiale di supporto, inclusi video sugli ultimi sviluppi del sistema, per favorire la comprensione e l’attuazione del processo di certificazione.
Altri schemi di certificazione della cybersecurity dell’UE
L’ENISA è attualmente impegnata nello sviluppo di altri due schemi di certificazione della sicurezza informatica nell’UE: EUCS per i servizi cloud e EU5G per la sicurezza 5G. Inoltre, l’Agenzia ha avviato uno studio di fattibilità sui requisiti di certificazione della sicurezza informatica sull’intelligenza artificiale e sta collaborando con la Commissione europea e gli Stati membri per definire una strategia di certificazione per l’eIDAS/wallet. Recentemente, la Commissione Europea ha proposto un emendamento al Cybersecurity Act che prevede uno schema per i servizi di sicurezza gestiti (MSSP).
Il Direttore Esecutivo dell’EU Agency for Cybersecurity, Juhan Lepassaar, ha evidenziato che l’adozione del primo sistema di certificazione della cybersecurity rappresenta una pietra miliare verso un mercato unico digitale affidabile nell’UE ed è un pezzo del puzzle del quadro di certificazione della sicurezza informatica dell’UE attualmente in fase di elaborazione”.
Ulteriori informazioni
https://www.enisa.europa.eu/news/an-eu-prime-eu-adopts-first-cybersecurity-certification-scheme
