Standard Globali

Certificazioni ICT: l’importanza del mutuo riconoscimento per la cybersecurity



Indirizzo copiato

La crescente interconnessione delle infrastrutture ICT richiede certificazioni di sicurezza riconosciute a livello internazionale. Il mutuo riconoscimento previene barriere protezionistiche, assicurando che i prodotti rispettino standard globali, essenziali per la sicurezza collettiva

Pubblicato il 10 dic 2024

Garibaldi Conte

consulente nell’ambito dell’ICT e della Sicurezza ICT



equalize dossieraggi

Negli ultimi anni la certificazione di sicurezza dei prodotti ICT ha assunto una sempre maggiore rilevanza all’interno della gestione della cyber security delle infrastrutture ICT e di rete di tutti i Paesi nel mondo.

Certificazione di sicurezza dei prodotti ICT: le normative nel mondo

Tale rilevanza è dimostrata dalle numerose iniziative che hanno intrapreso le varie Autorità di cybersicurezza nel mondo che stanno emettendo sempre più normative afferenti a tale ambito. Si pensi, ad esempio, ai Regolamenti Cyber Security Act (CSA) che ha creato uno schema di certificazione europeo e al Cyber Resilience Act (CRA) che rende tali certificazioni obbligatorie per alcuni prodotti considerati critici.

In ambito nazionale, è stato istituito il Perimetro Cibernetico italiano ed è stato creato il Centro Valutazione e Certificazione Nazionale (CVCN).

Negli Stati Uniti le certificazioni dei prodotti ICT ai sensi dei Common Criteria sono da anni obbligatorie per i prodotti utilizzati dall’Agenzia di Sicurezza Nazionale (NSA), dal Dipartimento della Difesa (DoD) e, in genere da tutta l’Amministrazione Pubblica americana. Analoghe iniziative sono state intraprese, o sono in corso di essere intraprese, da molti Paesi europei e nel mondo.

Il mutuo riconoscimento delle certificiazioni tra le Autorità dei vari Paesi

Tutte queste iniziative stanno stimolando lo sviluppo di un mercato internazionale di tali certificazioni, ma va osservato che queste rischiano di essere vanificate se non si realizza un meccanismo di mutuo riconoscimento delle stesse tra le Autorità dei vari Paesi.

Se l’emissione dei Regolamenti Europei quali CSA e CRA di fatto include un mutuo riconoscimento all’interno dell’Unione Europea (un certificato emesso da un Ente di Certificazione accreditato in uno degli Stati europei di fatto è valido per tutti gli stati dell’Unione), lo stesso non si può dire per il resto del mondo.

In questo articolo analizzeremo le principali caratteristiche del mutuo riconoscimento, descriveremo i principali accordi presenti al momento e la loro evoluzione.

Cos’è e cosa comporta il mutuo riconoscimento delle certificazioni dei prodotti ICT

Ma perché il mutuo riconoscimento dei certificati è essenziale per il successo delle certificazioni della sicurezza dei prodotti ICT? Le motivazioni sono numerose e di diversa natura.

Definizione di metodologie e processi di certificazione comuni e standardizzati

Il primo aspetto rilevante è relativo alla definizione di metodologie e processi di certificazione comuni e standardizzati. Un accordo di mutuo riconoscimento richiede che tutte le certificazioni di sicurezza dei prodotti ICT effettuate dai vari Paesi sottoscrittori dell’accordo di mutuo riconoscimento utilizzino la stessa metodologia per avere risultati uniformi, confrontabili e ripetibili.

Analogamente, anche le procedure di accreditamento dei vari attori coinvolti (vedi Autorità, Certification Body e Laboratori di prova) devono essere le stesse al fine di avere la garanzia che questi rispettino i principali requisiti richiesti al fine di operare in maniera uniforme in tutti gli Enti che hanno sottoscritto l’accordo. In questa ambito sono di grande aiuto l’utilizzo di standard riconosciuti a livello mondale quali la ISO/IEC 17065 per i Certification Body e la ISO/IEC 17025 per i laboratori di prova.

Lo standard Common Criteria

Un esempio di quanto detto finora è lo standard Common Criteria (standard ISO/IEC 15408) che è stato emesso vero la fine degli anni ‘90 e che ha visto la collaborazione di varie Autorità degli Stati Uniti, Canada, Francia, Germania, Olanda e Gran Bretagna.

