Quadro di certificazione della cibersicurezza dell'UE

Il quadro di certificazione della cibersicurezza per i prodotti delle tecnologie dell'informazione e della comunicazione (TIC) dell'UE consente sistemi di certificazione dell'UE su misura e basati sul rischio.

La certificazione svolge un ruolo cruciale nell'aumentare la fiducia e la sicurezza in prodotti e servizi critici per il mondo digitale. Attualmente nell'UE esistono diversi sistemi di certificazione della sicurezza per i prodotti TIC. Tuttavia, in assenza di un quadro comune per i certificati di cibersicurezza validi a livello dell'UE, vi è un rischio crescente di frammentazione e di barriere tra gli Stati membri.

Il quadro di certificazione

Il quadro di certificazione fornirà sistemi di certificazione a livello dell'UE sotto forma di un insieme completo di norme, requisiti tecnici, norme e procedure. Il quadro si baserà su un accordo a livello dell'UE sulla valutazione delle proprietà di sicurezza di uno specifico prodotto o servizio basato sulle TIC. Essa attesterà che i prodotti e i servizi TIC che sono stati certificati conformemente a tale sistema sono conformi ai requisiti specificati.

In particolare, ciascun sistema europeo dovrebbe specificare:

le categorie di prodotti e servizi coperti;
i requisiti di cibersicurezza, quali norme o specifiche tecniche;
il tipo di valutazione, come l'autovalutazione o la terza parte;
Il livello di garanzia previsto.

I livelli di affidabilità vengono utilizzati per informare gli utenti del rischio di sicurezza informatica di un prodotto e possono essere di base, sostanziali e / o elevati. Sono commisurati al livello di rischio associato all'uso previsto del prodotto, del servizio o del processo, in termini di probabilità e impatto di un incidente. Un alto livello di garanzia significherebbe che il prodotto certificato ha superato i più alti test di sicurezza.

Il certificato risultante

Il certificato risultante sarà riconosciuto in tutti gli Stati membri dell'UE, rendendo più facile per le imprese operare a livello transfrontaliero e per gli acquirenti comprendere le caratteristiche di sicurezza del prodotto o del servizio.

Per saperne di più sul lavoro svolto in materia di certificazione informatica dell'UE, consultare la certificazione della cibersicurezza dell'ENISA.

Il sistema di certificazione della cibersicurezza dell'UE relativo ai criteri comuni (EUCC)

Il primo schema adottato nell'ambito del quadro di certificazione del Cybersecurity Act si basa sul rinomato standard internazionale Common Criteria, utilizzato per il rilascio di certificati in Europa da quasi 30 anni. Il sistema sfrutta l'elevata reputazione dei fornitori e dei certificatori europei che utilizzano la certificazione basata sui criteri comuni in tutto il mondo. Il regime inizierà a essere disponibile per i venditori a partire dal 27 febbraio 2025.

Il sistema si applicherà a livello dell'UE, su base volontaria, e si concentrerà sulla certificazione della cibersicurezza dei prodotti TIC nel loro ciclo di vita, tra cui:

Sistemi biometrici
Firewall (sia hardware che software)
Piattaforme di rilevamento e risposta
Router
Interruttori
Software specializzati (come sistemi SIEM e IDS/IDP)
Diodi di dati
Sistemi operativi (anche per dispositivi mobili)
Stoccaggi crittografati
Banche dati
Smart card ed elementi di sicurezza inclusi in tutti i tipi di prodotti, come i passaporti utilizzati quotidianamente da tutti i cittadini.

Per saperne di più sull'EUCC, consultare il sito web dell'ENISA dedicato alla certificazione.

