Il regolamento Europeo denominato Cyber Security Act (CSA), entrato in vigore nel giugno del 2018, ha introdotto uno schema europeo di certificazione dei prodotti ICT. Il primo schema di certificazione prodotto da ENISA e che entrerà in vigore il 27/02/2025, è l’EUCC, ovvero lo schema europeo per la valutazione di sicurezza dei prodotti ICT ai sensi dello standard Common Criteria.
L’EUCC rappresenta la trasposizione in schema europeo dello schema utilizzato dal SOG-IS, accordo di mutuo riconoscimento sottoscritto da 10 paesi europei, che cesserà di esistere all’entrata in vigore dell’EUCC.
Indice degli argomenti
Le novità del Cyber Security Act (CSA)
Una delle principali novità introdotte dal CSA è la creazione dei Conformity Assessment Body (CAB) privati.
Questi possono fungere da:
- Certification Body (CB), ovvero enti di certificazione accreditati ai sensi dello standard ISO/IEC 17065 che sono autorizzati ad emettere i certificati;
- Information Technology Security Evaluation Facility (ITSEF), ovvero dei laboratori di prova che effettuano le valutazioni di sicurezza dei prodotti ICT. Essi sono accreditati ai sensi dello standard ISO/IEC 17025.
Ma mentre per gli ITSEF questo non rappresenta una novità (da anni esistono laboratori di prova privati accreditati nei vari schemi di certificazione nazionali), i CB privati sono una assoluta novità perché fino ad oggi gli enti di certificazione in ambito sicurezza dei prodotti ICT erano solo soggetti appartenenti ad enti governativi.
Cosa potranno fare i CB privati
Va comunque osservato che i CB privati potranno emettere solo certificati a livello “Substantial”, mentre i certificati a livello “High” potranno essere emessi sono da CB appartenenti ad enti governativi e autorizzati dall’Autorità Nazionale di Certificazione della Cybersicurezza (NCCA), ruolo che in Italia è ricoperto dall’Agenzia di Cybersicurezza Nazionale (ACN).
Ci può essere un’eccezione a questa regola solo se la NCCA di uno Stato Membro non ha un CB per il livello “High” e quindi può accreditare un CB privato ad effettuare tali valutazioni. In questo caso, il CB privato deve sottostare alle stesse regole dei CB pubblici accreditati per i livelli “High” negli altri Stati Membri.
ISO/IEC/IEC 17065: lo standard per l’accreditamento dei CB in ambito EUCC
Come detto in precedenza, lo standard scelto per l’accreditamento dei CB nell’ambito dell’EUCC è la ISO/IEC/IEC 17065 che è una norma da tempo utilizzata per l’accreditamento di CB in altri ambiti.
Va comunque osservato, che la ISO/IEC 17065 contiene dei requisiti relativi alla metodologia che il CB deve applicare durante la valutazione della conformità. Questi elementi metodologici sono comunque generici e quindi possono essere soggetti a interpretazione.
Le linee guida Enisa
Per tale ragione, l’ENISA ha predisposto un documento che fornisce alle Autorità Nazionali di Accreditamento (NAB) le necessarie informazioni per applicare la ISO/IEC 17065 durante l’accreditamento dei CB in ambito EUCC. In pratica, fornisce, per ogni requisito della ISO/IEC 17065, la necessaria interpretazione da applicare quando si accredita un CB in ambito EUCC.
In questo articolo descriveremo in sintesi la procedura di accreditamento dei CB definita da ENISA ed evidenzieremo i principali aspetti di novità introdotti e le peculiarità connesse alle valutazioni CC dei prodotti ICT.
Le responsabilità dell’autorità nazionale di accreditamento (nab)
L’Autorità Nazionale di Accreditamento (NAB), in Italia ACCREDIA, è stabilita in ogni Stato Membro in accordo a quanto previsto dal Regolamento 765/2008. La NAB ha la responsabilità di accreditare i CAB siano essi Certification Body (CB) o Laboratori di Prova (ITSEF) al livello “sustantial” dell’EUCC. I laboratori di prova posso anche eseguire test a livello “High”, ma devono ricevere una specifica autorizzazione da parte della NCCA.
