L’Unione europea sta costruendo un ecosistema di certificazione della cybersicurezza sempre più maturo, armonizzato e riconosciuto a livello internazionale con l’obiettivo di creare fiducia, aumentare l’interoperabilità e garantire la competitività nel  mercato digitale europeo. E’ stata condotta una indagine sul grado di efficienza e applicabilità dello schema proposto e di seguito si riportano le evidenze raccolta.

Perché la certificazione di cybersicurezza è una svolta per il mercato

Il Cybersecurity Act (CSA) ha introdotto per la prima volta un quadro europeo unico per certificare la sicurezza di prodotti, servizi e processi ICT. Prima del CSA, gli schemi di certificazione erano nazionali, frammentati e difficilmente riconosciuti oltre confine. Ora:

• un certificato è riconosciuto automaticamente nei 27 Stati membri + EFTA
• le imprese possono accedere più facilmente al mercato europeo
• gli utenti e gli acquirenti possono confrontare prodotti sulla base di criteri comuni
• la certificazione diventa anche uno strumento per dimostrare conformità a normative emergenti, come il Cyber Resilience Act (CRA) e il Regolamento eIDAS.

Hanno collaborato alla strutturazione dello schema diversi soggetti, in un’ottica di piena collaborazione:

• ENISA, he coordina lo sviluppo tecnico
• Commissione Europea, responsabile del regolamento di attuazione
• Stati Membri, tramite ECCG
• Esperti del settore, riuniti in Ad-Hoc Working Groups
• Aziende,CAB, NAB, attraverso consultazioni pubbliche

Il risultato è un corpus normativo che include regolamenti vincolanti, profili di protezione, linee guida per sviluppatori e linee guida  sempre aggiornate.

Criticità emerse a distanza di un anno

Sono state condotte indagini sul campo al fine di verificare l’efficacia e l’operatività del sistema di Certificazione della cybersicurezza proposto e sono emerse le seguenti criticità:

1.      La complessità nel definire il perimetro di applicazione della certificazione

2.      La necessità di disporre di competenze adeguate, in particolare negli enti di certificazione (CAB) , e di definire solide procedure di accreditamento

3.      Lo schema di accreditamento è solo il punto di partenza ma deve essere tenuto aggiornato in base alla costante evoluzione tecnologica

4. E’ fondamentale coinvolgere tutti gli stakeholder fin dalle prime fasi, per migliorare gli schemi e ridurre i costi di adozione

Affinchè lo schema di certificazione della cybersicurezza abbia successo è quindi necessario che si creino le competenze giuste per valutarlo e si crei consapevolezza fra le aziende attraverso materiale divulgativo e portali europei,  sia in merito all’importanza di adottare uno schema di certificazione sia in merito alla necessità di orientare i propri acquisti in modo consapevole.  

Gli operatori del settore (fornitori ICT e i CAB) apprezzano la creazione di uno strumento armonizzato e richiedono l’adozione di strumenti digitali per rendere scalabile la certificazione e una maggior chiarezza sulla correlazione tra tutte le normative di settore. Resta in quest’ottica fondamentale partecipare a consultazioni pubbliche, conferenze ENISA e gruppi di standardizzazione.

Cosa  deve fare una azienda che vuole certificarsi

Un’azienda che vuole certificare una soluzione EUCC deve :

1. Definire il prodotto e il livello di assurance (Substantial o High)
2. Preparare tutta la documentazione tecnica prevista dallos chema
3. Scegliere un CAB notificato
4. Eseguire la valutazione tecnica
5. Ottenere il certificato e rispettare gli obblighi post-certificazione (patching, vulnerability handling, aggiornamenti)

Attraverso il portale ENISA è possibile  consultare i certificati rilasciati, i CAB notificati, le autorità Nazionali per le certificazioni di Cyber sicurezza e la documentazione tecnica aggiornata