Sicurezza informatica, arrivano i nuovi schemi di certificazione europea

La Commissione europea ha istituito l'EUCC, lo schema per la certificazione di prodotti, sia hardware che software, dal punto di vista della security

22 Febbraio 2024 14:36
Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Sicurezza informatica, arrivano i nuovi schemi di certificazione europea
Fonte: 123RF

ENISA (L’Agenzia dell’Unione Europea per la Cybersicurezza) sta lavorando su sistemi di certificazione di sicurezza informatica e ha intrapreso uno studio di fattibilità sui requisiti di certificazione della sicurezza informatica dell’UE in materia di IA. Mentre viene istituito l’EUCC con il regolamento di esecuzione (UE) 2024/482, si focalizza l’attenzione su EUCS per i servizi cloud e EU5G sulla sicurezza 5G.

Il sistema europeo di certificazione di cybersicurezza

Con il regolamento di esecuzione (UE) 2024/482 della Commissione recante modalità di applicazione del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio viene istituito il sistema europeo di certificazione della cybersicurezza basato sui criteri comuni (EUCC).

Il regolamento si applica a tutti i prodotti delle tecnologie dell’informazione e della comunicazione (TIC), che sono presentati ai fini della certificazione nel quadro dell’EUCC, nonché a tutti i profili di protezione che sono presentati ai fini della certificazione come parte del processo TIC alla base della certificazione dei prodotti TIC.
Il risultato è pienamente in linea con il sistema di certificazione della sicurezza informatica che ENISA ha redatto in risposta a una richiesta presentata dalla Commissione europea.
Nella stesura del programma, l’ENISA è stata sostenuta da un gruppo di lavoro ad hoc (AHWG), composto da esperti del settore e da autorità nazionali di certificazione della sicurezza informatica (NCCA) degli Stati membri dell’UE, tenendo conto degli orientamenti e del sostegno ricevuti dagli Stati membri tramite il gruppo europeo di certificazione della sicurezza informatica (ECCG), nonché dei contributi del gruppo di certificazione della sicurezza informatica delle parti interessate (SCCG).
Essendo il primo sistema di certificazione della sicurezza informatica dell’UE ad essere adottato, si prevede che l’EUCC apra la strada ai prossimi sistemi attualmente in preparazione. L’EUCC sostituirà gradualmente i sistemi di certificazione nazionali precedentemente previsti dall’accordo SOG-IS.

Juhan Lepassaar, direttore esecutivo dell’Agenzia europea per la sicurezza informatica, ha sottolineato che “l’adozione del primo sistema di certificazione della sicurezza informatica segna una pietra miliare verso un mercato unico digitale UE di fiducia ed è un pezzo del puzzle del quadro di certificazione della sicurezza informatica UE che è attualmente in fase di elaborazione.”

Cosa è EUCC

Come previsto dalla legge sulla sicurezza informatica del 2019, il nuovo sistema rientra nel quadro di certificazione della sicurezza informatica dell’UE. L’obiettivo di questo quadro è quello di aumentare il livello di sicurezza informatica di prodotti, servizi e processi TIC nel mercato dell’UE e ciò si attua fissando una serie completa di norme, requisiti tecnici, norme e procedure da applicare in tutta l’Unione.
Il nuovo sistema EUCC consente ai fornitori di TIC, che desiderano presentare una prova di affidabilità, di passare attraverso un processo di valutazione UE comunemente inteso per certificare prodotti ICT, come componenti tecnologici (chip, smartcard), hardware e software.
Il sistema si basa sul quadro di valutazione dei criteri comuni SOG-IS, comprovato da tempo, già utilizzato in 17 Stati membri dell’UE. Propone, in particolare, due livelli di garanzia basati sul livello di rischio associato all’uso previsto del prodotto, servizio o processo, in termini di probabilità e impatto di un incidente.
Sulla base di approfondite ricerche e consultazioni, il sistema globale è stato adattato alle esigenze degli Stati membri dell’UE. I meccanismi di certificazione a livello dell’Unione consentono, pertanto, alle imprese europee di competere a livello nazionale, comunitario e mondiale. In altre parole, i sistemi di certificazione dell’UE come l’EUCC dovrebbero fungere anche da incentivo per i fornitori ad aderire ai requisiti di certificazione della sicurezza informatica. L’EUCC entra nel vivace mercato delle certificazioni informatiche studiate nel nuovo rapporto pubblicato da ENISA portando avanti l’evoluzione del numero di metodologie di valutazione e di organismi dedicati ai prodotti e servizi ICT.

Marchio ed etichetta

Il titolare di un certificato può apporre un marchio e un’etichetta su un prodotto TIC certificato. Il marchio e l’etichetta dimostrano che il prodotto TIC è stato certificato in conformità del regolamento.
Il marchio e l’etichetta sono apposti in modo visibile, leggibile e indelebile sul prodotto TIC certificato o sulla sua targhetta identificativa. Qualora ciò sia impossibile o difficilmente realizzabile a causa della natura del prodotto, essi sono apposti sull’imballaggio o sui documenti di accompagnamento. Se il prodotto TIC certificato è fornito sotto forma di software, il marchio e l’etichetta figurano in modo visibile, leggibile e indelebile sui documenti di accompagnamento, o tali documenti sono resi facilmente e direttamente accessibili agli utenti attraverso un sito web.
Il marchio e l’etichetta sono conformi al quanto disposto nell’allegato IX del regolamento e contengono:

  1. il livello di affidabilità e il livello AVA_VAN del prodotto TIC certificato
  2. l’identificatore unico del certificato.

Quest’ultimo è costituito dai seguenti elementi:

  • denominazione del sistema
  • denominazione e numero di riferimento dell’accreditamento dell’organismo di certificazione che ha rilasciato il certificato
  • anno e mese di rilascio
  • numero di identificazione assegnato dall’organismo di certificazione che ha rilasciato il certificato.

Il marchio e l’etichetta sono accompagnati da un codice QR con un link a un sito web contenente almeno:

  • le informazioni sulla validità del certificato
  • le informazioni necessarie sulla certificazione, di cui agli allegati V e VII del regolamento
  • le informazioni che il titolare del certificato deve rendere pubblicamente disponibili conformemente all’articolo 55 del regolamento (UE) 2019/881
  • se del caso, le informazioni storiche relative alla certificazione o alle certificazioni specifiche del prodotto TIC per consentire la tracciabilità.

Periodo di validità del certificato EUCC

L’organismo di certificazione stabilisce un periodo di validità per ciascun certificato EUCC rilasciato tenendo conto delle caratteristiche del prodotto TIC certificato. Il periodo di validità del certificato EUCC non supera i cinque anni.
In deroga tale periodo può superare i cinque anni, previa approvazione da parte dell’autorità nazionale di certificazione della cybersicurezza. L’autorità nazionale di certificazione della cybersicurezza notifica al gruppo europeo per la certificazione della cybersicurezza l’approvazione concessa senza indebito ritardo.
Su richiesta del titolare del certificato o per altri motivi giustificati, l’organismo di certificazione può decidere di riesaminare il certificato EUCC per un prodotto TIC. Il riesame è effettuato conformemente all’allegato IV del regolamento. L’organismo di certificazione determina la portata del riesame. Se necessario per il riesame, l’organismo di certificazione chiede all’ITSEF di effettuare una nuova valutazione del prodotto TIC certificato.

Informazioni che l’ENISA deve mettere a disposizione

L’ENISA pubblica sul sito web le seguenti informazioni:

  • tutti i certificati EUCC
  • le informazioni sullo stato dei certificati EUCC, in particolare se sono in vigore, sospesi, revocati o scaduti
  • le relazioni di certificazione corrispondenti a ciascun certificato EUCC
  • un elenco degli organismi di valutazione della conformità accreditati
  • un elenco degli organismi di valutazione della conformità autorizzati
  • i documenti sullo stato dell’arte
  • i pareri del gruppo europeo per la certificazione della cybersicurezza
  • le relazioni di valutazione inter pares

Le informazioni sono messe a disposizione almeno in inglese. Gli organismi di certificazione e, se del caso, le autorità nazionali di certificazione della cybersicurezza informano senza indugio l’ENISA in merito alle loro decisioni che incidono sul contenuto o sullo stato di un certificato EUCC. L’ENISA garantisce che le informazioni pubblicate identifichino chiaramente le versioni di un prodotto TIC certificato che sono contemplate da un certificato EUCC.

Processo di adozione e prossime fasi

Insieme al gruppo di lavoro ad hoc, l’ENISA ha compilato lo schema di riferimento con i requisiti di sicurezza e i metodi di valutazione comunemente accettati, definiti e concordati.
L’ENISA ha trasmesso il progetto alla Commissione europea dopo che l’ECCG aveva emesso il suo parere. L’atto di esecuzione emanato dalla Commissione europea è stato successivamente adottato secondo la procedura di comitatologia. Con il termine “comitatologia” si intende l’insieme delle procedure attraverso le quali la Commissione europea esercita le competenze di esecuzione conferitele dal legislatore dell’Unione europea (Unione), con l’assistenza dei comitati di rappresentanti degli Stati membri dell’Unione.
L’atto adottato prevede un periodo di transizione durante il quale le organizzazioni potranno ancora beneficiare delle certificazioni esistenti nell’ambito dei sistemi nazionali in determinati Stati membri.
Gli organismi di valutazione della conformità (CAB) interessati alla valutazione rispetto all’EUCC possono essere accreditati e notificati. I fornitori saranno in grado di convertire i loro certificati SOG-IS esistenti in certificati EUCC dopo aver valutato le loro soluzioni rispetto ai requisiti aggiunti o aggiornati specificati nell’EUCC. I certificati rilasciati nell’ambito dell’EUCC saranno pubblicati dall’ENISA.
L’ENISA pubblica, inoltre, l’atto di esecuzione e documenti giustificativi quali allegati, documenti sullo stato dell’arte e orientamenti sul sito web dedicato alla certificazione. L’Agenzia dell’Unione europea per la sicurezza informatica propone, inoltre, materiale di supporto, tra cui un video sugli ultimi sviluppi del sistema e a sostegno della sua attuazione.

