L’Agenzia dell’Unione Europea per la sicurezza informatica (ENISA) ha lanciato un invito a manifestare interesse per partecipare al gruppo di lavoro ad hoc competente per lo sviluppo dello schema di certificazione europeo dedicato ai Managed Security Services – MSS, in risposta alla richiesta della Commissione europea.
In un contesto in cui le minacce informatiche sono in continua evoluzione, i Managed Security Services stanno diventando un pilastro essenziale per la protezione di infrastrutture digitali pubbliche e private. Sempre più organizzazioni – dalle PMI alle grandi aziende, fino agli operatori di infrastrutture critiche – si affidano ai Managed Security Service Provider (MSSP) per gestire funzioni chiave della sicurezza informatica. Questo rende gli MSSP essenziali per la sicurezza informatica delle organizzazioni, ma li rende anche obiettivi primari di attacchi informatici. L’assenza di uno standard comune europeo rende tuttavia necessaria l’introduzione di un sistema di certificazione armonizzato.
Sviluppo dello schema di certificazione EUMSS
La crescente importanza dei Managed Security Services (MSS) all’interno del mercato unico europeo ha portato all’introduzione di un emendamento al Cybersecurity Act, entrato in vigore a febbraio 2025. L’emendamento definisce il ruolo degli MSS e prevde la creazione di un sistema di certificazione candidato. Si tratta di una misura strategica che rientra nell’impegno dell’UE nel rafforzare la sicurezza informatica, favorendo la prevenzione, il rilevamento, la risposta e il ripristino dagli incidenti cyber tramite l’adozione di servizi sicuri, regolamentati da criteri comuni.
Alla fine di aprile 2025, la Commissione Europea ha affidato a ENISA il compito di sviluppare questo nuovo schema di certificazione. L’iniziativa mira a superare le attuali disparità e frammentazioni tra gli Stati membri in merito all’erogazione e regolamentazione dei MSS, armonizzando le prassi attraverso requisiti condivisi. In particolare, il nuovo schema dovrà integrarsi con la normativa esistente, consolidando obblighi tecnici, operativi e organizzativi relativi alla sicurezza di tali servizi.
ENISA ha accolto con favore il mandato della Commissione, sottolineando che la certificazione dei servizi MSS rappresenta un passo decisivo verso il rafforzamento della fiducia e della qualità nell’ecosistema digitale europeo. Il mandato riconosce anche il valore del recente studio di fattibilità, che ha posto le basi per la definizione di un sistema di certificazione robusto ma adattabile.
Lo schema di certificazione EUMSS dovrebbe affrontare l’erogazione di MSS attraverso un modello completo ma flessibile che definisca requisiti orientati al servizio. Dal punto di vista strutturale, dovrebbe essere composto da livelli bidimensionali: un livello orizzontale che includa i requisiti minimi per tutti gli MSS e vari livelli verticali che raggruppino requisiti tecnici specifici per le diverse tipologie di MSS.
Come previsto dal Cybersecurity Solidarity Act, tutti i fornitori che intendono accedere alla EU Cybersecurity Reserve dovranno certificare i propri servizi entro due anni dall’entrata in vigore dello schema.
Il primo settore verticale ad essere affrontato riguarderà l’Incident Management Lifecycle, con particolare attenzione iniziale all’Incident Response Service Profile. Seguiranno, in una fase successiva, ulteriori profili dedicati a rilevamento e ripristino, completando così il quadro di riferimento per una gestione strutturata ed efficace degli incidenti di sicurezza informatica.
Invito a partecipare al Gruppo di Lavoro Ad Hoc dedicato
Per supportare lo sviluppo del sistema di certificazione EUMSS, ENISA istituirà un Gruppo di Lavoro Ad Hoc (AHWG) e invita esperti con una vasta conoscenza ed esperienza in certificazione e cybersecurity a candidarsi. I membri selezionati parteciperanno attivamente alle attività di progettazione dello schema.
Il bando per la manifestazione di interesse rimarrà aperto fino al 20/07/2025, entro le 23.59 EET (ora di Atene).
Per supportare la normativa europea, ENISA ha realizzato un’analisi preliminare del mercato dei Managed Security Services, esaminando domanda, offerta, modelli di utilizzo, requisiti, minacce, competenze e trend di settore.
Per scaricare il regolamento e per candidarsi si prega di visitare il seguente link ufficiale.
