cybersecurity

Lo schema di certificazione europeo EUCC: novità, punti di forza e problemi aperti



Indirizzo copiato

Lo Schema di Certificazione Europeo della Cybersicurezza (EUCC) predisposto da ENISA ambisce a sostituire il SOG-IS MRA: è il frutto del lavoro di un team di esperti del settore e rappresenta un passo avanti significativo per la cybersicurezza, nonostante la sua implementazione non sarà né semplice né rapida

Pubblicato il 21 nov 2023

Garibaldi Conte

consulente nell’ambito dell’ICT e della Sicurezza ICT



Cybersecurity resilience act

Il 25 maggio 2021 l’ENISA, l’Agenzia per la Sicurezza Europea, ha predisposto la versione finale di uno Schema europeo di Certificazione della cybersicurezza basato sullo standard Common Criteria (CC) e denominato EUCC.

Lo schema di certificazione è stato predisposto da un gruppo di lavoro ad-hoc istituito da ENISA nel 2019 e composto da circa 20 esperti del settore, più ulteriori 12 membri provenienti da Organismi di Certificazioni e Stati membri della Unione Europea.

L’obiettivo dell’EUCC

L’obiettivo del gruppo di lavoro era quello di sviluppare uno Schema di Certificazione dei prodotti ICT che sostituisca quello attualmente in vigore gestito dal SOG-IS MRA (Senior Officials Group Information Systems Security Mutual Recognition Agreement). Il SOG-IS MRA è un’organizzazione composta dai rappresentanti di circa 17 Paesi europei e consente il mutuo riconoscimento delle certificazioni dei prodotti ICT fino al livello EAL4 dei CC.

La versione finale dello schema candidato è stata predisposta recependo i commenti che sono pervenuti ad ENISA da una consultazione pubblica e dall’Autorità di Certificazione Europea (ECCG) istituita nel 2021 con l’applicazione del regolamento europeo denominato Cyber Security ACT (CSA). Lo schema sarà adottato a seguito dell’approvazione di un Implementig Act della Commissione Europea che indicherà tempi e modalità per la completa attuazione dello schema di certificazione.

Come detto prima, l’EUCC si basa sullo standard Common Criteria (ISO/IEC 15408) e sulla sua Metodologia (CEM) (ISO/IEC 18045) che, nelle ultime decadi, sono stati utilizzati in maniera intensiva in tutto il mondo per la certificazione della sicurezza dei prodotti ICT. Inoltre, grazie agli accordi di mutuo riconoscimento quali il SOG-IS e il CCRA (Common Criteria Recognition Arrangement sottoscritto da circa 30 Paesi in tutto il mondo), lo standard Common Criteria è diventato di fatto lo standard di riferimento per le certificazioni della sicurezza dei prodotti ICT.

Lo standard Common Criteria è altamente flessibile e consente di certificare qualsiasi prodotto ICT, ma nel contempo richiede alti costi e tempi lunghi per le valutazioni che non ne consentono una applicazione diffusa soprattutto per i produttori di medie e piccole dimensioni.

L’obiettivo dell’EUCC è proprio quello di creare uno schema che, pur mantenendo la rigorosità delle valutazioni CC, consenta una sua applicazione su una base più ampia di prodotti e consenta di aumentare la sicurezza dei prodotti ICT utilizzati negli Stati dell’Unione.

Nel seguito si descriveranno le principali novità introdotte dall’EUCC, nonché i punti aperti attualmente ancora presenti. Alla luce della complessità dello schema, la illustrazione si concentrerà necessariamente sugli elementi di maggiore novità introdotti dallo schema, mentre si rimanda alla lettura dello stesso per maggiori dettagli tecnici.

