Quadro dell'UE per la certificazione della cibersicurezza

La certificazione svolge un ruolo cruciale nell'aumentare la fiducia e la sicurezza nei prodotti e servizi critici per il mondo digitale. Attualmente nell'UE esistono diversi sistemi di certificazione della sicurezza per i prodotti TIC. Tuttavia, in assenza di un quadro comune per i certificati di cibersicurezza validi a livello dell'UE, vi è un rischio crescente di frammentazione e barriere tra gli Stati membri.

Il quadro di certificazione

Il quadro di certificazione fornirà sistemi di certificazione a livello dell'UE come un insieme completo di norme, requisiti tecnici, norme e procedure. Il quadro si baserà su un accordo a livello dell'UE sulla valutazione delle proprietà di sicurezza di uno specifico prodotto o servizio basato sulle TIC. Attesterà che i prodotti e i servizi TIC che sono stati certificati conformemente a tale sistema sono conformi ai requisiti specificati.

In particolare, ciascun regime europeo dovrebbe specificare:

• le categorie di prodotti e servizi interessati;
• i requisiti di cibersicurezza, quali norme o specifiche tecniche;
• il tipo di valutazione, come l'autovalutazione o la terza parte;
• il livello di garanzia previsto.

I livelli di affidabilità sono utilizzati per informare gli utenti del rischio di sicurezza informatica di un prodotto e possono essere di base, sostanziali e / o elevati. Sono commisurati al livello di rischio associato all'uso previsto del prodotto, del servizio o del processo, in termini di probabilità e impatto di un incidente. Un livello di garanzia elevato significherebbe che il prodotto certificato ha superato i test di sicurezza più elevati.

Il certificato risultante

Il certificato risultante sarà riconosciuto in tutti gli Stati membri dell'UE, rendendo più facile per le imprese commerciare a livello transfrontaliero e per gli acquirenti comprendere le caratteristiche di sicurezza del prodotto o del servizio.

Per saperne di più sul lavoro svolto sulla certificazione informatica dell'UE, consultare la certificazione di cibersicurezza dell'ENISA.

Il primo sistema di certificazione della cibersicurezza dell'UE basato su criteri comuni (EUCC)

Il primo sistema adottato nell'ambito del quadro di certificazione del Cybersecurity Act si basa sul rinomato standard internazionale Common Criteria, utilizzato per rilasciare certificati in Europa da quasi 30 anni. Il sistema sfrutta l'elevata reputazione dei fornitori e dei certificatori europei che utilizzano la certificazione basata sui criteri comuni in tutto il mondo. Il regime inizierà a essere disponibile per i venditori a partire dal 27 febbraio 2025.

Il sistema si applicherà a livello dell'UE, su base volontaria, e si concentrerà sulla certificazione della cibersicurezza dei prodotti TIC nel loro ciclo di vita, tra cui:

• Sistemi biometrici
• Firewall (sia hardware che software)
• Piattaforme di rilevamento e risposta
• Router
• Interruttori
• Software specializzati (come i sistemi SIEM e IDS/IDP)
• Diodi di dati
• Sistemi operativi (anche per dispositivi mobili)
• Archiviazione crittografata
• Banche dati
• Carte intelligenti ed elementi di sicurezza inclusi in tutti i tipi di prodotti, come i passaporti utilizzati quotidianamente da tutti i cittadini. 

Per saperne di più sull'EUCC, consultare il sito web della certificazione ENISA.

Un quadro europeo rinnovato di certificazione della cibersicurezza

Il 20 gennaio 2026 la Commissione ha proposto una legge riveduta sulla cibersicurezza che rinnova il quadro europeo di certificazione della cibersicurezza (ECCF). La proposta garantirà che i prodotti e i servizi che raggiungono i consumatori dell'UE siano testati per la sicurezza in modo più efficiente. Il nuovo ECCF porterà maggiore chiarezza e procedure più semplici per lo sviluppo di regimi entro 12 mesi per impostazione predefinita. Introdurrà inoltre una governance più agile e trasparente per coinvolgere meglio le parti interessate attraverso l'informazione e la consultazione del pubblico.

I sistemi di certificazione, gestiti dall'ENISA, diventeranno uno strumento pratico e volontario per le imprese. Consentiranno alle imprese di dimostrare la conformità alla legislazione dell'UE, riducendo gli oneri e i costi. Per i cittadini, le imprese e le autorità pubbliche dell'UE, garantirà un elevato livello di sicurezza e fiducia nelle complesse catene di approvvigionamento delle TIC. 

Programma di lavoro continuativo dell'Unione per la certificazione europea della cibersicurezza (URWP)

Il programma di lavoro continuo dell'Unione sulla certificazione europea della cibersicurezza è stato pubblicato contemporaneamente al primo sistema di certificazione della cibersicurezza a livello dell'UE (EUCC). Il primo programma delinea le priorità strategiche per i futuri sistemi europei di certificazione della cibersicurezza, tenendo conto dei recenti sviluppi legislativi e di mercato, come il regolamento sulla ciberresilienza e il regolamento sull'identità digitale europea. Ciò potrebbe eventualmente portare a richieste di nuovi regimi, ove necessario e opportuno. Delinea inoltre le priorità strategiche da prendere in considerazione nella preparazione di qualsiasi sistema europeo di certificazione della cibersicurezza. 

L'URWP sottolinea i seguenti settori per la futura certificazione europea della cibersicurezza legata alla legislazione dell'UE:

• Portafogli ID
• Servizi di sicurezza gestiti
• Automazione Industriale e Sistemi di Controllo
• Sviluppo del ciclo di vita della sicurezza sulla base dei requisiti delle agenzie di rating del credito
• Meccanismi crittografici

Gruppo europeo per la certificazione della cibersicurezza (ECCG)

Il gruppo europeo per la certificazione della cibersicurezza (ECCG) è stato istituito per contribuire a garantire l'attuazione e l'applicazione coerenti del regolamento sulla cibersicurezza. È composto da rappresentanti delle autorità nazionali di certificazione della cibersicurezza o da rappresentanti di altre autorità nazionali competenti. L'ECCG è fondamentale per la preparazione del sistema di certificati candidati e per l'attuazione generale del quadro di certificazione.

Gruppo delle parti interessate per la certificazione della cibersicurezza (SCCG)

A seguito dell'entrata in vigore del regolamento sulla cibersicurezza nel 2019, è stato istituito il gruppo delle parti interessate per la certificazione della cibersicurezza (SCCG). 

L'SCCG è responsabile della consulenza alla Commissione e all'ENISA su questioni strategiche relative alla certificazione della cibersicurezza e dell'assistenza alla Commissione nella preparazione del programma di lavoro progressivo dell'Unione (URWP). Si tratta del primo gruppo di esperti delle parti interessate per la certificazione della cibersicurezza lanciato dalla Commissione europea.

Segui il lavoro del Gruppo