Compliance aziendale

Cybersecurity e certificazioni: come funzionano e cosa cambierà con gli European Common Criteria

I Common Criteria sono il modello per la certificazione europea sulla cybersecurity. L’ENISA sta lavorando ad una loro implementazione, gli European Common Criteria, ma ci vorranno almeno due anni per completare il processo. Cosa significa farsi certificare, come gestire la transizione

Pubblicato il 15 Lug 2022

Lorenzo Principali

direttore Area Digitale di I-Com

cyber security

La digitalizzazione, oltre ad una serie di tangibili vantaggi, ha determinato anche un allargamento della superficie di attacco su cui i cybercriminali possono operare, grazie al crescente spostamento, nel dominio immateriale, di una serie di attività (anche sensibili) che vengono svolte da persone o lavoratori non sempre attentissimi o adeguatamente formati per fronteggiare i relativi rischi.

In questo contesto, i vertici governativi hanno lanciato una serie di iniziative, recentemente confluite in una vera e propria strategia, pubblicata lo scorso 24 maggio, per innalzare il livello di protezione e certificare i prodotti nelle reti di telecomunicazione.

In questo ambito, forte interesse è maturato verso l’utilizzo di Common Criteria. 

Vediamo di cosa si tratta e come stanno evolvendo nel contesto europeo della cybersecurity.

Cybersecurity, perché è ormai una priorità per l’Italia: tre fattori che cambiano tutto

Questa prevede come primo e principale punto il rafforzamento del sistema di scrutinio tecnologico nazionale, finalizzato a garantire la sicurezza della supply chain degli asset rientranti nel Perimetro di sicurezza cibernetica e per favorire l’adozione di schemi di certificazione europea di cybersecurity.

Gli strumenti attualmente disponibili, in particolare i Common Criteria tradizionali, presentano dei limiti soprattutto in termini di tempi, costi e procedure. Le istituzioni europee si sono mosse già dal 2019, e l’agenzia europea per la cybersecurity (ENISA) sta lavorando ad uno schema di implementazione – gli European Common Criteria – capace di superare tali criticità. Un processo che, però, non verrà finalizzato prima dei prossimi due anni.

Appare quindi essenziale cercare una soluzione temporanea capace di offrire un corretto bilanciamento tra la necessità, da un lato, di garantire livelli di protezione adeguati e, dall’altro, il bisogno di attenuare l’impatto che regolamentazioni e controlli potrebbero determinare sullo sviluppo del mercato e sui suoi equilibri.

Cybersecurity: i dati Clusit sugli attacchi gravi 2017/21

La cybersicurezza sta diventando sempre più centrale per offrire garanzie tanto ai fornitori quanto agli utilizzatori di servizi digitali, all’interno di un perimetro che la digital transformation sta allargando e continuerà ad allargare sempre più nel prossimo futuro.

Sfortunatamente, i dati sugli attacchi classificati come gravi mostrano un costante incremento sia a livello nazionale che internazionale, con conseguenti danni economici e di immagine per gli attori che vengono colpiti. Secondo i dati Clusit, tra il 2017 e il 2021 gli attacchi gravi sono quasi raddoppiati, passando da 1.127 a 2.049 (+80%).

A livello nazionale, tra gennaio 2018 a giugno 2021 l’Italia ha subìto 143 attacchi gravi, seconda in Europa dopo la Gran Bretagna (233) ma vittima di una pressione maggiore rispetto a Francia (95), Germania (75) e Spagna (29).

Cybersecurity: quanto investe l’Italia rispetto all’Europa

Per tali ragioni, appare fondamentale investire negli strumenti di sicurezza informatica a disposizione di aziende e amministrazioni, in particolare se di rilevanza strategica. Giova ricordare che gli Operatori dei Servizi Essenziali (OSE) sono stati identificati in Italia nell’ambito dell’articolata procedura di istituzione del perimetro di sicurezza cibernetica all’interno di settori quali interno, difesa, aerospazio, energia, telecomunicazioni, finanza, trasporti, servizi digitali e tecnologie critiche.

In questo quadro, l’analisi effettuata da ENISA sugli stessi OSE e sui DSP (digital service provider), ovvero sugli operatori considerati “strategici” a vario titolo, mostra come l’Italia sia il secondo Paese in cui si investe di più in cybersecurity a livello europeo (dietro la Francia), con una media di 6,75 milioni per operatore, un valore triplo rispetto alla media europea di 2,1 milioni.

Cybersecurity: come si è arrivati ai Common Criteria attuali

Poiché il cyberspazio è un mondo sempre più caratterizzato da confini evanescenti e dinamici, uno sforzo volto a regolamentarne e uniformarne gli usi e le caratteristiche richiede inevitabilmente sinergie tra tutti gli Stati. Questi sono chiamati a dettarne le regole attraverso l’esercizio della propria sovranità e, allo stesso tempo, la messa in campo di azioni congiunte a livello internazionale, in particolare tramite le certificazioni di prodotti e sistemi ICT.

La sensibilità su tali argomentazioni trova la sua origine negli Stati Uniti negli anni ’80, con la nascita del Trusted Computer System Evaluation Criteria (TCSEC), cui è seguita la risposta europea con il meno fortunato ITSEC, sulla base del quale, nel ’96, sono stati poi generati i Common Criteria, divenuti standard internazionale ISO/IEC 15408 nel 1999.

L’ottenimento di certificazioni per i propri apparati ICT è un processo che in genere gli operatori effettuano volontariamente, per mostrare a clienti business e utenti finali il proprio livello di affidabilità.

In alcuni casi, tuttavia, le Autorità Nazionali possono definire eventuali obbligatorietà. Per quanto concerne l’Italia, l’inserimento dello “scrutinio degli asset rientranti nel Perimetro” e “l’adozione di schemi di certificazione europea di cybersecurity” al primo punto della Strategia, insieme alla ricerca di profili specializzati nell’utilizzo di Common Criteria da parte della nascente Agenzia per la Cybersicurezza e alle molteplici innovazioni normative – che rafforzano i poteri di Governo e Agenzia in materia – mostrano sia il forte l’interesse per questo tipo di certificazioni, al fine di autorizzare l’utilizzo di prodotti e sistemi ICT nelle reti di telecomunicazioni italiane, sia la preferenza verso meccanismi di obbligatorietà delle procedure di verifica.

Cybersecurity e certificazioni: come funzionano gli attuali Common Criteria

I Common Criteria sono strutturati in modo da rispettare criteri qualitativi tali da garantire alla documentazione prodotta un elevato livello di fiducia, efficacia e correttezza.

In particolare, l’ente che esegue le verifiche non deve avere interessi economici legati al risultato della valutazione (imparzialità), la ripetizione della procedura deve restituire lo stesso risultato (ripetibilità), lo stesso risultato deve poter essere raggiunto da un terzo ente valutante (riproducibilità) e non deve comprendere stime di carattere soggettivo (obiettività).

La documentazione prodotta in ottemperanza di questi criteri evidenzia gli elementi fondamentali dell’oggetto della valutazione, ovvero del Target of Evaluation (TOE).

Per ottenere la certificazione è necessario identificare gli obiettivi di sicurezza (ovvero si intende specificare “sicuro per cosa”), l’ambiente di sicurezza (“sicuro in quale contesto”) e i requisiti funzionali (“sicuro a fronte di quali verifiche”).

Sulla base della struttura indicata dai Common Criteria, attualmente in Italia vige uno Schema Nazionale per la certificazione della sicurezza di prodotti e sistemi ICT nell’ambito dei dati classificati risalente al 1995, affiancato nel 2003 da un Secondo Schema Nazionale per la fornitura di servizi di certificazioni nel contesto della PA e negli ambiti non ricompresi nella Sicurezza Nazionale.

Organismi essenziali sono i laboratori preposti alla valutazione, che conducono le analisi ed elaborano la documentazione necessaria ai fini della valutazione, e gli enti di certificazione, che emettono la certificazione di sicurezza e accreditano i laboratori. Nel contesto italiano, tali strutture assumono una declinazione particolare e suddivisa in base alla tipologia di dati trattati (dati certificati, funzioni strategiche o commerciali).

Cybersecurity: cosa comporta farsi certificare

L’ottenimento di certificazioni di sicurezza migliora in generale la competitività dei prodotti sul mercato, può garantire l’accesso a mercati geografici con requisiti minimi e offre ai governi nazionali uno strumento per garantire che i sistemi IT utilizzati nel Paese siano sicuri, consentendo di contrastare rischi sistemici.

Allo stesso tempo, è opportuno considerare che la documentazione richiesta dai sistemi nazionali aumenta considerevolmente i costi della valutazione, che sono a carico del fornitore, che i tempi di esecuzione sono piuttosto lunghi (fino a 12-18 mesi) e che è necessario utilizzare risorse specializzate per le verifiche (le cui competenze possono richiedere fino a 24 mesi per essere formate).

Altro importante elemento riguarda il tempo addizionale che potrebbe essere impiegato dal CVCN e dai laboratori indipendenti per rendere effettive le procedure di valutazione.

Considerando l’ampio numero di aziende comprese nel perimetro e il conseguente numero di apparati da certificare, potrebbe delinearsi una netta discrepanza tra l’effettiva capacità di assorbimento dei test da parte dei laboratori e il numero di prodotti da sottoporre alle procedure di test.

Inoltre, le rigidità alla base dei Common Criteria non permettono di mantenere la certificazione per prodotti/sistemi su cui vengono installate nuove patch per aggiornamenti, per cui se si effettua una modifica o un aggiornamento in linea teorica è necessario effettuare nuovamente tutto il percorso di certificazione.

Cybersecurity e certificazioni: cosa prevedono gli European Common Criteria

Sebbene i Common Criteria si siano rivelati uno strumento particolarmente valido negli ultimi vent’anni, contribuendo sostanzialmente ad innalzare il livello di sicurezza di servizi e prodotti digitali, le recenti evoluzioni tecnologiche ed economiche hanno posto nuovamente l’attenzione sulla necessità di sviluppare e promuovere sistemi in grado di far combaciare più agilmente la rinnovata attenzione sulla cybersecurity con i ritmi sempre più dinamici e flessibili dei mercati digitali.

L’Unione Europea aveva iniziato a porre l’attenzione politica e normativa su tali considerazioni già dal 2019, con la pubblicazione del Cyber Security Act, che sosteneva la creazione di un nuovo sistema di certificazioni uniforme per tutta l’UE. Fondamentale è stato anche il sempre maggiore coinvolgimento di ENISA, che ha istituito un gruppo di lavoro specifico per promuovere la stesura dei Common Criteria Europei, detti EUCC (Common Criteria based European candidate cybersecurity certification scheme), sulla base dei Common Criteria esistenti.

Gli elementi di discontinuità degli EUCC rispetto ai Common Criteria applicati nei sistemi nazionali risiedono proprio nella volontà di ottimizzare il rapporto tra certificazioni e dinamiche di mercato, in particolare riguardo a costi e tempi.

Tra i principali obiettivi figura, infatti, l’adozione di procedure per la gestione della criticità non previste al momento del rilascio e una procedura di valutazione rapida per le correzioni e le modifiche successive dei prodotti.

In questa direzione si muovono il c.d. Patch Management che consente al produttore di introdurre preventivamente un meccanismo di gestione delle patch, così da avere un prodotto costantemente aggiornato e “patchato” pur mantenendo lo stato di certificazione (e quindi senza dover ricominciare la procedura da capo in caso di modifiche) e il “testing once principle”, per evitare che prodotti già certificati debbano ripetere la procedura.

Dopo la pubblicazione della prima bozza dell’EUCC (la Versione 1.0), che mira a sostituire gradualmente gli attuali schemi di certificazione nazionali, basati anch’essi sui Common Criteria, nel maggio 2020 l’ENISA ha anche avviato un processo di consultazione di tutti gli stakeholder interessati, i risultati del quale sono stati pubblicati nel maggio 2021. Dalle consultazioni svolte dall’ENISA con gli stakeholder del mercato digitale è emerso un consenso piuttosto ampio da parte degli attori interessati.

Cybersecurity e certificazioni: cosa accadrà nei prossimi due anni

Sulla base di queste consultazioni, con il sostegno dell’AHWG, l’ENISA ha sviluppato la Versione 1.1 dell’EUCC. Tale versione dovrebbe essere usata dalla Commissione Europea per la stesura dell’Implementing Act, atto esecutivo con cui lo schema potrebbe diventare ufficialmente parte della legislazione europea.

Tuttavia, si prevede che questo processo impiegherà ancora diverso tempo per essere concluso, con una piena attuazione degli EUCC che probabilmente richiederà nuove discussioni in sede comunitaria e la stesura di linee guida per facilitare la fase di transizione.

Quest’ultima, in particolare dovrebbe durare almeno due anni, periodo in cui le certificazioni nazionali assorbite dagli EUCC dovrebbero cessare di operare. Resta aperto il nodo di come gestire questa fase di transizione.

A tal proposito, si attende la pubblicazione dell’ultimo decreto attuativo sul perimetro – che dovrebbe chiarire le modalità di accreditamento dei laboratori e le metodologie di test che verranno utilizzate in Italia – per trovare l’auspicato bilanciamento tra garanzia della sicurezza e tutela della dinamicità del mercato, nell’ottica di favorire la massima diffusione, anche presso tutte le aziende strategiche ricomprese nel perimetro, di apparecchiature ICT sicure e certificate.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati