Sistema europeo di certificazione della cybersicurezza

Disposizioni che interessano l’Infrastruttura per la Qualità:

  • Adozione del sistema europeo di certificazione della cybersicurezza basato sui criteri comuni (EUCC) – Regolamento di esecuzione UE 2024/482

 

E’ stato pubblicato (GU UE L del 7 febbraio scorso) il Regolamento di esecuzione (UE) 2024/482 della Commissione sulle modalità di applicazione del Regolamento UE 2019/881 per quanto riguarda l’adozione del sistema europeo di certificazione della cybersicurezza basato sui criteri comuni (EUCC).

Nato in attuazione del Cybersecurity Act (Regolamento UE 2019/881), il provvedimento si applicherà in primo luogo ai prodotti TIC (tecnologie dell’informazione e della comunicazione).

Il sistema di certificazione si baserà su norme internazionali consolidate, quali la ISO/IEC 15408 “Information security, cybersecurity and privacy protection – Evaluation criteria for IT security” e la ISO/IEC 18045 “Information security, cybersecurity and privacy protection – Evaluation criteria for IT security – Methodology for IT security evaluation” (art. 3).

 


Accreditamento e autorizzazione


Gli organismi di valutazione della conformità potranno rilasciare certificati EUCC con due differenti livelli di affidabilità:

  • “sostanziale” che corrisponde ai certificati relativi al livello AVA_VAN 1 o 2
  • “elevato” che corrisponde ai certificati relativi al livello AVA_VAN 3, 4 o 5 (art. 4).

Per entrambi i livelli di affidabilità, gli organismi dovranno ottenere l’accreditamento alla norma ISO/IEC 17065 rilasciato dall’organismo nazionale di accreditamento, ma per rilasciare certificati con un livello di affidabilità “elevato”, dovranno ricevere anche l’autorizzazione dell’Autorità nazionale di certificazione della cibersicurezza (in Italia ACN) volta ad attestare il rispetto di requisito ulteriori.

Ai sensi dell’art. 10, gli organismi dovranno elaborare una relazione di certificazione in conformità dell’allegato V per ciascun certificato EUCC rilasciato, basata sulla relazione tecnica di valutazione redatta da una ITSEF (Information Technology Security Evaluation Facilities).

La competenza tecnica delle strutture ITSEF sarà valutata attraverso l’accreditamento del laboratorio di prova secondo la norma ISO/IEC 17025, integrata dalla norma ISO/IEC 23532-1 per l’intera serie di attività di valutazione pertinenti al livello di affidabilità e specificate nella norma ISO/IEC 18045 congiuntamente alla norma ISO/IEC 15408.

Al pari degli organismi di certificazione, anche le ITSEF dovranno essere autorizzate dall’Autorità nazionale di certificazione della cibersicurezza qualora le prove siano finalizzate al rilascio di un certificato con livello di affidabilità elevato.

 


Peer assessment e notifica


Sia gli organismi di certificazione che rilasciano certificati EUCC di livello di affidabilità “elevato” sia le relative ITSEF associate saranno inoltre sottoposti a valutazioni inter pares, come disciplinate al capo IX del Regolamento di esecuzione. Al fine di garantire una qualità elevata dei servizi, le attività di prova e le attività di certificazione e ispezione dovranno essere svolte da soggetti che operano in modo indipendente tra loro.

È inoltre prevista un’attività di notifica da parte di ACN degli organismi e delle ITSEF che rilasciano la certificazione EUCC.

 


Valutazione del profilo di protezione


Lo schema di certificazione EUCC permetterà anche la valutazione del profilo di protezione, definito come “un processo TIC che stabilisce i requisiti di sicurezza per una categoria specifica di prodotti TIC, che affronta le esigenze di sicurezza indipendenti dall’implementazione e che può essere utilizzato per valutare i prodotti TIC rientranti in tale categoria specifica ai fini della loro certificazione”. L’ITSEF, in questo caso, dovrà valutare se un profilo di protezione è completo, coerente, tecnicamente valido ed efficace per l’uso previsto e gli obiettivi di sicurezza della categoria di prodotti TIC da esso contemplati.

Il profilo di protezione potrà essere certificato unicamente da un’Autorità nazionale di certificazione della cibersicurezza o da un altro organismo pubblico accreditato come organismo di certificazione; oppure da un organismo di certificazione, previa approvazione dell’Autorità nazionale di certificazione della cibersicurezza per ogni singolo profilo di protezione.

Il Regolamento si applicherà dal 27 febbraio 2025, a eccezione delle norme relative agli organismi di certificazione (capo IV) e alle attività di monitoraggio da parte dell’Agenzia e degli organismi di certificazione (capo V), che si applicheranno a decorrere dall’entrata in vigore del Regolamento di esecuzione.