Il regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea e si applica direttamente a tutti gli Stati membri a decorrere dal 27 febbraio 2025.

Altri sistemi di certificazione UE per la sicurezza informatica

ENISA sta attualmente lavorando su altri due sistemi di certificazione di sicurezza informatica, EUCS sui servizi cloud e EU5G sulla sicurezza 5G. L’Agenzia ha, inoltre, intrapreso uno studio di fattibilità sui requisiti di certificazione della sicurezza informatica dell’UE in materia di IA e sta aiutando la Commissione europea e gli Stati membri a definire una strategia di certificazione per l’eIDAS/wallet. Più di recente la Commissione europea ha proposto un emendamento alla legge sulla sicurezza informatica che prevede uno schema per i servizi di sicurezza gestiti (MSPS).
Il sistema europeo di certificazione per i servizi cloud (EUCS) è stato elaborato con il sostegno di un gruppo di lavoro ad hoc e degli Stati membri. Il testo dovrebbe ora entrare nel processo del parere ECCG.
Il sistema europeo di certificazione della sicurezza informatica per il 5G (EU5G) è sviluppato in due fasi. Nel corso di una prima fase conclusasi nell’autunno 2022, gli esperti dell’ENISA, riuniti nell’ambito di un gruppo di lavoro ad-hoc con la Commissione UE e gli Stati membri, hanno analizzato le valutazioni industriali e i sistemi di certificazione esistenti e i relativi aggiornamenti necessari per conformarsi alla legge sulla sicurezza informatica. Un primo progetto di schema sarà reso disponibile per la consultazione pubblica, la data prevista è in discussione all’interno del AHWG.

EUCS

A seguito della richiesta della Commissione europea ai sensi dell’articolo 48.2 del Cybersecurity Act l’ENISA ha istituito un gruppo di lavoro ad hoc (AHWG) per sostenere la preparazione di un sistema di certificazione UE candidato per la sicurezza informatica sui servizi cloud. Sulla base dei risultati di questo AHWG, lanciato il 5 marzo 2020 e composto da venti membri selezionati che rappresentano l’industria di settore e da circa dodici partecipanti di organismi di accreditamento e Stati membri dell’UE, nonché dopo un riesame interno, l’ENISA ha consolidato un preciso sistema.
Il sistema EUCS (European Cybersecurity Certification Scheme for Cloud Services) esamina la certificazione della sicurezza informatica dei servizi cloud.
Il programma attinge da molte fonti diverse, la prima delle quali è la relazione del gruppo di lavoro CSP-CERT, che è stata consegnata nel 2019 e ha fornito un quadro di base su cui è stato sviluppato il programma.
L’EUCS sostiene i tre livelli di garanzia dell’EUCSA:

  • base
  • sostanziale
  • alto

 

I requisiti di sicurezza sui servizi cloud e la loro valutazione tengono conto di tre diverse dimensioni:

  • portata
  • rigore
  • profondità

Lo schema si rivolge a una categoria specifica di servizi ICT e si basa naturalmente sulla norma ISO/IEC 17065 in termini di requisiti applicabili alle CAB che effettuano la certificazione. Esistono due principali standard adatti alla valutazione della sicurezza informatica dei servizi cloud, basati rispettivamente sulla serie di standard ISO27000 e sugli International Auditing Standards. Lo schema  definisce anche una metodologia di valutazione semplificata per il livello di garanzia dell’EUCSA ‘di base’. La metodologia si basa su un’autovalutazione effettuata dal fornitore di servizi cloud, i cui risultati sono poi controllati da un organismo di valutazione della conformità. Il sistema non consente tuttavia ai fornitori di servizi cloud di rilasciare dichiarazioni di conformità UE.
I requisiti di sicurezza definiti nel sistema si ispirano in modo significativo al sistema tedesco C5, cosi’ come al sistema francese SecNumCloud, alle proposte del rapporto CSP-CERT e ai principi di altri sistemi utilizzati in Europa.

Infine, il sistema EUCS non è uno schema a sé stante, ma, come abbiamo visto, fa parte del quadro europeo di certificazione della sicurezza informatica. Anche se è molto diverso dal primo schema del quadro, l’EUCC, che si concentra sui prodotti ICT, ci sono punti in comune, ad esempio intorno all’organizzazione del monitoraggio della conformità e delle valutazioni inter pares. Il regime sfrutta alcuni principi definiti per la prima volta nel sistema EUCC e segue la stessa presentazione generale, con 22 capitoli seguiti da allegati che definiscono in maggior dettaglio il contenuto.