L’Agenzia per la Cybersicurezza Nazionale si sta muovendo sul fronte delle certificazioni di cyber security di prodotto, unico punto ancora rimasto inattuato del programma dell’ACN.
Il decreto legislativo in discussione individua gli adeguamenti nazionali al quadro europeo di certificazione della cyber security: designa l’autorità nazionale di certificazione della cyber security nell’ACN, con organizzazione e procedure.
Baldoni: “Come stiamo gestendo la crisi Ucraina e i prossimi passi dell’Agenzia cyber”
Indice degli argomenti
La nuova postura italiana di cyber security
La riunione di OCSI (Organismo di Certificazione della Sicurezza Informatica) e CVCN (Centro di Valutazione e di Certificazione Nazionale) sotto l’egida della ACN è un traguardo importante per la postura italiana di cyber security.
La certificazione di prodotto potrà diventare lo standard di stabilizzazione e consolidamento della disciplina della cyber security, esattamente come ha fatto nel mercato in ottica di safety e di sicurezza chimica e biologica dei prodotti di qualsiasi genere.
L’obbligatorietà porterà nuove abitudini e si diffonderà grazie al mercato della supply chain e delle forniture, dando vita a nuovi standard e a nuove professionalità.
Questo è il disegno della Unione Europea perseguito con tutte le attività relative agli standard di certificazione di cyber security e questo sarà il nostro panorama di sicurezza dei prossimi dieci anni. Una cyber security professionale e standardizzata, non più appannaggio di pochi eletti, ma dilagante, diffusa e condivisa.
L’importanza delle certificazioni di prodotto di cyber security
Le certificazioni di prodotto di cyber security esistono in Italia da oltre vent’anni. Fin dal 1995 esiste una struttura per la certificazione della sicurezza di sistemi/prodotti ICT, utilizzabile esclusivamente nell’ambito della sicurezza nazionale (sistemi/prodotti ICT che trattano informazioni classificate).
Nel 2003 è stato istituito un secondo Schema Nazionale idoneo a fornire servizi di certificazione a tutti i settori che non afferiscono a tale contesto. La struttura degli Schemi è basata sugli standard di riferimento Common Criteria ed ITSEC.
L’Agenzia rilascerà i certificati di cyber security con livello di affidabilità elevato tramite l’Organismo di Certificazione della Sicurezza Informatica (OCSI) che seguirà il destino del CVCN riunendosi con esso all’interno dell’ACN, dopo venti anni di servizio presso il MISE nell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione dove è nato il decreto e lo schema italiano per i prodotti commerciali.
Attualmente le certificazioni OCSI seguono i livelli 1-7 dei common criteria internazionali, ma tipicamente lavorano i livelli da 1 a 4, mentre l’Autorità Nazionale della Sicurezza del DIS certifica i livelli più alti tipicamente usati per gli apparati che trattano dati classificati, per i quali esiste uno schema a parte di certificazione di cyber security.
Le novità del decreto sulle certificazioni di cyber security
Il decreto in itinere prevede che l’Agenzia, in caso di violazione degli obblighi del quadro europeo di certificazione della cybersicurezza e dell’articolo 65 del Regolamento sulla cyber security, irroghi sanzioni pecuniarie ed accessorie.
L’Agenzia potrà dunque impartire ordini ai soggetti interessati in ottemperanza al quadro europeo di certificazione e comminare sanzioni da 200.000 euro ad 1.000.000 di euro, in particolare non inferiori allo 0,3 per cento e non superiori all’1,5 per cento del fatturato realizzato nell’esercizio precedente dai soggetti coinvolti da indicazioni specifiche dell’ACN, restando comunque fermo il limite massimo di 5.000.000 di euro.
Gli introiti derivanti dalle sanzioni pecuniarie, se il decreto resta come proposto, incrementano la dotazione dei capitoli del bilancio dell’Agenzia destinati alle attività di ricerca e formazione sulla certificazione di cybersecurity di prodotti ICT.
Saranno previste dichiarazioni volontarie dei fabbricanti e dei fornitori di prodotti ICT che verranno trasmesse all’ENISA e verificate dall’ACN. Ove l’Agenzia accerti la non conformità di una dichiarazione UE di conformità in esito alle attività di vigilanza sarà obbligo del fabbricante o del fornitore emittente revisionare o revocare la dichiarazione UE di conformità entro trenta giorni dandone comunicazione all’Agenzia e all’ENISA, salvo diversa disposizione dello specifico sistema di certificazione.
Il decreto “Kaspersky” e la necessità di rafforzare la nostra sovranità digitale
I nuovi compiti dell’Agenzia per la Cybersicurezza Nazionale
Allo scopo di elevare il livello nazionale di cyber security, l’Agenzia potrà realizzare progetti di ricerca, anche in collaborazione con università, centri di ricerca o laboratori specializzati nel campo della valutazione della sicurezza informatica.
Inoltre, conformemente all’articolo 57 del Regolamento ed in assenza di un sistema europeo di certificazione, l’Agenzia potrà introdurre sistemi di certificazione nazionali della cyber security, per prodotti, servizi o processi ICT.
Il Cybersecurity Act (Regolamento UE 2019/881) dell’Unione Europea del 2019 ha stabilito che, “al fine di garantire il buon funzionamento del mercato interno perseguendo nel contempo un elevato livello di cyber-security, cyber resilience e fiducia all’interno dell’Unione, è istituito un quadro per l’introduzione di sistemi europei di certificazione della sicurezza informatica”.
Il quadro europeo di certificazione descritto da tale Regolamento prevede “un meccanismo volto a istituire sistemi europei di certificazione della sicurezza cibernetica e ad attestare che i prodotti, servizi e processi ICT valutati nel loro ambito sono conformi a determinati requisiti di sicurezza al fine di proteggere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita”.
Il SOG-IS MRA (Senior Officials Group – Information Systems Securit. Mutual Recognition Agreement), basato sul reciproco riconoscimento dei certificati di sicurezza nazionali per prodotti e sistemi IT basati su Common Criteria e ITSEC, potrebbe essere lo schema di riferimento per il framework europeo che prevede schemi generali e schemi specifici per alcune tecnologie (come il 5G, il cloud, l’IoT, ecc.).
L’idea sottesa alla creazione di uno schema di certificazione di un prodotto ICT è quella di controllare un insieme di requisiti basilari di sicurezza, una singola volta, e per tutti i clienti.
