L’Unione Europea ha finalmente adottato il primo sistema europeo di certificazione in materia di cyber security che stabilisce un insieme di norme, procedure, regole e requisiti tecnici a cui vendor e fornitori di prodotti, servizi e processi ICT dovranno guardare con estremo interesse e attenzione.
L’obiettivo del nuovo sistema di certificazione è quello di aumentare e garantire il livello di affidabilità e di sicurezza dei prodotti, servizi e processi ICT immessi nel mercato dell’UE, attraverso la certificazione di hardware, software e componenti tecnologici (e.g., chip, smartcard).
Con l’European Union Cybersecurity Certification Scheme on Common Criteria (EUCC), che è solo il primo dei sistemi di certificazione della cibersicurezza attesi, è innegabile che l’Unione abbia compiuto un passo fondamentale nel consolidamento della propria strategia mirata ad innalzare i livelli di sicurezza cibernetica all’interno del mercato tecnologico e digitale europeo.
Ddl cyber security, l’Italia potenzia la guerra al cybercrime ma non basta: ecco perché
Indice degli argomenti
Sistema UE di certificazione cyber: il contesto normativo
Già dal 2019, con l’entrata in vigore del Cybersecurity Act, l’Unione Europea ha introdotto uno strumento normativo volto ad istituire un preciso quadro regolatorio sulla certificazione della sicurezza cibernetica di prodotti ICT e servizi digitali.
Infatti, il Cybersecurity Act ha stabilito il c.d. quadro europeo di certificazione della cibersicurezza, teso ad introdurre all’interno del mercato europeo dei sistemi di certificazione della cibersicurezza.
Tale attività è stata affidata principalmente all’ENISA, l’Agenzia per la cybersicurezza dell’Unione Europea, attraverso l’attribuzione di compiti e funzioni di promozione dell’uso delle suddette certificazioni e di incremento della trasparenza del livello di sicurezza dei prodotti ICT.
Lo European Union Cybersecurity Certification Scheme on Common Criteria (“EUCC”) è stato adottato proprio seguendo l’iter previsto dal Cybersecurity Act, secondo cui, dopo l’iniziale richiesta formulata dalla Commissione, l’ENISA – anche attraverso il contributo di un gruppo di lavoro istituito ad hoc – ha predisposto il sistema di certificazione oggi approvato.
Il regime di certificazione introdotto dall’EUCC
L’EUCC è un sistema di certificazione ad adesione volontaria che si applica a tutti i prodotti ICT, inclusi:
- i relativi documenti richiesti durante l’iter di certificazione;
- i Protection Profile forniti per l’ottenimento della certificazione e che evidenziano i processi ICT che stabiliscono i requisiti di sicurezza per i prodotti ICT.
Come detto, gli standard di valutazione per le certificazioni ai sensi dell’EUCC sono costituiti dallo standard Common Criteria (i.e., ISO/IEC 15408) e dalla metodologia CEM (i.e., ISO/IEC 18045).
I livelli di affidabilità
L’EUCC prevede due livelli di affidabilità per i prodotti ICT: quello “sostanziale” e quello “elevato”.
Tuttavia, diversamente da quanto stabilito dal Cybersecurity Act, il sistema non considera in alcun modo un livello c.d. “di base”, né disciplina la possibilità che la conformità dei prodotti sia attestata da un’autovalutazione del fabbricante o del fornitore.
È opportuno precisare che il livello di affidabilità viene sempre commisurato al livello del rischio associato al previsto uso del prodotto, servizio o processo ICT, in termini di probabilità e impatto di un incidente e, a seconda dei casi previsti, permette di comprendere se un prodotto, servizio o processo ICT soddisfi requisiti di sicurezza più o meno stringenti.
Valutazione e ottenimento della certificazione dei prodotti ICT
Nel procedimento di certificazione, il richiedente è tenuto a fornire all’ente di certificazione e all’ITSEF (“Information Technology Security Evaluation Facility”) tutte le informazioni necessarie a tal fine, inclusa evidenza di quanto richiesto dal Common Criteria e dalla CEM, nonché i dettagli del prodotto ICT e del suo codice sorgente, ove necessario.
Inoltre, è richiesto il link al sito web del richiedente e alle informazioni supplementari sulla cibersicurezza del prodotto (e.g., raccomandazioni per l’uso dei prodotti, il periodo di assistenza garantita ecc.), nonché una descrizione delle procedure di gestione e segnalazione delle vulnerabilità.
In ultimo, ai fini della certificazione EUCC, possono essere valutate anche altre certificazioni ottenute precedentemente dal richiedente per il prodotto ICT da valutare.
La validità della certificazione viene stabilita dall’ente certificatore in virtù delle specifiche caratteristiche del prodotto ICT esaminato, e comunque entro un limite di cinque anni, a meno che un termine più ampio sia autorizzato dall’autorità di certificazione nazionale.
Successivamente, la certificazione EUCC può essere sottoposta alla revisione dell’ente, qualora il detentore ne faccia richiesta o per altre ragioni motivate, alla rivalutazione da parte dell’ITSEF e, conseguenzialmente, ad un regime di sospensione o revoca.
Il monitoraggio della conformità
Il sistema EUCC prevede un ampio ed articolato regime di monitoraggio del livello di conformità agli obblighi del Cybersecurity Act da parte degli enti di certificazione, dell’ITSEF e dei detentori delle certificazioni.
Invece, dei prodotti ICT certificati deve essere monitorato il livello di compliance ai requisiti e gli standard EUCC.
Le attività di monitoraggio affidate alle autorità nazionali di certificazione possono avviarsi in virtù di un input degli enti di certificazione o delle autorità di vigilanza del mercato, sulla scorta di informazioni derivanti da audit e ispezioni di altre autorità o anche per dar seguito ai reclami ricevuti.
Allo stesso modo, anche agli enti di certificazione e ai detentori di certificazioni sono attribuiti compiti di monitoraggio. In quest’ultimo caso, in particolare, ciascun detentore di una certificazione EUCC è tenuto a monitorare autonomamente le informazioni sulle vulnerabilità dei prodotti ICT certificati e il livello di affidabilità indicato nella certificazione.
Altri obblighi per i detentori di certificazioni
Anche laddove sia stata già ottenuta una certificazione, ciascun detentore è tenuto ad adottare e mantenere delle procedure di gestione delle vulnerabilità.
Oltre a ciò, il detentore della certificazione deve mantenere attivi e render pubblici dei canali di segnalazione ai quali possano essere inviate informazioni su vulnerabilità riscontrate nei prodotti ICT.
In caso di segnalazione, poi, è necessario procedere ad una “vulnerability impact analysis” e redigere un report, qualora sussista il rischio di compromettere la conformità del prodotto ICT.
In esito all’analisi d’impatto, in ogni caso, il detentore della certificazione deve predisporre e comunicare una proposta di remediation all’ente di certificazione.
Verso un nuovo mercato digitale
Con l’imminente entrata in vigore dell’EUCC, i fabbricanti e i fornitori di prodotti, servizi e processi ICT avranno a disposizione un periodo transitorio di 12 mesi per adeguarsi al nuovo sistema di certificazione, eventualmente utilizzando le certificazioni ottenute secondo altri sistemi degli Stati membri e, in ogni caso, con la possibilità di sottoporre tali certificazioni ad un processo di revisione.
L’EUCC rappresenta di certo un altro forte segnale dell’Unione in direzione di una rivoluzione del mercato digitale e di un innalzamento del livello di sicurezza e resilienza dei prodotti ICT venduti e distribuiti in Europa.
Per di più, ad integrare il regime di certificazione definito dall’EUCC, si attende l’adozione di altri due sistemi di certificazione, che si trovano attualmente in preparazione presso l’ENISA: l’EUCS, relativo ai servizi cloud, e l’EU5G, sulla sicurezza delle reti 5G.
Indubbiamente, la necessità di consolidare la fiducia degli utenti e degli stakeholder verso i prodotti ICT pone oggi vendor e fornitori dinanzi ad un’opportunità che ha tutto l’aspetto di un potenziale cut-off dal nuovo mercato digitale.
Per tale ragione, il sempre più ricco quadro normativo europeo sulla cybersecurity (i.e., Direttiva NIS 2, Cybersecurity Act o i proposti regolamenti eIDAS e Cyber Resilience Act) chiama le imprese ad adeguare i processi di fabbricazione, sviluppo e distribuzione di prodotti, servizi e processi ICT ai nuovi requisiti e standard europei di security by design.