Nel suo processo di accreditamento, la NAB deve svolgere i seguenti compiti:
- riferire i risultati della valutazione dell’accreditamento alla NCCA, compresi i rapporti di valutazione e le decisioni di concessione, estensione, riduzione, sospensione o revoca dell’accreditamento per l’EUCC sia per i CB che per gli ITSEF;
- definire e applicare un programma di verifica per garantire che i CB e gli ITSEF accreditati soddisfino nel continuo i requisiti di accreditamento richiesti;
- adottare misure appropriate per ridurre il campo di applicazione, sospendere o revocare l’accreditamento dei CB e degli ITSEF quando essi non sono conformi ai requisiti di accreditamento, compresi quelli provenienti dal CSA. In quest’ultimo caso, soprattutto per violazioni che riguardano i requisiti dell’Allegato del CSA, la collaborazione con la NCCA è indispensabile poiché questa ha i poteri di controllo e supervisione stabiliti dal CSA e può supportare la NAB in questo compito.
Le responsabilità dell’autorità nazionale di certificazione della cybersicurezza (NCCA)
La NCCA comunica alla Commissione Europea i CB e gli ITSEF che sono stati accreditati dal NAB utilizzando un modello predefinito e contestualmente informa l’ENISA che pubblica tali informazioni sul sito europeo della cybersicurezza.
Analogamente, comunica ad ENISA qualsiasi successiva modifica all’accreditamento (es. riduzione del campo di applicazione, sospensione o sospensione o revoca dell’accreditamento) per poter tenere aggiornate le informazioni che ENISA riporta sul sito.
Aspetto importante per le NCCA e le NAB è la condivisione delle informazioni sullo stato degli accreditamenti dei CB e degli ITSEF da utilizzare nelle rispettive attività di monitoraggio e supervisione delle attività di tali soggetti.
Tali informazioni sono riportate dall’NCCA in un rapporto annuale di sintesi che viene inviato all’ECCG (European Cybersecurity Certification Group) composto dalle NCCA di tutti gli Stati Membri dell’Unione Europea.
I requisiti per l’accreditamento di un CB
Come detto in precedenza, i requisiti che un CB deve rispettare per essere accreditato sono quelli descritti negli allegati del CSA e nello standard di riferimento ISO/IEC 17065.
Il documento predisposto dall’ENISA li divide tra requisiti generali e requisiti specifici e fornisce la mappatura tra i requisiti del CSA quelli della norma ISO/IEC 17065.
L’obiettivo del documento è quello di predisporre una linea guida per l’accreditamento dei CB da parte delle NAB fornendo la giusta interpretazione dei requisiti da applicare vista la particolarità delle valutazioni e certificazioni di prodotti ICT in ambito EUCC.
Requisiti di accreditamento generali
I requisiti generali sono quelli standard che si applicano quando si accredita un CB e derivano tutti dalla ISO/IEC 17065.
Non andremo nei dettagli di ogni requisito, ma illustreremo i principi che essi intendono implementare.
Tra questi si evidenziano:
- Indipendenza: i CB devono essere delle terze parti indipendenti e non devono avere alcun tipo di relazione, diretta e/o indiretta, con le società che producono i prodotti che essi valutano e per i quali emettono dei certificati. In pratica, i CB devono dimostrare durante la procedura di accreditamento la loro totale indipendenza e l’assenza di conflitti di interesse.
- Riservatezza: il CB devono mostrare le misure di sicurezza che hanno messo in campo per garantire la totale riservatezza delle informazioni confidenziali trattate durante le attività di valutazione e certificazione dei prodotti.
- Competenze: i CB devono dimostrare che i propri valutatori e certificatori posseggano le necessarie competenze per poter effettuare le attività che gli vengono affidate e che è stato implementato un processo di formazione continua per poterle mantenere e incrementare. Tra l’altro, tutto il personale coinvolto nel processo di valutazione e certificazione deve conoscere le procedure da utilizzare e tutte le norme e standard applicabili al contesto.
- Imparzialità: i CB devono dimostrare la loro imparzialità, ovvero la capacità di effettuare le attività in maniera obiettiva. Tale concetto è strettamente connesso al principio di indipendenza e di assenza di conflitti di interesse, ma per i CB e gli ITSEF implica che essi devono dimostrare di poter valutare i rischi di imparzialità e di poter adottare nel continuo le necessarie misure di mitigazione.
Requisiti di accreditamento specifici
I requisiti di accreditamento specifici riprendono e integrano quelli generali specificando in maniera più puntuale come devono essere interpretati e applicati.
Anche in questo caso, non andremo nel dettaglio di tutti i requisiti specifici, ma illustreremo quelli più rilevanti e significativi per il tipo di valutazioni e certificazioni che saranno eseguite in ambito EUCC.