Livelli di assurance

Una valutazione di un prodotto ICT rispetto allo schema EUCC segue a tutti gli effetti la metodologia definita dai Common Criteria con alcune regole specifiche per la definizione del livello di assurance che verrà riportato sul certificato. In particolare, i CC prevedono 7 livelli di assurance (da  EAL1 a EAL7) e l’EUCC mappa questi sui due livelli previsti dal CSA “substantial” e “high” adottando come driver i livelli della classe di assurance di CC relativa ai Vulnerability Assessment.

In particolare:

  • i livelli AVA_VAN.1 e AVA_VAN.2 corrispondono al livello ‘substantial’ del CSA;
  • i livelli da AVA_VAN.3 a AVA_VAN.5 corrispondono al livello ‘high’ del CSA.

Come si può notare, l’EUCC non prevede il livello “basic” del CSA e neanche il self-assessment da parte del vendor che potranno essere offerti da altri schemi meno esigenti in termini di prove di valutazione e che coprono requisiti di sicurezza meno stringenti.

Al di la dei dettagli tecnici che si tralasciano per ovvi motivi di spazio, va evidenziato che, mentre per il livello “substantial” (corrispondente ai livelli EAL1 – EAL3 dei CC) non ci sono requisiti particolari, per il livello “high” (corrispondente ai livelli EAL4 – EAL7 dei CC), vengono richiesti requisiti più stringenti.

In particolare, sarà possibile certificare un prodotto ICT a livello “high” solo se esso appartiene ad uno dei Domini Tecnici previsti dall’EUCC o se è coperto da un Protection Profile (PP) certificato anch’esso in accordo a quanto prescritto dall’EUCC. Questo deriva dal fatto che i prodotti ICT che sono certificati a livello “high” sono prodotti che presentano dei rischi molto alti.

Informazioni necessarie per la valutazione

Oltre a tutta la documentazione prevista da CC, una delle novità introdotte dall’EUCC è la possibilità di utilizzare i risultati di valutazioni precedenti. Questo permette di accelerare notevolmente il processo di valutazione soprattutto quando si deve certificare una nuova versione di un prodotto già precedentemente certificato.

Tale aspetto è ancor più rilevante quando si tratta di valutare dei prodotti compositi, ovvero prodotti composti da più componenti che possono essere già essere state certificate.

Anche in questo caso, l’EUCC stabilisce in maniera dettagliata le regole che devono essere seguite indicando dei requisiti più stringenti per le certificazioni a livello “high”.

Inoltre, per garantire una migrazione “morbida” dal SOG-IS all’EUCC, nelle valutazioni che saranno fatte in accordo all’EUCC sarà possibile utilizzare i risultati delle certificazioni effettuate in precedenza negli schemi nazionali degli membri del SOG-IS.

Il mantenimento del Certificato EUCC

Una delle novità più rilevanti introdotta dall’EUCC è il processo di mantenimento del certificato che cerca di superare uno dei limiti delle attuali certificazioni CC.

Oggi una certificazione CC deve essere necessariamente ripetuta qualora compaiano delle nuove vulnerabilità sul prodotto certificato o qualora siano siano state apportate modifiche al prodotto ICT, anche se minimali o se non impattano sulle funzionalità di sicurezza del prodotto.

L’EUCC definisce un processo di manutenzione del certificato molto dettagliato.

In particolare, il vendor del prodotto ICT certificato può richiedere all’ente di certificazione di rivedere la validità del certificato in uno dei seguenti casi:

  • il certificato è vicino alla scadenza (i certificati EUCC hanno una validità massima di 5 anni);
  • è stata effettuata una modifica del prodotto certificato, inclusa una modifica del suo ciclo di vita, che non si prevede possa avere un impatto sulle sue funzionalità di sicurezza;
  • viene richiesto di aggiornare la valutazione delle vulnerabilità, al fine di dimostrare che le dichiarazioni di resistenza agli attacchi associate al certificato sono ancora valide rispetto ai nuovi scenari di attacchi e alle nuove vulnerabilità.

Il vendor deve accompagnare la sua richiesta con un’analisi di impatto così come definita nell’EUCC.

