A seguito del regolamento 881/2019 sulla cyber sicurezza, l’Unione Europea sta lavorando alacremente sul tema delle certificazioni di cyber security insieme con Enisa, l’Agenzia Europea per la Sicurezza delle Reti e dell’Informazione.
Entrambe hanno istituito comitati di esperti rappresentanti dei gruppi di stakeholder europei interessati al tema. In particolare, per la Commissione, DG Connect, sta lavorando lo Stakeholder Cybersecurity Certification Group (SCCG), oltre al comitato dei punti di contatto nazionali preposti istituzionalmente a trattare il tema (European Cybersecurity Certification Group, ECCG).
Il Programma di lavoro progressivo dell’Unione su certificazioni cyber
Secondo quanto previsto dal Cybersecurity Act, la Commissione pubblica un programma di lavoro progressivo dell’Unione per la certificazione europea della cyber security in cui sono individuate le priorità strategiche per i futuri sistemi europei di certificazione cyber.
Il Programma di lavoro progressivo dell’Unione include in particolare un elenco di prodotti, servizi e processi dell’ICT che possono beneficiare dell’inclusione nell’ambito di applicazione di un sistema europeo di certificazione di cybersecurity. Nel redigere il Programma, la Commissione tiene nella debita considerazione i pareri in merito al progetto di programma di lavoro progressivo dell’Unione espressi dall’ECCG e dal SCCG.
Gli schemi certificativi di prodotto per la sicurezza informatica
In particolare, la Commissione ed Enisa si stanno occupando di schemi certificativi di prodotto per rinnovare gli schemi facenti riferimento ai common criteria. Ma non solo, si intende raggiungere un alto grado di standardizzazione europeo in modo che gli schemi nazionali siano aderenti a una linea unica e uniformemente diffusa in tutta l’Unione. Gli standard saranno usati nel contesto dello European Cybersecurity Certification Framework per esprimere i requisiti funzionali generali e settoriali e per valutare le metodologie di certificazione. Inoltre, saranno un elemento determinante per valutare i concetti di livello di sicurezza.
L’armonia fra gli schemi è dunque uno dei principali obiettivi del framework europeo di certificazioni cyber.
In questo senso ci aspettiamo un lavoro costante da parte della Commissione di Enisa per incrementare la chiarezza e la definizione di metodi, anche in un’ottica di ciclo di vita del prodotto e di security by design e by default.
I livelli di sicurezza saranno sempre basati sull’analisi del rischio, quindi le metodologie di analisi del rischio cibernetico dovranno adeguarsi a “dialogare” con l’enterprise risk management e i criteri di valutazione dell’impatto dovranno essere studiati e organizzati in modo da avere almeno alcune basi comuni, comprese le metriche di misura.
Il riconoscimento internazionale dei framework di certificazione sicurezza informatica
Il concetto del framework regolamentare espresso dalle normative già emanate e sul quale l’UE sta lavorando è basato sulla “componibilità” dei pacchetti di certificazione e valutazione, sulla coerenza tra i vari schemi che non dovranno andare in collisione logica e non dovranno smentire i precedenti schemi finora usati. Questo è un punto importante, anche perché la certificazione cyber di prodotto oggi lavora in mutuo riconoscimento internazionale ultra-europeo con il sistema CCRA e in mutuo riconoscimento europeo allargato con il sistema SOGIS MRA.
Entrambi usano gli stessi standard: Common Criteria for Information Technology Security Evaluation (CC) (ISO/IEC 15408) e Common Methodology for Information Technology Security Evaluation (CEM) (ISO/IEC 18045). Un certificato emesso da un membro del SOG-IS riporta entrambi I loghi del CCRA e del SOG-IS MRA ad indicare il mutuo riconoscimento per i rispettivi ambiti internazionale ed europeo.
L’Europa dovrà quindi anche adoperarsi per il riconoscimento extra europeo del nuovo framework di certificazioni.
Oltre al tema generale delle certificazioni di prodotti, servizi e processi ICT, l’Europa sta affrontando alcuni aspetti specifici delle tecnologie consolidate di nicchia e delle tecnologie di “avanguardia”. In particolare sta studiando come occuparsi di cloud, 5G, IoT, IACS (Industrial Automation Cyber Security), Intelligenza Artificiale, Crittografia.
Riguardo l’IoT, la Comunicazione “Resilience, Deterrence and Defence: Building strong cybersecurity for the EU” indica quest’area di certificazione come prioritaria e in particolare invita ad applicare la security by design in tutti i dispositivi interconnessi di consumo di massa.
L’ ETSI ha pubblicato lo standard EN 303 64511 “Cyber Security for Consumer Internet of Things: Baseline Requirements” che getta le basi per i futuri schemi di certificazione IoT basati su requisiti che siano adeguatamente verificabili durante la verifica di conformità.
Il Joint Research Centre della Commissione Europea ha pubblicato un Technical Report sugli standard di riferimento per l’IACS ed è plausibile supporre che la Commissione partirà da questi per la scelta di inserimento nel framework.
Standard e schemi certificativi per il 5G
Per quanto riguarda il 5G, il 5G security Work Stream del NIS Cooperation Group ha espresso una lista di standard e schemi certificativi che ritiene significativi per questa tecnologia.
Un approccio possibile è quello di identificare i componenti critici della rete e sottoporli a certificazioni di prodotto, così come identificare i servizi e le funzioni critici per certificarne i processi di progettazione, sviluppo, installazione e manutenzione da parte del fornitore.
Mentre per i prodotti il focus è sulla robustezza e sulla resistenza, per cui l’analisi delle vulnerabilità diventa centrale, per il cloud il focus è sui processi e sulla loro resilienza e continuità. Da questo punto di vista possiamo quindi immaginare che il panorama certificativo nell’ambito cloud sarà più basato sul “come” che sul “cosa” e gli standard conclamati di cyber security di processo potranno fornire una buona base di partenza.