Lo standard Common Criteria è ad oggi lo standard alla base del più importante accordo di mutuo riconoscimento ad oggi esistente per le certificazioni di sicurezza dei prodotti ICT (il Common Criteria Regognition Agreement – CCRA) ed ha superato le differenze che esistevano in precedenza tra gli standard Trusted Computer Security Evaluation Criteria (TCSEC) utilizzato negli Stati Uniti e in Canada e lo standard Information Technology Security Evaluation Criteria (ITSEC) utilizzato prevalentemente in Europa.

Mutuo riconoscimento e sicurezza delle infrastrutture ICT mondiali

Altro aspetto rilevante del mutuo riconoscimento è il suo contributo alla sicurezza delle infrastrutture ICT mondiali che sono sempre più interconnesse e interdipendenti tra di loro. La possibilità di certificare la sicurezza di prodotti ICT attraverso metodologie standardizzate, deterministiche e rigorose, consente ai vari Paesi di poter essere confidenti e rassicurati che gli altri Paesi che hanno sottoscritto l’accordo utilizzano e implementano gli stessi livelli di sicurezza e possono garantire così una interconnessione delle infrastrutture ICT più sicura.

Mutuo riconoscimento e abbattimento delle barriere protezionistiche

Ultimo aspetto, non meno rilevante, è che gli accordi di mutuo riconoscimento di fatto eliminano anche le barriere protezionistiche tra i vari Paesi firmatari dell’accordo e consentono ai vendor di prodotti ICT di poter operare in un mercato più vasto. A titolo esemplificativo, un prodotto certificato in Italia può essere riconosciuto dall’Autorità nazionale americana (il NIAP) attraverso l’accordo CCRA e inserito nella lista dei prodotti che possono essere venduti nel mercato americano della Pubblica Amministrazione americana.

Infine, la certificazione di sicurezza di un prodotto ICT attraverso gli standard riconosciuti a livello internazionale diventa un importante valore di marketing per i vendor in tutti i Paesi in cui operano in quanto indicano in maniera certificata e ai propri clienti il livello di sicurezza da loro richiesto.

Il Common Criteria Recognition Agreement (CCRA)

Il Common Criteria Recognition Agreement (CCRA) è nato nel 2000 attraverso la sottoscrizione dell’accordo da parte di 12 Paesi, tra cui l’Italia.

Il fondamento tecnico dell’accordo è lo standard Common Criteria for Information Technology Security Evaluation descritto nello standard ISO/IEC 15408, unitamente alla Common Methodology for Information Technology Security Evaluation (CEM) descritta nello standard ISO/IEC 18045.

La nuova versione dell’accordo è stata sottoscritta nel 2014 e ad oggi il CCRA include 18 Paesi “produttori di certificati” e 13 Paesi “consumatori”.

Ad oggi sono stati certificati nell’ambito del CCRA quasi 6000 prodotti ICT e i certificati di ognuno di questi è riportato sul CC Portal per un periodo di 5 anni.

Qui di seguito sono descritti gli scopi che si prefigge IL CCRA, la sua organizzazione, le condizioni per il mutuo riconoscimento e la procedura per effettuare la cosiddetta “valutazione ombra”.

Le informazioni riportate sono state estratte dal sito dell’OCSI (Organismo di Certificazione della Sicurezza Informatica), rappresentante per l’Italia nel CCRA.

Scopo del CCRA

Tra gli scopi principali del CCRA vi sono quelli di assicurare che:

  • prodotti e sistemi ICT vengano valutati da laboratori accreditati competenti ed indipendenti, al fine di determinare il soddisfacimento di specifici requisiti di sicurezza nei limiti dei livelli di garanzia richiesti;
  • venga prodotta ed utilizzata documentazione di supporto, in accordo coi Common Criteria, allo scopo di definire come i criteri e le metodologie di valutazione vengono applicati nei processi di certificazione riguardanti specifiche tecnologie;
  • le certificazioni di sicurezza di prodotti e sistemi ICT vengano emesse da un certo di numero di cosiddetti Certificate Authorising Schemes (Schemi Produttori di Certificati), sulla base dei risultati della loro valutazione;
  • tali certificati vengano riconosciuti da tutti gli Schemi internazionali aderenti al CCRA.

Organizzazione del CCRA

I partecipanti al CCRA sono organizzazioni o agenzie governative rappresentative degli Schemi di certificazione dei rispettivi Paesi. I partecipanti possono essere produttori di certificati, semplici “consumatori”, ossia utilizzatori di certificati emessi in altri Paesi, oppure avere entrambe le funzioni.