L’ente certificatore, con l’ausilio del suo laboratorio o di un laboratorio esterno, analizzano la documentazione pervenuta e possono decidere quanto segue:

  • mantenere in vita il certificato esistente senza alcuna modifica;
  • rinnovare il certificato con un nuovo periodo di validità che corrisponde a ri-emettere il certificato con un nuovo periodo di validità;
  • emettere un nuovo certificato con un campo di applicazione esteso, un livello di assurance ridotto o un campo di applicazione ridotto, sempre con un nuovo periodo di validità;
  • sospendere il certificato in attesa di azioni correttive da parte del vendor del prodotto;
  • revocare il certificato.

L’ente certificatore deve produrre un report di manutenzione a supporto della decisione assunta.

Come si può notare, il processo di mantenimento definito dall’EUCC rende le ri-certificazioni dei prodotti più semplici e veloci e, nel contempo, consente di mantenere il certificato quando compaiono nuove vulnerabilità o vengono apportate piccole modifiche al prodotto. Ovviamente in tutti i casi viene garantita la sicurezza del prodotto e la validità dell’efficacia della certificazione attraverso analisi di quanto modificato e/o l’esecuzione di verifiche aggiuntive.

Per garantire comunque la “bontà” delle certificazioni ed evitare che il processo di manutenzione possa diventare un elemento che diminuisca l’efficacia delle certificazioni stesse, l’EUCC introduce due nuovi processi fondamentali per tale scopo:

  • il processo di monitoraggio della conformità delle certificazioni dove le Autorità nazionali dovranno analizzare alcune certificazioni effettuate (si chiede almeno un campione pari al 5% dei prodotti certificati) al fine di verificare che siano stati applicati in maniera corretta tutti i requisiti richiesti dall’EUCC;
  • Un processo di patch management molto articolato e applicato su tre diversi livelli che vede coinvolti il vendor del prodotto, l’ente certificatore e il laboratorio e che prevede una procedura per l’identificazione e la risoluzione tempestiva delle patch applicabili al prodotto (fast track approach), soprattutto quando esse risolvono nuove vulnerabilità apparse sul prodotto. Il processo di patch management è uno dei processi che viene valutato dal laboratorio e dall’ente di certificazione della classe relativa al Life Cycle Assurance nel processo di certificazione.

Gli enti di certificazione e i laboratori

Come è noto, una delle novità introdotte dal CSA è la possibilità di avere degli enti di certificazione privati. Questi devono essere accreditati dall’Autorità Nazionale di Accreditamento (in Italia è ACCREDIA) in conformità a quanto previsto dallo standard ISO/IEC 17065.

I laboratori, detti anche ITSEF, devono essere anch’essi accreditati dall’Autorità Nazionale di Accreditamento in conformità a quanto previsto dallo standard ISO/IEC 17025. Le competenze dei valutatori del laboratorio, invece, devono essere conformi allo standard ISO/IEC 19096 e alla parte 1 dello standard ISO/IEC 23532-1 per le valutazioni CC.

Quando un ente di certificazione è anche laboratorio viene chiamato Conformity Assessment Body (CAB).

In questa configurazione, sia gli enti di certificazione che i laboratori possono effettuare valutazioni e certificazioni dei prodotti ICT al livello “substantial”.

Per poter invece valutare e certificare prodotti ICT a livello “high”, entrambi devono essere ulteriormente accreditati dall’Autorità Nazionale di Certificazione delle Cybersicurezza e devono applicare ulteriori requisiti di sicurezza previsti dai vari domini tecnici dell’EUCC e dai Protection Profile certificati verso cui si vogliono accreditare.

Il periodo di accreditamento sia per gli enti di certificazione e per i laboratori, siano essi pubblici o provati, è di 3 anni.