Competenze del personale operante nel CB
Come indicato in precedenza, il CB deve stabilire, attuare e mantenere una procedura per la gestione delle competenze dei certificatori dove:
- le competenze, i livelli di competenza, le conoscenze, le abilità, l’esperienza e l’istruzione devono sono conformi ai requisiti specifici per i certificatori introdotti dalla revisione della ISO/IEC/IEC 198964, una volta che questa sarà disponibile;
- le conoscenze richieste per la certificazione di tecnologie specifiche e per l’esecuzione di diversi tipi di tecniche di valutazione devono essere specificate dal CB in accordo a quanto contenuto nell’Allegato “Technology and Evaluation Technique types” del documento di ENISA.
Il CB può utilizzare altri criteri di classificazione, purché siano riconducibili a quelli indicati nell’Allegato citato prima. Tale mappatura, e le relative motivazioni, dovranno essere messe
a disposizione delle NAB e della NCCA.
Risorse per la valutazione
Relativamente alle risorse per eseguire la valutazione, la ISO/IEC/IEC 17065 prevede due opzioni:
- l’utilizzo di risorse interne al CB, direttamente impiegate dal CB o sotto il suo diretto controllo;
- l’uso di risorse esterne, che possono appartenere a entità giuridiche diverse o essere altre parti delle stesse entità giuridiche.
Va comunque osservato che nell’ambito delle valutazioni Common Criteria, la norma ISO/IEC/IEC 18045 (Common Evaluation Methodologhy – CEM) stabilisce che i ruoli di valutatore e certificatore devono essere svolti da entità diverse.
Inoltre, la norma ISO/IEC/IEC TS 23532 relativa alle competenze dei valutatori degli ITSEF stabilisce che “Per mantenere imparzialità, il laboratorio deve mantenere un’adeguata separazione tra valutatori e altro personale all’interno del laboratorio o all’esterno del laboratorio, ma all’interno dell’organizzazione madre”.
Per tale ragione, nel caso di CB in ambito EUCC, l’unica soluzione per un CB è utilizzare risorse esterne per le attività di valutazione. Se il laboratorio è all’interno della stessa organizzazione del CB, esso deve essere trattato a tutti gli effetti come un laboratorio esterno a cui il CB ha esternalizzato le attività di valutazione.
In pratica, si possono adottare le seguenti opzioni:
- laboratorio esterno: il CB esternalizza ad un laboratorio esterno le attività di valutazione. Ovviamente questo laboratorio deve essere accreditato ISO/IEC 17025 per l’EUCC e non deve appartenere alla stessa società del CB. Ovviamente il CB può utilizzare più laboratori di prova (ITSEF) accreditati che soddisfino i requisiti indicati prima.
- Laboratorio interno: in questo caso, il laboratorio appartiene alla stessa entità giuridica del CB. Come detto prima, il laboratorio deve essere trattato a tutti gli effetti come un laboratorio esterno e pertanto, oltre ad essere accreditato ai sensi della ISO/IEC 17025, deve soddisfare i seguenti requisiti aggiunti:
- il management del laboratorio non deve essere coinvolto nelle decisioni di certificazione e deve impegnarsi a preservare l’imparzialità e a prevenire influenze indebite tra le attività di certificazione e le attività di valutazione;
- quando un’altra parte della stessa entità giuridica agisce come ITSEF, il CB e l’ITSEF devono avere perimetri disgiunti e operare in modo indipendente in termini di procedure di lavoro, gestione delle competenze e allocazione delle risorse. In pratica ci deve essere una separazione strutturale e organizzativa tra il CB e l’ITSEF. Il personale coinvolto nelle attività di valutazione non deve essere personale del CB e non deve essere coinvolto nel processo decisionale di revisione e certificazione. Tuttavia, fatti salvi i requisiti precedenti, la gestione della qualità può essere mutuata tra i due organismi accreditati (CB e ITSEF) della stessa organizzazione.
Requisiti che i CB devono applicare quando scelgono un laboratorio (ITSEF)
In conformità a quanto prescritto dalla norma ISO/IEC 17065, il CB deve avere un contratto o un accordo legalmente vincolante con ogni ITSEF con cui lavora e questo contratto/accordo deve includere:
- i rispettivi ruoli e responsabilità del CB e dell’ITSEF per quanto riguarda i compiti di valutazione e certificazione del CC, in conformità a quanto previsto dalle norme ISO/IEC 17065 e ISO/IEC/IEC 18045;
- la gestione della riservatezza, in particolare per quanto riguarda le informazioni sensibili e/o proprietarie condivise dallo sponsor/sviluppatore come parte delle prove di certificazione e dei risultati della valutazione;
- identificazione e prevenzione dei conflitti di interesse, in linea con la norma ISO/IEC 17065.