Programma di lavoro evolutivo dell'Unione per la certificazione europea della cibersicurezza (URWP)

Il programma di lavoro evolutivo dell'Unione (URWP) sulla certificazione europea della cibersicurezza è stato pubblicato contemporaneamente al primo sistema di certificazione della cibersicurezza a livello dell'UE (EUCC). Il primo URWP delinea le priorità strategiche per i futuri sistemi europei di certificazione della cibersicurezza, tenendo conto dei recenti sviluppi legislativi e di mercato, quali la legge sulla ciberresilienza (CRA) e il regolamento europeo sull'identità digitale. Ciò potrebbe eventualmente portare a richieste di nuovi regimi, ove necessario e opportuno. Delinea inoltre le priorità strategiche da prendere in considerazione nella preparazione di qualsiasi sistema europeo di certificazione della cibersicurezza.

L'URWP sottolinea i seguenti settori per la futura certificazione europea della cibersicurezza legata alla legislazione dell'UE:

Portafogli ID
Servizi di sicurezza gestiti
Automazione industriale e sistemi di controllo
Sviluppo del ciclo di vita della sicurezza sulla base dei requisiti delle agenzie di rating del credito
Meccanismi crittografici

Gruppo europeo per la certificazione della cibersicurezza (ECCG)

Il gruppo europeo per la certificazione della cibersicurezza (ECCG) è stato istituito per contribuire a garantire l'attuazione e l'applicazione coerenti del regolamento sulla cibersicurezza. È composto da rappresentanti delle autorità nazionali di certificazione della cibersicurezza o da rappresentanti di altre autorità nazionali competenti. L'ECCG è fondamentale per la preparazione del sistema di certificazione candidato e per l'attuazione generale del quadro di certificazione.

Il gruppo di certificazione della cibersicurezza delle parti interessate (SCCG)

A seguito dell'entrata in vigore del regolamento sulla cibersicurezza nel 2019, è stato istituito lo Stakeholder Cybersecurity Certification Group (SCCG).

Il gruppo ha il compito di fornire consulenza alla Commissione e all'ENISA su questioni strategiche relative alla certificazione della cibersicurezza e di assistere la Commissione nella preparazione del programma di lavoro evolutivo dell'Unione. Si tratta del primo gruppo di esperti delle parti interessate per la certificazione della cibersicurezza istituito dalla Commissione europea.

Segui i lavori del gruppo

Ultime notizie

Comunicato stampa
28 Marzo 2025

La Commissione investirà 1,3 miliardi di € nell'intelligenza artificiale, nella cibersicurezza e nelle competenze digitali

La Commissione stanzierà 1,3 miliardi di € per la diffusione di tecnologie critiche di importanza strategica per il futuro dell'Europa e la sovranità tecnologica del continente attraverso il programma di lavoro Europa digitale (DIGITAL) per il periodo 2025-2027 adottato oggi.

Image representing the EU flag next to the Republic of Korea flag

Comunicato stampa
10 Marzo 2025

L'UE e la Corea approfondiscono i legami con l'accordo storico sul commercio digitale

L'UE e la Repubblica di Corea hanno concluso i negoziati per un importante accordo sul commercio digitale, sottolineando il loro impegno a favore di un partenariato forte e affidabile, in grado di far fronte ai rapidi sviluppi digitali odierni.

Digital illustration of a glowing padlock icon surrounded by circuit board patterns and data streams, representing cybersecurity and data protection.

Comunicato stampa
24 Febbraio 2025

La Commissione lancia un nuovo piano per la cibersicurezza per rafforzare il coordinamento dell'UE in caso di crisi informatiche

Oggi la Commissione ha presentato una proposta per garantire una risposta efficace ed efficiente agli incidenti informatici su vasta scala.

Comunicato stampa
21 Febbraio 2025

La Commissione e l'alto rappresentante presentano azioni incisive per migliorare la sicurezza dei cavi sottomarini

Il 21 febbraio a Helsinki, Finlandia, la vicepresidente esecutiva Henna Virkkunen ha presentato la comunicazione congiunta della Commissione e dell'AR/VP volta a rafforzare la sicurezza e la resilienza dei cavi sottomarini.

Sfoglia @temi

Contenuti correlati

Quadro generale

Politiche in materia di cibersicurezza

L'Unione europea lavora su vari fronti per promuovere la ciberresilienza, salvaguardare la nostra comunicazione e i nostri dati e mantenere la sicurezza della società e dell'economia online.