L’introduzione di enti di certificazione privati è una novità introdotta dal CSA e questo consente un maggiore sviluppo del mercato delle certificazioni di prodotti ICT. Dall’altro canto però, può introdurre dei rischi sulla efficacia delle certificazioni prodotte e l’EUCC, applicando quanto richiesto dal CSA, ha definito, come detto prima, un processo di monitoraggio della conformità molto rigoroso gestito dall’Autorità Nazionale di Certificazione della Cybersicurezza.

Implementing Act dell’EUCC

Dopo più di 2 anni dalla sua predisposizione, nel mese di ottobre 2023 la Commissione Europea ha predisposto una bozza dell’Implementing Act per lo schema EUCC che definisce le regole con cui lo schema deve essere implementato.

La bozza dell’implementing act predisposto dalla Commissione Europea ripercorre e ribadisce i requisiti già contenuti nell’EUCC rendendoli obbligatori in quanto catalogato come Regolamento europeo.

Gli aspetti di maggior rilievo rispetto a quando già detto prima sono i seguenti:

  • la Commissione Europea ha dichiarato che intende approvare e rendere effettivo l’implementing act nel quarto trimestre 2023;
  • il Regolamento entrerà in vigore il 20° giorno dopo la sua pubblicazione sulla Gazzetta Ufficiale Europea e deve essere applicato 12 mesi dopo;
  • sempre a 12 mesi dall’entrata in vigore dell’EUCC, dovranno cessare tutti gli schemi di certificazione nazionali, incluso l’OCSI italiano, quando essi trattano prodotti coperti dall’EUCC;
  • già dalla sua entrata in vigore, sarà possibile avviare il processo di accreditamento degli enti di certificazione e dei laboratori (capitolo IV del Regolamento) ed emettere certificati EUCC (annesso III del Regolamento che stabilisce le caratteristiche del rapporto di certificazione).

I punti ancora aperti

Lo schema EUCC è il primo schema di certificazione europea per i prodotti ICT predisposto in accordo a quanto previsto dal CSA. Essendo basato sullo standard Common Criteria, in teoria esso è applicabile a tutti i prodotti ICT.

Lo schema cerca di risolvere i problemi esistenti nelle attuali certificazioni (vedi tempi lunghi e costi elevati) e ha l’obiettivo di promuovere un mercato di certificazioni europeo che possa aumentare e garantire la sicurezza dei prodotti ICT utilizzati nell’Unione.

L’approccio è sicuramente quello giusto, ma esistono dei punti aperti che dovranno essere gestiti e indirizzati nei prossimi mesi per garantire l’efficacia dell’applicazione dello schema.

Tra questi si evidenziano:

