L’Italia non si farà trovare impreparata nel momento in cui l’Ue varerà i primi schemi di certificazione cloud e 5G. È stata infatti siglata la Convenzione tra l’Agenzia per la Cybersecurity Nazionale e Accredia per gestire gli accreditamenti degli organismi di valutazione della conformità (organismi di certificazione, di ispezione e laboratori di prova) che opereranno verso soggetti pubblici e privati.
“Le certificazioni di cybersecurity sono il mezzo per aumentare il livello di sicurezza dei prodotti e dei servizi informatici a disposizione dei cittadini e delle imprese, all’interno del mercato italiano ed europeo. L’Europa sta predisponendo i primi schemi di certificazione di servizi cloud e delle tecnologie 5G e l’Italia si deve far trovare pronta a questo appuntamento” ha commentato il Direttore di ACN, Roberto Baldoni. “La convenzione di oggi dà attuazione alle disposizioni del Cybesecurity ACT europeo in materia di accreditamento della rete di laboratori nazionale di certificazione” ha concluso il Direttore.
Certificazioni cyber: l’evoluzione dei requisiti e l’impatto sull’ecosistema
L’importanza della certificazione nella cybersecurity
Il DL 82/2021 istituisce il Sistema nazionale di sicurezza cibernetica e l’Agenzia alla quale è attribuita, tra l’altro, la funzione di Autorità nazionale di certificazione della cybersecurity (National Cybersecurity Certification Authority – NCCA). Il D.Lgs. 123/2022 adegua l’ordinamento nazionale alle disposizioni del Regolamento UE 2019/881.
L’ACN vigilerà sulla corretta applicazione delle regole previste dai sistemi europei di certificazione della cybersecurity da parte di fornitori e fabbricanti di prodotti ICT (tecnologie dell’informazione e comunicazione), emittenti di dichiarazioni UE di conformità, titolari di certificati europei e organismi di valutazione della conformità.
Inoltre, l’ACN, grazie alla convenzione, supporterà Accredia nel monitoraggio e nella vigilanza sulle attività degli organismi di valutazione della conformità da essa accreditati.
Le competenze di ACN
In assenza di un sistema europeo di certificazione, l’ACN può introdurre sistemi nazionali di certificazione per prodotti ICT, servizi ICT o processi ICT, previa consultazione dei portatori di interesse. L’ACN è direttamente competente al rilascio di certificazioni con livello di affidabilità elevato e, nello svolgimento di questo compito, si avvale dell’Organismo di Certificazione della Sicurezza Informatica (OCSI). Il rilascio potrà altresì avvenire a opera di un organismo di valutazione della conformità che agisca sulla base di una delega generale dell’ACN, oppure previa approvazione dell’ACN per ogni certificato rilasciato.
Le certificazioni con livello di affidabilità di base o sostanziale potranno essere rilasciate anche da organismi di valutazione accreditati ai sensi del Regolamento CE 765/2008. In tal caso, l’ACN parteciperà con propri rappresentanti alle deliberazioni sull’accreditamento degli organismi.
Accredia, nello svolgimento delle funzioni assegnatele dal Regolamento UE 2019/881, comunicherà all’ACN e all’ufficio unico di collegamento designato per l’Italia (Ministero dello Sviluppo Economico) ogni aggiornamento in merito a nuovi accreditamenti, revoche, sospensioni e limitazioni dei certificati di accreditamento.
L’Agenzia aggiorna e rende pubblici due elenchi di esperti e di laboratori di prova da essa abilitati a operare a supporto delle attività di vigilanza e rilascio dei certificati in capo all’Agenzia.
Certificazioni cyber security, la Ue cambia ancora: i nodi delle notifiche di conformità
L’analisi dell’Osservatorio Accredia
Nell’occasione della firma, è stato presentato lo studio dell’Osservatorio Accredia: “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata”, realizzato insieme al Cybersecurity National Lab del CINI, nell’ambito dell’Osservatorio congiunto “Cybersecurity e certificazione”. Lo studio è stato presentato da Paolo Prinetto e Alessandro Armando, Direttore e Vicedirettore del Cybersecurity National Lab.