I già citati partecipanti definiti come Certificate Authorising (Produttori di Certificati), sono rappresentativi di Organismi di Certificazione operanti nei rispettivi Paesi ed hanno la funzione di autorizzare i certificati emessi da tali Organismi. Nel caso in cui un Certificate Authorising Participant sia anche direttamente responsabile dell’organizzazione e della gestione delle risorse e delle competenze che costituiscono un Organismo di Certificazione, viene definito come Qualified Participant (Partecipante Accreditato).

I rappresentanti degli Schemi nazionali aderenti al CCRA si riuniscono periodicamente, di norma due volte l’anno, per verificare da un lato la corretta applicazione dello standard e dall’altro per migliorarne l’efficacia attraverso integrazioni e aggiornamenti.

In particolare, le riunioni del CCRA si articolano in diversi gruppi di lavoro:

  • il CCDB (Common Criteria Development Board) è un gruppo di lavoro prettamente tecnico che ha il compito di coordinare le attività di lavoro sui vari temi ritenuti di interesse generale, quali ad esempio le politiche di gestione e mantenimento delle certificazioni, la strategia di marketing, la gestione del sito web, ecc;
  • il CCMB (Common Criteria Maintenance Board) è un gruppo di lavoro permanente che si occupa dell’attività di revisione e aggiornamento dei criteri di valutazione;
  • il CCES (Common Criteria Executive Subcommittee) è un organo strategico-decisionale che si occupa di programmare le principali attività di interesse comune, quali ad esempio l’organizzazione dell’annuale conferenza internazionale sui Common Criteria (ICCC), ospitata a rotazione da tutti i Paesi aderenti. Inoltre, ha il compito di vagliare le richieste dei nuovi Schemi candidati a diventare Schemi Produttori, attraverso la cosiddetta “valutazione ombra”, pianificando il calendario e le modalità operative di tali valutazioni.
  • Il CCMC (Common Criteria Management Committee) si riunisce di norma solo una volta l’anno e comprende i Direttori di tutti gli Schemi aderenti al CCRA. Questo gruppo ha essenzialmente un compito di ratifica dei risultati ottenuti dai gruppi precedenti, nonché di coordinamento tra tutti gli Schemi, anche di quelli che in tali gruppi non sono rappresentati.

Condizioni per il mutuo riconoscimento

Gli accordi del CCRA stabiliscono che ogni partecipante riconosca la validità dei certificati Common Criteria emessi dai partecipanti Authorising (o Qualified).

Allo scopo di assicurare l’applicazione coerente ed armonica dei Common Criteria da parte di tutti gli Schemi e Organismi di Certificazione, gli accordi del CCRA prevedono anche che i partecipanti collaborino attraverso lo scambio di informazioni e lo svolgimento regolare di discussioni volte a risolvere dubbi e differenze di interpretazione dei Criteri stessi.

Inoltre, è responsabilità degli Organismi di Certificazione provvedere ad una costante verifica dei processi di valutazione in corso nell’ambito degli Schemi di appartenenza, onde assicurare che i Laboratori di prova accreditati lavorano secondo gli standard qualitativi e professionali richiesti.

In particolare devono verificare che i laboratori di prova accreditati:

  • conducano le valutazioni in modo imparziale;
  • applicano i Common Criteria e la CEM correttamente e in maniera coerente con gli altri Schemi aderenti;
  • proteggono in maniera adeguata la confidenzialità delle informazioni riservate relative ai prodotti ICT valutati.

Allo scopo di verificare che tutti i partecipanti continuino nel tempo a soddisfare i requisiti e gli scopi del CCRA, gli accordi prevedono che vengano effettuate, ad intervalli regolari di tempo, delle verifiche di controllo, da parte di rappresentanti di Qualified Participant, degli Organismi di Certificazione riconosciuti. Queste verifiche includono la procedura cosiddetta di “valutazione ombra”.

In base alle regole vigenti, introdotte con l’accordo ratificato l’8 settembre 2014, il mutuo riconoscimento dei certificati CC è previsto nei seguenti casi:

  • le certificazioni di prodotti che dichiarano conformità ad un cPP (collaborative Protection Profile) sono riconosciute fino al livello EAL4, inclusa l’eventuale aggiunta di ALC_FLR (Flaw remediation);
  • tutte le altre certificazioni vengono riconosciute fino al livello EAL2, sempre con l’aggiunta di ALC_FLR.