  • l’EUCC presenta dei tempi lunghi di implementazione in quanto tutte le Autorità nazionali ed europee devono attrezzarsi per implementare i processi definiti dallo schema che sono alquanto complessi. Il poter utilizzare nelle certificazioni EUCC le vecchie certificazioni effettuate sotto gli schemi nazionali permetterà una migrazione “morbida” verso la nuova certificazione europea, ma i tempi della completa attuazione dello schema non sono al momento predicibili.
  • L’EUCC ha recepito lo schema definito del SOG-IS che, per i prodotti ad alto rischio, era orientato prevalentemente su specifiche categorie di prodotti quali le smart card e device hardware (recepiti nei domini tecnici dell’EUCC) e  Protection Profile di alcune categorie di prodotti (es. device per i passaporti, firme digitali, tachigrafi digitali, circuiti integrati, device per i pagamento, HSM,..). Questo di fatto limita molto l’ambito dell’EUCC in quanto non sono contemplati molti dei prodotti ad oggi utilizzati e oggetto delle attuali certificazioni (es. i prodotti software (SO, DB, API,…), gli apparati di rete (FW, router,…), le piattaforme di sicurezza (IAM, SIEM,..) e così via). Ovviamente sarà possibile certificare questi prodotti ad un livello “substantial”, ma molti di essi sono prodotti ad alto rischio e quindi richiedono un livello di assurance “high” che non potrà essere quindi applicato mancando un dominio tecnico o un Protection Profile.  Alcune di queste categorie di prodotto saranno oggetto di futuri schemi di certificazione verticali (vedi ad esempio lo schema di certificazione sui prodotti di rete 5G che ENISA sta preparando), ma visti i tempi lunghi di predisposizione e implementazione di uno schema di certificazione, rimane aperto il problema di come certificare questi prodotti nel prossimi anni. L’EUCC prevede la possibilità che uno schema nazionale possa effettuare delle attività di certificazione su prodotti ICT non coperti dall’EUCC, ma non potrà essere apposto su di esso il marchio di certificazione europeo.
  • Altro aspetto, non meno rilevante, sono gli accordi di mutuo riconoscimento e, in particolare, il CCRA che ad oggi è l’accordo alla base di tutte le certificazioni CC. Tale accordo è molto importante perché include Paesi come gli Sati Uniti e il Giappone che sono tra i maggiori produttori di prodotti ICT nel mondo. L’EUCC stabilisce le regole che devono essere attuate per sottoscrivere degli accordi di mutuo riconoscimento e nell’implementing act è stabilito chiaramente che queste regole devono essere applicate per sostituire gli attuali accordi di mutuo riconoscimento sottoscritti dai vari Stati membri. Ma mentre per il SOG-IS è abbastanza facile perché di fatto l’EUCC lo sostituisce replicando quanto già in esso contenuto, lo stesso non vale per il CCRA. Con il decadere degli schemi nazionali, decade anche la loro partecipazione al CCRA e quindi è probabile che, nei prossimi mesi, si troverà una soluzione per mantenere in vita tale accordo che è molto rilevante per il riconoscimento dei certificati europei in mercati molto importanti quali quello americano. Bisogna considerare che non basta garantire elevati livelli di sicurezza dei prodotti ICT utilizzati in Europa se anche gli altri Paesi nel mondo, vista la elevata interconnessione delle reti, non adottano livelli di sicurezza equivalenti. Questo può essere fatto solo mediante la sottoscrizione di efficaci accordi di mutuo riconoscimento dei certificati.
  • L’ultimo aspetto è relativo ai numerosi Protection Profile che il CCRA ha approvato e che sono ad oggi riconosciuti dagli schemi nazionali, incluso quello italiano, ed ampiamente utilizzati. L’EUCC prevede che un PP possa essere certificato e quindi molto probabilmente i PP che coprono livelli di assurance “high” su prodotti ICT al momento non coperti dallo schema, saranno i primi ad essere proposti, certificati e inclusi nell’EUCC. Rimane il problema dei PP per i livelli di assurance “substantial” che al momento non sono previsti dall’EUCC, ma che sono molto utilizzati negli Stati Uniti. Anche in questo caso, ci saranno probabilmente delle indicazioni su come trattare questi PP in modo da consentire alle certificazioni effettuate in Europa di poter essere riconosciute anche negli altri Stati che hanno sottoscritto il CCRA ed, in particolare, negli Stati Uniti.

Conclusioni

In conclusione, lo schema di certificazione EUCC è sicuramente valido e innovativo, ma la sua implementazione non sarà agevole e neanche veloce se non si risolvono i punti aperti al momento esistenti.

Se si considera che l’implementing act dello schema è stato prodotto più di 2 anni dopo la predisposizione della sua bozza, si può intuire che tra gli Stati Membri ci sono visioni ed interessi contrastanti su tale mercato e questo potrebbe essere un elemento di ritardo sia per l’EUCC che per i prossimi schemi.

L’EUCC il primo schema di certificazione prodotto da ENISA e quindi potrà rappresentare un ottimo test da quale derivare degli spunti di miglioramento per i prossimi schemi di certificazione europei che saranno predisposti da ENISA.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati