relazione agenzia cyber

Nis2 e certificazioni (cvcn): a che punto siamo



Indirizzo copiato

La relazione 2023 dell’Agenzia per la Cybersecurity Nazionale evidenzia progressi nella sicurezza cibernetica in Italia, con l’attuazione del Perimetro di Sicurezza Nazionale Cibernetica e della direttiva NIS. Il 2024 vedrà transizioni importanti verso la NIS 2 e l’adozione dello schema EUCC per la certificazione di prodotto in cyber security. Lo stato dell’arte

Pubblicato il 13 mag 2024

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche



Non-disclosure agreement, Cyber,Security,And,Data,Privacy,Protection,Concept,With,Icon,Of

La relazione della Agenzia per la Cybersecurity Nazionale al Parlamento relativa al 2023 è una interessante disanima dello stato dell’arte della sicurezza cibernetica in Italia: il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e la NIS hanno trovato attuazione negli ultimi anni, ma il 2024 sarà un anno transitorio verso il recepimento della NIS 2 e l’implementazione dello schema europeo di certificazione di prodotto per la cyber security a seguito della pubblicazione dello schema EUCC da parte della Commissione europea, avvenuto all’inizio di quest’anno.

Lo schema copre livelli definiti “sostanziali” o “alti”: i certificati EUCC di livello sostanziale corrispondono a certificati che coprono i livelli 1 e 2 degli AVA_VAN, ossia i livelli di sicurezza delle analisi di vulnerabilità collegate ai Common Criteria. I certificati EUCC di livello alto corrispondono a certificati che coprono i livelli 3, 4 e 5 degli AVA_VAN.

Il ruolo delle Autorità nazionali di certificazione della cybersicurezza (NCCA)

Il Cyber Security Act richiede a tutti gli Stati Membri di designare una o più Autorità nazionali di certificazione della cybersicurezza (National Cybersecurity Certification Authority-NCCA) che vigilino a livello nazionale sull’applicazione del Regolamento e dei successivi sistemi di certificazione e cooperino con le autorità designate dagli altri Stati membri, la Commissione europea ed ENISA nella realizzazione e revisione del quadro europeo di certificazione.

Alle NCCA sono assegnate funzioni di vigilanza sugli organismi di valutazione della conformità e sui titolari dei certificati di cyber security, nonché sui certificati e sulle dichiarazioni di conformità, con poteri ispettivi. Il ruolo di NCCA è stato assegnato all’Agenzia per la cybersicurezza nazionale dal D.L. n. 82/2021 e ulteriormente disciplinato dal D.Lgs. n. 123/2022.

Con lo schema generale di certificazione di prodotto arriveranno anche uno schema specifico per il 5G e uno per il cloud. Poi ne seguiranno altri, suddivisi per tecnologia e per campo di applicazione.

I risultati degli scrutini CVCN per l’applicazione del PSNC

Molti i procedimenti di scrutinio realizzati nel 2023 dal Centro di Valutazione e Certificazione Nazionale (CVCN) per l’impiego di prodotti dell’ICT su servizi del PSNC. Sempre molto alto il numero di valutazioni realizzate dal CVCN in applicazione della Golden Power, circa 180 valutazioni tra tecnologia 5G, notifiche con profili di cyber security e prenotifiche. In parallelo 12 certificati common criteria emanati dall’OCSI. Le due autorità viaggiano ancora parallelamente, in attesa che lo schema europeo di certificazione di prodotto abroghi definitivamente lo schema nazionale di certificazione common criteria emanato del 2003 e oggi ancora operativo sotto l’egida dell’OCSI, Organismo di certificazione della Sicurezza Informatica operante ora all’interno della ACN.

Gli scrutini CVCN per l’applicazione del PSNC hanno poi portato alla individuazione di 38 zero-day, un ottimo risultato che si annovera tra i “pericoli scampati” e inizia finalmente a portare i resoconti di cyber security verso il conteggio dei risultati positivi per la “squadra dei difensor” e non solo di quelli positivi per la “squadra degli attaccanti”.

Le sfide dell’accreditamento dei laboratori di prova

Accanto a questi risultati molto positivi fa capolino un altro obiettivo quasi raggiunto di quelli in capo alla ACN: l’accreditamento dei laboratori di prova che affiancheranno il CVCN nelle attività di verifica e certificazione fino al livello medio.

Cinque laboratori sono a oggi in corso di valutazione. Tale processo richiede un significativo investimento da parte delle aziende in termini economici e strutturali, nonché di risorse umane. La ACN ha ammesso 27 aspiranti laboratori alla possibilità di un finanziamento in ambito PNRR per la copertura delle spese del procedimento di accreditamento; tuttavia, il processo è ancora in itinere e le difficoltà sono tuttora presenti. Sicuramente la prima è la scarsezza di personale disponibile sul mercato per svolgere il ruolo professionalmente rilevante di valutatore, ma accanto a questo ci sono altri interrogativi, soprattutto relativi al modello di business, che animano le aziende interessate al tema delle certificazioni di prodotto.

Il recepimento della NIS 2 e le sue implicazioni

Il recepimento della NIS 2 segnerà un ulteriore momento di ampliamento della operatività del CVCN. Il tema che interessa tutte le aziende italiane, praticamente, è l’introduzione del meccanismo di identificazione dei soggetti in entità importanti o essenziali, per mezzo di un criterio omogeneo di identificazione basato sulla dimensione (il size-cap rule), che estende l’applicazione della Direttiva a tutte le medie e grandi imprese che operano nei settori identificati dalla stessa. L’allargamento è comportato anche dall’aumento significativo dei settori di applicazione e dall’introduzione di un approccio “all-hazard” alla cyber security, approccio che si sposa con il combinato disposto della applicazione della direttiva CER. Un altro tema importantissimo è l’integrazione della Pubblica Amministrazione centrale e volendo in parte anche locale negli adempimenti della direttiva.

L’ACN rafforzerà le attività di supervisione e le sanzioni previste dall’Unione Europea saranno più alte che nella applicazione della precedente versione. Inoltre, i CSIRT (Computer Security Incident Response Team) nazionali avranno maggiori funzioni operative e fungeranno da intermediari di fiducia tra i soggetti segnalanti e i fornitori di prodotti e servizi ICT nell’ambito del quadro per la divulgazione coordinata delle vulnerabilità. Questa funzione dovrà essere realizzata basando i rapporti sulla costituzione di rapporti basati sulla fiducia e sulla tempestività e lo stesso vale per le attività previste di gestione delle crisi, con la previsione di quadri nazionali in materia e l’istituzionalizzazione di EU-CyCLONe.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2