Va evidenziato che l’ITSEF deve eseguire le attività di valutazione come specificato nelle work unit della Common Methodology for Information Technology Security Evaluation (CEM) descritta nella norma ISO/IEC 18045) e deve fornire verdetti in merito alla conformità del prodotto valutato ai requisiti di sicurezza specificati. Il CB esamina, ed eventualmente discute, i verdetti proposti dall’ITSEF e, sulla base di un rapporto finale (ETR), confermerà tali verdetti e prenderà una decisione di certificazione che, se del caso, porterà all’emissione di un certificato EUCC e di un rapporto di certificazione.
IL CB mantiene un elenco di ITSEF selezionati e approvati per l’esternalizzazione dei compiti di valutazione nell’ambito dei progetti di certificazione EUCC.
Il CB deve disporre di un processo per verificare quanto segue:
- gli ITSEF selezionati e approvati devono essere adeguatamente accreditati secondo la norma ISO/IEC/IEC 17025 e secondo la procedura definita da ENISA per l’ambito delle attività di valutazione rilevanti per le attività del CB;
- in qualsiasi momento, gli ITSEF selezionati e approvati devono continuare a rispettare le regole e i requisiti previsti dal contratto o dall’accordo stipulato.
Tale processo deve essere documentato nelle procedure operative del CB, e le registrazioni della valutazione e del monitoraggio degli ITSEF selezionati e approvati è prodotta e conservata in modo sicuro per un periodo di almeno cinque (5) anni dopo che il contratto o l’accordo giuridicamente vincolante con un ITSEF ha cessato di produrre effetti.
Il CB deve disporre di un processo per l’attuazione di azioni correttive in caso di violazioni del contratto o dell’accordo con un ITSEF quando ne viene a conoscenza.
Vantaggi e rischi dell’introduzione di Certification Body (CB) privati
Come detto nella parte introduttiva di questo articolo, l’introduzione di Certification Body (CB) privati da parte del CSA sicuramente offre l’indubbio vantaggio di stimolare il mercato delle certificazioni dei prodotti ICT che oggi è ad appannaggio esclusivo di enti governativi.
D’altra parte però presenta svariati rischi soprattutto per la garanzia dell’imparzialità dei processi di valutazione e certificazione e della obiettività e qualità dei risultati ottenuti. Questo richiede un grande sforzo da parte delle Autorità nazionali in termini di controllo e monitoraggio dei CB e laboratori di prova privati. A titolo esemplificativo, alcune Autorità stanno chiedendo la disponibilità ad alcuni laboratori privati di collaborare con loro per ripetere le valutazioni e verificare la bontà dei risultati (lo standard Common Criteria richiede che i risultati delle valutazioni siano obiettivi e ripetibili).
Altro aspetto rilevante, da non trascurare, sono le competenze dei valutatori e dei certificatori. Ad oggi, le certificazioni di sicurezza dei prodotti ICT sono un mercato di nicchia e quindi non sono presenti sul mercato numerosi profili con le competenze richieste.
Molte università negli ultimi anni hanno introdotto dei master sulla cybersicurezza, ma quasi nessuno di questi è specifico per formare un valutatore o un certificatore in ambito valutazioni Common Criteria e quindi le società che vorranno entrare in questo mercato dovranno fare importanti investimenti in formazione, sia teorica che “on the job”, per il proprio personale.
Altro aspetto da considerare è relativo alle Autorità nazionali sia NCCA che NAB.
Queste ad oggi non sono ancora pronte sia perché anche loro soffrono della scarsa disponibilità di profili con competenze adeguate sia perché la documentazione a supporto, nazionale ed europea, non è ancora stabile. A titolo esemplificativo, i due documenti di ENISA che descrivono le procedure per l’accreditamento dei CB e degli ITSEF sono ancora in draft e devono essere ancora approvati dalla Commissione Europea.
Alla luce di quanto detto, risulta evidente che nei prossimi anni assisteremo a numerose iniziative, sia nazionali che europee, che porteranno ad una maggiore stabilizzazione del mercato delle certificazioni della sicurezza dei prodotti ICT soprattutto per quando riguarda i CB e i laboratori di prova. Tale aspetto è rilevante se consideriamo che è stato già approvato il Cyber Resilience Act (CRA) che è strettamente connesso al CSA e che altri schemi europei di certificazioni stanno per essere emessi (vedi ad esempio lo schema di certificazione dei prodotti per le reti 5G).
Non ultimo, molti Stati Membri stanno rendendo queste certificazioni obbligatorie (vedi ad esempio il Perimetro Cibernetico Italiano con il CVCN) e questo sarà l’elemento che probabilmente darà una spinta effettiva allo sviluppo del mercato delle certificazioni di prodotti ICT e alla nascita di nuovi CB e Laboratori di Prove accreditati.