Il quadro di certificazione della cibersicurezza dell'UE

La certificazione svolge un ruolo cruciale nell'aumentare la fiducia e la sicurezza in prodotti e servizi importanti per il mondo digitale. Attualmente nell'UE esistono diversi sistemi di certificazione di sicurezza per i prodotti TIC. Tuttavia, senza un quadro comune per i certificati di cibersicurezza validi a livello dell'UE, vi è un crescente rischio di frammentazione e barriere tra gli Stati membri.

Il quadro di certificazione fornirà sistemi di certificazione a livello dell'UE come un insieme completo di norme, requisiti tecnici, norme e procedure. Il quadro si baserà su un accordo a livello dell'UE sulla valutazione delle proprietà di sicurezza di uno specifico prodotto o servizio basato sulle TIC. Esso attesterà che i prodotti e i servizi TIC certificati conformemente a tale sistema sono conformi ai requisiti specificati.

In particolare, ciascun regime europeo dovrebbe specificare:

• le categorie di prodotti e servizi coperti;
• i requisiti di cibersicurezza, quali norme o specifiche tecniche;
• il tipo di valutazione, come l'autovalutazione o il terzo;
• il livello di affidabilità previsto.

I livelli di affidabilità sono utilizzati per informare gli utenti del rischio di cibersicurezza di un prodotto e possono essere di base, sostanziali e/o elevati. Sono commisurati al livello di rischio associato all'uso previsto del prodotto, servizio o processo, in termini di probabilità e impatto di un incidente. Un alto livello di garanzia significherebbe che il prodotto certificato ha superato i più alti test di sicurezza.

Il certificato risultante sarà riconosciuto in tutti gli Stati membri dell'UE, rendendo più facile per le imprese commerciare oltre frontiera e per gli acquirenti comprendere le caratteristiche di sicurezza del prodotto o del servizio.

Sistema comune di certificazione della cibersicurezza basato su criteri

Il primo schema adottato nell'ambito del quadro di certificazione del Cybersecurity Act si basa sul rinomato standard internazionale Common Criteria, utilizzato per rilasciare certificati in Europa da quasi 30 anni. Lo schema sfrutta l'alta reputazione dei fornitori e dei certificati europei utilizzando la certificazione Common Criteria-based in tutto il mondo. 

Il sistema si applicherà su base volontaria a livello dell'UE e si concentrerà sulla certificazione della cibersicurezza dei prodotti TIC nel loro ciclo di vita: sistemi biometrici, firewall (hardware e software), piattaforme di rilevamento e risposta, router, switch, software specializzati (come sistemi SIEM e IDS/IDP), diodi di dati, sistemi operativi (anche per dispositivi mobili), archivi crittografati, banche dati nonché smart card ed elementi di sicurezza inclusi in tutti i tipi di prodotti, come nei passaporti quotidianamente utilizzati da tutti i cittadini. 

Programma di lavoro permanente dell'Unione per la certificazione europea della cibersicurezza (URWP)

L'atto dell'UE sulla cibersicurezza prevede la pubblicazione da parte della Commissione di un programma di lavoro permanente dell'Unione per la certificazione europea della cibersicurezza, un documento che definisce una visione strategica e riflessioni su possibili settori per i futuri sistemi europei di certificazione della cibersicurezza, tenendo conto dei recenti sviluppi legislativi e di mercato. 

Tenendo conto della legge sulla resilienza informatica (CRA) e di altri sviluppi legislativi, come il regolamento europeo sull'identità digitale, il primo piano d'azione per la sicurezza informatica indica settori per i futuri sistemi europei di certificazione della cibersicurezza connessi agli sviluppi legislativi e settori di riflessione futura in materia di certificazione della cibersicurezza, che potrebbero eventualmente portare a richieste di nuovi sistemi, ove necessario e opportuno. Inoltre, delinea le priorità strategiche da prendere in considerazione nella preparazione di qualsiasi sistema europeo di certificazione della cibersicurezza. 

L'URWP sottolinea come settori per la futura certificazione europea della cibersicurezza connessa alla legislazione dell'UE, in particolare i portafogli identificativi e i servizi di sicurezza gestiti.  Altre aree potrebbero includere i sistemi di automazione e controllo industriali e lo sviluppo del ciclo di vita della sicurezza sulla base dei requisiti CRA e dei meccanismi crittografici.  

Gruppo europeo di certificazione della cibersicurezza 

Il gruppo europeo di certificazione della cibersicurezza (ECCG) è stato istituito per contribuire a garantire l'attuazione e l'applicazione coerenti della legge sulla cibersicurezza. È composto da rappresentanti delle autorità nazionali di certificazione della cibersicurezza o da rappresentanti di altre autorità nazionali competenti. L'ECCG è strumentale per la preparazione dello schema di certificati candidati e per l'attuazione generale del quadro di certificazione.

Gruppo di certificazione per la cibersicurezza degli stakeholder

A seguito dell'entrata in vigore della legge sulla cibersicurezza nel 2019, è stato istituito il Stakeholder Cybersecurity Certification Group (SCCG). 

L'SCCG è responsabile della consulenza alla Commissione e all'ENISA sulle questioni strategiche relative alla certificazione della cibersicurezza e dell'assistenza alla Commissione nella preparazione del programma di lavoro a rotazione dell'Unione. Si tratta del primo gruppo di esperti delle parti interessate per la certificazione della cibersicurezza lanciato dalla Commissione europea.

Segui i lavori del Gruppo