La valutazione ombra

Per accedere pienamente al mutuo riconoscimento delle proprie certificazioni, uno Schema aderente al CCRA deve sottoporsi ad una particolare procedura di controllo, detta “valutazione ombra” (Shadow Certification/Evaluation).

Il CCMC, l’organo gestionale del gruppo, ha facoltà di incaricare uno o più Qualified Participants a sottoporre alla verifica di controllo uno degli Organismi di Certificazione non ancora riconosciuti come Authorising. Di norma la verifica avviene dietro esplicita richiesta dei rappresentanti dello Schema corrispondente, che sottopongono volontariamente la propria candidatura.

La valutazione ombra si svolge secondo regole omogenee stabilite dal CCMC con lo scopo di assicurare che i controlli vengano eseguiti secondo uno standard uniforme. I partecipanti coinvolti nelle verifiche nominano una squadra di ispettori (assessment team) composta da due membri, ai quali possono aggiungersi altri esperti in rappresentanza di altri partecipanti, con la sola qualifica di osservatori.

In una prima fase, che precede la visita degli ispettori presso la sede di competenza, l’Organismo sotto controllo deve fornire (in lingua inglese) tutta la documentazione dello Schema, inclusa la normativa pertinente in vigore al momento nel Paese di appartenenza, il Manuale di Qualità e tutte le procedure che governano i processi di valutazione e certificazione. Gli ispettori esaminano la documentazione allo scopo di verificare che l’Organismo persegua effettivamente gli scopi del CCRA.

Successivamente ha inizio, con la visita ispettiva, la valutazione ombra vera e propria, che prevede la disamina di tutta documentazione prodotta durante le valutazioni di due prodotti ICT, condotte secondo lo standard Common Criteria ai livelli di garanzia EAL3 e EAL4. Il materiale fornito deve includere, per ciascuno degli dei prodotti ICT valutati, il Security Target (ST), il Rapporto Finale di Valutazione (se disponibile), la documentazione intermedia prodotta, inclusi i Rapporti di Attività dei Laboratori, e il Rapporto di Certificazione (se disponibile).

Affinché l’Organismo di Certificazione sottoposto alla valutazione ombra superi la verifica con successo, gli esperti facenti parte del team di verifica debbono ottenere evidenze sufficienti a convincerli che tale Organismo ha agito in maniera coerente ed aderente ai requisiti imposti dai Common Criteria e dal CCRA in tutte le fasi e per tutti gli aspetti concernenti i processi di valutazione e certificazione.

Senior Officials Group Information Systems Security (SOGIS)

Il SOGIS (Senior Officials Group Information Systems Security) è stato creato il 21 Novembre 1997 e in tale occasione è stato emanata una prima versione di un accordo di mutuo riconoscimento (Mutual Recognition Agreement, MRA v1) sottoscritta da 10 Paesi europei che non includeva al momento l’Italia.

Una seconda versione dell’accordo (MRA v2) è stata emessa nell’aprile del 1999, è stata firmata dagli stessi paesi, ad eccezione della Svizzera e con la nuova adesione dell’Italia.

In tale nuovo accordo si prevedeva l’uso nelle valutazioni anche del nuovo standard ISO/IEC IS-15408 (Common Criteria).

La versione corrente dell’accordo, la terza (MRA v3), è stata firmata ad aprile 2010 da parte degli Organismi di Certificazione (OC) nazionali di 10 Paesi inclusa l’Italia che ha aderito a dicembre 2010

L’accordo SOGIS-MRA prevede il riconoscimento dei certificati di sicurezza per prodotti e sistemi IT basati su Common Criteria e ITSEC fino ai livelli, rispettivamente, EAL4 e E3 (con Robustezza dei Meccanismi ‘basic’). Un livello di riconoscimento più elevato, superiore a EAL4 o E3 (basic), è previsto per specifici ambiti tecnologici sotto specifiche condizioni. Attualmente l’accordo definisce il Dominio Tecnico IT “Smart card e dispositivi simili”.

Qui di seguito sono descritti gli scopi che si prefigge il SOGIS, i partecipanti, le condizioni per il mutuo riconoscimento e le verifiche periodiche volontarie. Le informazioni riportate sono state estratte dal sito dell’OCSI (Organismo di Certificazione della Sicurezza Informatica), rappresentante per l’Italia nel SOGIS-MRA.

Scopo del SOGIS-MRA

Analogamente al CCRA, i partecipanti al SOGIS-MRA condividono i seguenti obiettivi:

  • garantire che le valutazioni di prodotti IT e Profili di Protezione (PP) siano eseguite secondo standard elevati e coerenti, in modo da contribuire significativamente alla fiducia nella sicurezza di tali prodotti e PP;
  • aumentare la disponibilità di prodotti IT con caratteristiche di sicurezza e PP certificati;
  • eliminare l’onere della duplicazione delle valutazioni di prodotti ICT e PP;
  • migliorare continuamente l’efficienza e il rapporto costo-efficacia del processo di valutazione e di certificazione di prodotti ICT e PP.

Lo scopo dell’accordo è quello di realizzare, perseguendo tali obiettivi, una situazione in cui prodotti ICT e PP già certificati possano essere reperiti ed utilizzati senza la necessità di un’ulteriore valutazione, potendo riporre fiducia nell’affidabilità dei giudizi alla base dei certificati emessi.

Partecipanti

I partecipanti al SOGIS-MRA sono organizzazioni o agenzie governative rappresentanti di paesi facenti parte dell’Unione Europea o dell’Associazione europea di libero scambio (EFTA – European Free Trade Association). I partecipanti possono essere produttori di certificati di valutazione, “consumatori” di certificati, o avere entrambi i ruoli.

I partecipanti denominati Certificate Consuming Participant, pur non avendo necessariamente la capacità di condurre valutazioni di sicurezza ICT, hanno tuttavia un interesse specifico nell’uso di prodotti e PP certificati. I partecipanti definiti come Certificate Authorising Participant rappresentano i Certification Body operanti nei rispettivi paesi ed autorizzano i certificati emessi da tali organismi. I Certificate Authorising Participant che controllano direttamente le risorse e le competenze di un Certification Body vengono denominati Qualified Participant.

Condizioni per il mutuo riconoscimento

I partecipanti al SOGIS-MRA si impegnano a riconoscere la validità dei certificati emessi da un qualsiasi partecipante Authorising, la cui autorizzazione fornisce garanzia che i processi di valutazione e certificazione sono stati condotti secondo elevati standard qualitativi e professionali, in particolare:

  • sulla base di criteri di valutazione della sicurezza IT riconosciuti;
  • utilizzando metodologie di valutazione della sicurezza IT riconosciute;
  • nell’ambito di uno Schema di Valutazione e Certificazione gestito da un CB accreditato, operante nel paese di origine del partecipante Authorising;
  • e, inoltre, che i certificati autorizzati e i Rapporti di Certificazione emessi sono conformi agli obiettivi dell’accordo.

I criteri di valutazione riconosciuti in ambito SOGIS-MRA sono Common Criteria e ITSEC. Le metodologie riconosciute sono quelle descritte nei documenti Common Evaluation Methodology for Information Technology Security Evaluation (CEM), Information Technology Security Evaluation Manual (ITSEM) e nei documenti di supporto del Joint Interpretations Working Group (JIWG), nelle versioni approvate dal Management Committee.

Allo scopo di promuovere un’applicazione coerente dei criteri e delle metodologie da parte dei vari Schemi di Valutazione e Certificazione, i partecipanti collaborano per giungere ad un’interpretazione uniforme dei criteri e delle metodologie attualmente applicabili e si impegnano ad accettare i documenti di supporto prodotti dal JIWG come risultato di questo lavoro. Per raggiungere questo obiettivo, i partecipanti operano frequenti scambi di informazioni e svolgono discussioni volte a risolvere eventuali divergenze di interpretazione. I partecipanti collaborano altresì alla produzione di documenti di supporto del JIWG riguardanti particolari tecniche di valutazione quali, ad es., metodi di penetrazione o Metodi di Attacco, che dovranno essere applicate dai CB che richiedano lo status di Qualified per uno specifico Dominio Tecnico IT.

Ad ulteriore garanzia di un’applicazione armonica, seria e professionale dei criteri e delle metodologie, i CB sono responsabili della verifica di tutte le valutazioni in corso nell’ambito dello Schema di appartenenza e dell’applicazione di opportune procedure volte a garantire che tutti i Laboratori di prova (ITSEF), accreditati dal CB:

  • conducono le valutazioni in maniera imparziale;
  • applicano i criteri e le metodologie correttamente e in maniera uniforme;
  • possiedono e mantengono nel tempo le competenze tecniche necessarie;
  • proteggono in maniera adeguata la confidenzialità delle informazioni riservate.

Verifiche periodiche volontarie

Gli OC facenti capo ai partecipanti al SOGIS-MRA vengono sottoposti a verifiche periodiche allo scopo di assicurarsi che continuino a perseguire gli obiettivi comuni dell’accordo. Tali verifiche vengono effettuate, per ogni CB accreditato, a distanza di tempo non superiore a cinque anni e vengono condotte da rappresentanti di due o più Qualified Participant selezionati dal Management Committee.

Conclusioni

Come illustrato in precedenza, li accordi di mutuo riconoscimento delle certificazioni di sicurezza dei prodotti ICT sono molto importanti per poter sviluppare tale mercato e introducono diversi benefici sia tecnici che economici.

Nello stesso tempo, si evince dalla descrizione dell’organizzazione del CCRA e del SOGIS-MRA, che un accordo di mutuo riconoscimento ha necessità di standard solidi e riconosciuti a livello mondiale, processi e procedure consolidate e attività continue di monitoraggio e verifica dei requisiti richiesti per mantenere la validità dei certificati e il loro mutuo riconoscimento.

Come accennato all’inizio, il SOGIS-MRA cesserà di esistere al 27 febbraio 2025 quando entrerà in vigore l’EUCC che di fatto ha incorporato tale schema e gli schemi di certificazione dei singoli stati europei cesseranno di esistere.

Tale scelta non è stata molto agevole perché il SOGIS-MRA, soprattutto per i livelli di assurance “High”, è molto sbilanciato su prodotti quali smart card e hardware, mentre ad oggi la maggior parte della certificazioni è su prodotti software, di rete e altri device digitali. Questo a portato un significativo ritardo nell’emissione dell?EUCC e ci si aspetta che nei prossimi anni verranno avviate diverse iniziative per rendere l’EUCC applicabile a tutti i prodotti.

Nel contempo, il CCRA è ormai l’accordo di mutuo riconoscimento più importante a livello mondiale e sempre maggiori Paesi chiedono di essere inclusi nell’accordo. È infatti notizia di pochi giorni fa che nell’accordo entreranno a breve il Belgio e la Giordania, mentre altri paesi hanno già fatto domanda per essere ammessi nel prossimo futuro.

Un aspetto di criticità ad oggi presente è relativo al mutuo riconoscimento tra i certificati EUCC e i certificati CCRA. Il 27 febbraio 2025, con l’introduzione dell’EUCC, cesseranno di esistere gli schemi nazionali europei, inclusi quelli firmatari del CCRA. Nel contempo, la Commissione Europea non ha firmato l’accordo CCRA in quanto con ci sono le basi legali per farlo. In pratica, la Commissione Europea rappresenta tutti gli stati dell’unione e non tutti questi sono firmatari del CCRA. Questo creerebbe un grosso problema perché di fatto chiuderebbe l’Europa ai prodotti ICT di altri Paesi (oggi la maggior parte dei prodotti ICT è prevalentemente americana o cinese, che sarebbero costretti ad effettuare una certificazione EUCC solo per il mercato europeo. Dall’altra parte, le certificazioni EUCC avrebbero una valenza solo europea e non mondiale.

Nell’ultima riunione del CCDB e del CCMC a novembre a Doha in occasione dell’annuale International Common Criteria Conference (ICCC), è stata elaborata una proposta che verrà sottoposta alla Commissione Europea entro fine anno.

La proposta consente di mantenere il mutuo riconoscimento tra certificati EUCC e certificati CCRA attraverso gli stati i firmatari europei del CCRA. In pratica, gli stati europei firmatari potrebbero, attraverso apposita procedura, trasformare i certificati EUCC emessi in Europa in certificati CCRA mantenendo così il mutuo riconoscimento. D’altra parte però, il mutuo riconoscimento non potrà avvenire all’incontrario, ovvero i certificati CCRA non potranno essere trasformati, almeno al momento, in certificati EUCC.

L’attuale proposta ha trovato comunque l’accordo di tutti i membri del CCRA e sembra essere una proposta temporanea che possa, in un qualche modo, continuare a mantenere il mutuo riconoscimento dei certificati CCRA con i paesi europei firmatari.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4