L’ACN, Agenzia per la Cybersecurity Nazionale, sta proseguendo ad accreditare LAP, Laboratori Accreditati di Prova, per la collaborazione con il CVCN, Centro di Valutazione e Certificazione Nazionale: entro la fine del 2024 la catena del valore pensata per la certificazione e la valutazione dei prodotti ICT in ambito di cyber security in Italia dovrà essere operativa.
Indice degli argomenti
Gli schemi di certificazione in Europa
Qual è la situazione degli schemi di certificazione in Europa? La Commissione con la DG Connect ha confermato che entro il 2024 dovrà essere emanato il primo schema di certificazione di prodotto per la cyber security in territorio Europeo.
L’ENISA, Agenzia Europea per la sicurezza delle Reti e dell’Informazione, sta preparando un report sullo stato dell’arte delle certificazioni di prodotto in Europa e nel mondo per illustrare l’attuazione del Cyber security Act, promulgato nel 2019.
I prodotti certificati nel 2020 erano circa 840 e sono saliti a circa 1260 nel 2021 per attestarsi sul medesimo valore nel 2022. Complice probabilmente la pandemia, il numero resta alto rispetto agli anni anteriori all’attuale decennio, ma stazionario.
Gli standard per le certificazioni di prodotto
Le certificazioni sono spesso basate sullo standard dei Common Criteria, ma non in modo determinante come ci potremmo aspettare, perché seguono anche standard settoriali e tecnici. I Common Criteri sono attestati da cinque anni su un numero di certificazioni annuo che oscilla tra 350 e 400.
In Europa il numero di certificazioni basato sui Common Criteria è invece cresciuto: dei 350-400 circa prodotti certificati nel 2021 e nel 2022, più di 210 sono certificati in Europa in entrambi gli anni, contro i 200 o meno degli anni precedenti.
Anche le certificazioni di tipo EIDAS e FIPS, rispettivamente di identificazione e autenticazione e di crittografia, riscontrano un aumento di prodotti passati sotto le loro valutazioni ufficiali. Il primo si attesta sui 50 e il secondo oltre i 280.
Il grande balzo si riscontra nella IEC 62443 che passa in tre anni da zero a più di quaranta certificazioni cui se ne aggiungono più di altre 20 se consideriamo lo standard ISA.
Le piattaforme IOT certificate sono sotto la decina e il trend di aumento è stagnante come per i CC, mentre i certificati di tipo PSA sono in aumento e si attestano poco sotto la cinquantina.
Per quanto riguarda il 5G, dopo un picco di certificazioni nel 2020 e 21, il numero di certificati NESAS scende a poche unità nel 2022. I servizi cloud riscontrano un buon numero di certificati negli USA dove si attestano oltre i sessanta nel 2022, ma non sono seguiti da analoghi trend in Europa.
La ISO 27000 con le certificazioni di processo batte ancora tutto il panorama con quasi 58700 certificati emessi nel 2021.
Per il resto ancora si lavora sulla armonizzazione, ossia sulla costruzione di una mappa che consenta in modo univoco di ricondurre qualsiasi certificazione a qualsiasi altra in senso completo o parziale, attraverso la comparazione interpretativa dei controlli correlati a ciascuno standard.
Inoltre, si conferma l’attenzione di tutti gli Stati Membri al tema della presunzione id conformità, sul quale ENISA e DG Connect non sono ancora tornate in modo ufficiale e sulla obbligatorietà delle certificazioni per alcune tecnologie, cosa che imporrà la creazione di laboratori di verifica e autorità di certificazione in ogni Stato Membro.
Cyber Resilience Act: un passaggio decisivo
Aspettiamo, poi, il Cyber Resilience Act: il nuovo regolamento, ancora in discussione, prevede che tutti i prodotti che andranno sul mercato in suolo europeo e che contengono ICT in senso generale, cioè elementi digitali, dovranno rispettare requisiti obbligatori di sicurezza informatica, durante tutto il loro ciclo di vita e saranno obbligati a fornire supporto sulle funzionalità di sicurezza e aggiornamenti software per risolvere le vulnerabilità note per cinque anni dalla immissione sul mercato.
Questo provvedimento sembra estremamente importante e urgente, forse più dello schema certificativo anche alla luce delle numerose difficoltà oggettive che incontra la certificazione di prodotto di cyber security in tutto il mondo.
