Il programma di lavoro

Certificazioni cyber, così ci lavora l’Europa: le priorità strategiche

Ue e Enisa (Agenzia Europea per la Sicurezza delle Reti e dell’Informazione) stanno lavorando alle certificazioni di cyber security con i rispettivi comitati di esperti. Obiettivo: raggiungere un alto grado di standardizzazione in modo che gli schemi nazionali siano aderenti a una linea unica e uniformemente diffusa

Pubblicato il 09 Dic 2020

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

international_security

A seguito del regolamento 881/2019 sulla cyber sicurezza, l’Unione Europea sta lavorando alacremente sul tema delle certificazioni di cyber security insieme con Enisa, l’Agenzia Europea per la Sicurezza delle Reti e dell’Informazione.

Entrambe hanno istituito comitati di esperti rappresentanti dei gruppi di stakeholder europei interessati al tema. In particolare, per la Commissione, DG Connect, sta lavorando lo Stakeholder Cybersecurity Certification Group (SCCG), oltre al comitato dei punti di contatto nazionali preposti istituzionalmente a trattare il tema (European Cybersecurity Certification Group, ECCG).

Il Programma di lavoro progressivo dell’Unione su certificazioni cyber

Secondo quanto previsto dal Cybersecurity Act, la Commissione pubblica un programma di lavoro progressivo dell’Unione per la certificazione europea della cyber security in cui sono individuate le priorità strategiche per i futuri sistemi europei di certificazione cyber.

Il Programma di lavoro progressivo dell’Unione include in particolare un elenco di prodotti, servizi e processi dell’ICT che possono beneficiare dell’inclusione nell’ambito di applicazione di un sistema europeo di certificazione di cybersecurity. Nel redigere il Programma, la Commissione tiene nella debita considerazione i pareri in merito al progetto di programma di lavoro progressivo dell’Unione espressi dall’ECCG e dal SCCG.

Gli schemi certificativi di prodotto per la sicurezza informatica

In particolare, la Commissione ed Enisa si stanno occupando di schemi certificativi di prodotto per rinnovare gli schemi facenti riferimento ai common criteria. Ma non solo, si intende raggiungere un alto grado di standardizzazione europeo in modo che gli schemi nazionali siano aderenti a una linea unica e uniformemente diffusa in tutta l’Unione. Gli standard saranno usati nel contesto dello European Cybersecurity Certification Framework per esprimere i requisiti funzionali generali e settoriali e per valutare le metodologie di certificazione. Inoltre, saranno un elemento determinante per valutare i concetti di livello di sicurezza.

L’armonia fra gli schemi è dunque uno dei principali obiettivi del framework europeo di certificazioni cyber.

In questo senso ci aspettiamo un lavoro costante da parte della Commissione di Enisa per incrementare la chiarezza e la definizione di metodi, anche in un’ottica di ciclo di vita del prodotto e di security by design e by default.

I livelli di sicurezza saranno sempre basati sull’analisi del rischio, quindi le metodologie di analisi del rischio cibernetico dovranno adeguarsi a “dialogare” con l’enterprise risk management e i criteri di valutazione dell’impatto dovranno essere studiati e organizzati in modo da avere almeno alcune basi comuni, comprese le metriche di misura.

Il riconoscimento internazionale dei framework di certificazione sicurezza informatica

Il concetto del framework regolamentare espresso dalle normative già emanate e sul quale l’UE sta lavorando è basato sulla “componibilità” dei pacchetti di certificazione e valutazione, sulla coerenza tra i vari schemi che non dovranno andare in collisione logica e non dovranno smentire i precedenti schemi finora usati. Questo è un punto importante, anche perché la certificazione cyber di prodotto oggi lavora in mutuo riconoscimento internazionale ultra-europeo con il sistema CCRA e in mutuo riconoscimento europeo allargato con il sistema SOGIS MRA.

Entrambi usano gli stessi standard: Common Criteria for Information Technology Security Evaluation (CC) (ISO/IEC 15408) e Common Methodology for Information Technology Security Evaluation (CEM) (ISO/IEC 18045). Un certificato emesso da un membro del SOG-IS riporta entrambi I loghi del CCRA e del SOG-IS MRA ad indicare il mutuo riconoscimento per i rispettivi ambiti internazionale ed europeo.

L’Europa dovrà quindi anche adoperarsi per il riconoscimento extra europeo del nuovo framework di certificazioni.

Oltre al tema generale delle certificazioni di prodotti, servizi e processi ICT, l’Europa sta affrontando alcuni aspetti specifici delle tecnologie consolidate di nicchia e delle tecnologie di “avanguardia”. In particolare sta studiando come occuparsi di cloud, 5G, IoT, IACS (Industrial Automation Cyber Security), Intelligenza Artificiale, Crittografia.

Riguardo l’IoT, la Comunicazione “Resilience, Deterrence and Defence: Building strong cybersecurity for the EU” indica quest’area di certificazione come prioritaria e in particolare invita ad applicare la security by design in tutti i dispositivi interconnessi di consumo di massa.

L’ ETSI ha pubblicato lo standard EN 303 64511 “Cyber Security for Consumer Internet of Things: Baseline Requirements” che getta le basi per i futuri schemi di certificazione IoT basati su requisiti che siano adeguatamente verificabili durante la verifica di conformità.

Il Joint Research Centre della Commissione Europea ha pubblicato un Technical Report sugli standard di riferimento per l’IACS ed è plausibile supporre che la Commissione partirà da questi per la scelta di inserimento nel framework.

Standard e schemi certificativi per il 5G

Per quanto riguarda il 5G, il 5G security Work Stream del NIS Cooperation Group ha espresso una lista di standard e schemi certificativi che ritiene significativi per questa tecnologia.

Un approccio possibile è quello di identificare i componenti critici della rete e sottoporli a certificazioni di prodotto, così come identificare i servizi e le funzioni critici per certificarne i processi di progettazione, sviluppo, installazione e manutenzione da parte del fornitore.

Mentre per i prodotti il focus è sulla robustezza e sulla resistenza, per cui l’analisi delle vulnerabilità diventa centrale, per il cloud il focus è sui processi e sulla loro resilienza e continuità. Da questo punto di vista possiamo quindi immaginare che il panorama certificativo nell’ambito cloud sarà più basato sul “come” che sul “cosa” e gli standard conclamati di cyber security di processo potranno fornire una buona base di partenza.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati