La Commissione Europea ha adottato il regolamento di esecuzione relativo al primo sistema di certificazione della Cybersecurity dell’UE basato su criteri comuni (EUCC) elaborato da ENISA.
Sistema UE
Il sistema europeo di cybersecurity sui criteri comuni (EUCC) elaborato dall’Agenzia dell’Unione europea per la Cybersecurity (ENISA) è stato adottato come primo sistema nell’ambito del quadro di certificazione della cybersecurity dell’UE.
Il risultato è pienamente in linea con il sistema di certificazione della cybersecurity proposto sull’EUCC che l’ENISA ha redatto in risposta a una richiesta formulata dalla Commissione europea. Nell’elaborare il sistema, l’ENISA è stata supportata da un gruppo di lavoro ad hoc composto da esperti del settore provenienti da tutto il settore e dalle autorità nazionali di certificazione della cybersecurity (NCCA) degli Stati membri dell’UE.
Essendo il primo sistema di certificazione della cybersecurity dell’UE ad essere adottato, si prevede che l’EUCC apra la strada ai prossimi sistemi attualmente in preparazione. Mentre un atto di esecuzione fa parte del diritto comunitario, il quadro di certificazione della cybersecurity è volontario. Col tempo, l’EUCC sostituirà i sistemi di certificazione nazionali precedentemente previsti dall’accordo SOG-IS.
Che cos’è l’EUCC?
Come previsto dal regolamento sulla cybersecurity del 2019, il nuovo sistema rientra nel quadro di certificazione della cybersecurity dell’UE. L’obiettivo di questo quadro era aumentare il livello di cybersecurity dei prodotti, dei servizi e dei processi TIC nel mercato dell’UE. A tal fine, stabilisce un insieme completo di norme, requisiti e procedure da applicare in tutta l’Unione Europea.
Su base volontaria, il nuovo sistema EUCC consente ai fornitori di TIC che desiderano esibire una prova di affidabilità di sottoporsi a un processo di valutazione comunemente compreso a livello dell’UE per certificare i prodotti TIC come componenti tecnologici (chip, smartcard), hardware e software.
Il sistema si basa sul collaudato quadro di valutazione dei criteri comuni SOG-IS, già utilizzato in 17 Stati membri dell’UE. Propone due livelli di garanzia basati sul livello di rischio associato all’uso previsto del prodotto, del servizio o del processo, in termini di probabilità e impatto di un incidente.
Sulla base di approfondite ricerche e consultazioni, il sistema globale è stato adattato alle esigenze degli Stati membri dell’UE. I meccanismi di certificazione a livello dell’Unione consentono pertanto alle imprese europee di competere a livello nazionale, dell’Unione e mondiale.
In altre parole, ci si aspetta che i sistemi di certificazione dell’UE come l’EUCC rappresentino anche un incentivo per i fornitori ad aderire ai requisiti di certificazione della cybersecurity. L’EUCC entra nel mercato delle certificazioni cyber studiate nel nuovo rapporto pubblicato dall’ENISA, portando avanti l’evoluzione del numero di metodologie e organismi di valutazione dedicati ai prodotti e servizi ICT.
Processo di adozione e prossime tappe
Insieme al gruppo di lavoro ad hoc, l’ENISA ha predisposto il sistema candidato con i requisiti di sicurezza e i metodi di valutazione comunemente accettati definiti e concordati.
L’ENISA ha trasmesso il progetto di schema alla Commissione europea dopo che l’ECCG ha emesso il suo parere. L’atto di esecuzione emanato dalla Commissione europea è stato successivamente adottato secondo la procedura pertinente nota come procedura del comitato.
L’atto adottato prevede un periodo di transizione durante il quale le organizzazioni potranno ancora beneficiare delle certificazioni esistenti nell’ambito dei sistemi nazionali in Stati membri selezionati. Gli organismi di valutazione della conformità (CAB) interessati a valutare in base all’EUCC possono essere accreditati e notificati. I fornitori saranno in grado di convertire i loro certificati SOG-IS esistenti in certificati EUCC dopo aver valutato le loro soluzioni rispetto ai requisiti aggiunti o aggiornati come specificato nell’EUCC.
I certificati rilasciati nell’ambito dell’EUCC saranno pubblicati dall’ENISA. L’ENISA pubblica inoltre l’atto di esecuzione e i documenti giustificativi, quali allegati, documenti sullo stato dell’arte e orientamenti, sul sito web dedicato alla certificazione. Anche l’Agenzia dell’Unione europea per la Cybersecurity propone materiale di supporto, tra cui un video sugli ultimi sviluppi del sistema e a sostegno della sua attuazione.
Altri sistemi certificazione Cybersecurity UE
L’ENISA sta attualmente lavorando ad altri due sistemi di certificazione della cybersecurity, EUCS sui servizi cloud e EU5G sulla sicurezza del 5G. L’Agenzia ha inoltre intrapreso uno studio di fattibilità sui requisiti di certificazione della cybersecurity dell’UE per l’IA e sta sostenendo la Commissione europea e gli Stati membri nella definizione di una strategia di certificazione per l’eIDAS/portafoglio. Più di recente, la Commissione europea ha proposto una modifica al Cybersecurity Act che prevede un sistema per i servizi di sicurezza gestiti (MSSP).
Regolamento Unione Europea 31 gennaio 2024, n. 482
REGOLAMENTO DI ESECUZIONE (UE) 2024/482 DELLA COMMISSIONE del 31 gennaio 2024 recante modalità di applicazione del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio per quanto riguarda l’adozione del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC).
Fonte: Enisa – European Union Agency for Cybersecurity
Per approfondire
- Atto di esecuzione dell’UE 31.1.2024
- Report on Cybersecurity Market Assessments
- Public consultation on the European Common Criteria – based cybersecurity certification scheme (EUCC)
- Cybersecurity Act and Cybersecurity Certification Framework