Le analisi contenute nello studio dell’Osservatorio Accredia forniscono utili elementi a supporto del principio secondo il quale le valutazioni della conformità alle norme tecniche, irrobustite con l’accreditamento, rappresentano fattori abilitanti per la cybersecurity; di fatto esse esercitano un ruolo determinante nell’attuale processo di trasformazione digitale della società.
In aumento le aziende italiane con certificazione ISO/IEC 27001
Secondo lo studio che riguarda le certificazioni di processo e non di prodotto, ad oggi le aziende italiane con certificazione ISO/IEC 27001 sono 3500, con un aumento del 21% rispetto all’anno precedente. Ai fini dell’analisi svolta da Accredia, sono state considerate tutte le organizzazioni pubbliche e private aventi sede legale sul territorio italiano, presenti nella banca dati di Accredia e in attività alla data di estrazione (marzo 2022). Tali organizzazioni sono state quindi suddivise in due diverse popolazioni, costituite da:
- le organizzazioni provviste della certificazione di sicurezza UNI CEI EN ISO/IEC 27001;
- le organizzazioni provviste della certificazione di qualità UNI EN ISO 9001.
Sono state estratte 100 organizzazioni, 50 dal primo gruppo e 50 dal secondo, utilizzando la tecnica di “campionamento non probabilistico di convenienza[1]” tenendo conto della dimensione aziendale e del settore di attività di appartenenza.
Le vulnerabilità individuate
L’attività di analisi sulle vulnerabilità identificate tramite le fonti OSINT ha permesso di individuare 1.207 vulnerabilità CVE sui 100 servizi web oggetto di analisi, di cui 683 (57%) nel campione di organizzazioni certificate UNI EN ISO 9001 e 524 (43%) nel campione certificato UNI CEI EN ISO/IEC 27001. Questi risultati indicano come le organizzazioni certificate UNI CEI EN ISO/IEC 27001 siano meno suscettibili a gravi vulnerabilità di sicurezza. Di fatto, l’attività di analisi sull’utilizzo del protocollo HTTPS ha evidenziato come le organizzazioni UNI CEI EN ISO/IEC 27001 abbiano un alto grado di sicurezza nell’utilizzo del protocollo, soprattutto rispetto alle organizzazioni fornite solamente della certificazione di qualità UNI EN ISO 9001. I risultati evidenziati sono i seguenti:
- Utilizzo protocollo HTTPS delle organizzazioni con certificazione UNI CEI EN ISO/IEC 27001:
- il 50% del campione analizzato ha ottenuto valutazioni A e A+ (il massimo grado di sicurezza)
- il 42% ha raggiunto il grado B
- Utilizzo protocollo HTTPS delle organizzazioni con certificazione UNI EN ISO/IEC 9001:
- il 37% riesce a raggiungere il massimo grado di configurazione di sicurezza (A, A+)
- il 50% dei servizi si attesta sul grado di sicurezza B.
Infine, l’attività di analisi è proseguita andando a determinare, per ogni CMS (Content Management System), il numero di versione, con l’obiettivo di valutare il livello di aggiornamento dei CMS stessi, essendo questi spesso oggetto di vulnerabilità di sicurezza ad alto impatto.
Il 24% delle organizzazioni UNI CEI EN ISO/IEC 27001 risulta avere una versione aggiornata del proprio CMS, a differenza della controparte certificata UNI EN ISO 9001 che si attesta al 18%. Le attività di analisi quantitativa, pur non rappresentando una valutazione esaustiva dello stato di sicurezza di un’organizzazione, hanno confermato una migliore postura di sicurezza delle organizzazioni con una certificazione accreditata per la UNI CEI EN ISO/IEC 27001.
Note
- Il campionamento di convenienza viene effettuato con un metodo non probabilistico che non offre a tutte le unità della popolazione la stessa possibilità di entrare a far parte del campione. In pratica, alcuni gruppi o individui hanno maggiore probabilità di essere scelti rispetto agli altri. ↑
