La relazione della Agenzia per la Cybersecurity Nazionale al Parlamento relativa al 2023 è una interessante disanima dello stato dell’arte della sicurezza cibernetica in Italia: il Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e la NIS hanno trovato attuazione negli ultimi anni, ma il 2024 sarà un anno transitorio verso il recepimento della NIS 2 e l’implementazione dello schema europeo di certificazione di prodotto per la cyber security a seguito della pubblicazione dello schema EUCC da parte della Commissione europea, avvenuto all’inizio di quest’anno.
Lo schema copre livelli definiti “sostanziali” o “alti”: i certificati EUCC di livello sostanziale corrispondono a certificati che coprono i livelli 1 e 2 degli AVA_VAN, ossia i livelli di sicurezza delle analisi di vulnerabilità collegate ai Common Criteria. I certificati EUCC di livello alto corrispondono a certificati che coprono i livelli 3, 4 e 5 degli AVA_VAN.
Il ruolo delle Autorità nazionali di certificazione della cybersicurezza (NCCA)
Il Cyber Security Act richiede a tutti gli Stati Membri di designare una o più Autorità nazionali di certificazione della cybersicurezza (National Cybersecurity Certification Authority-NCCA) che vigilino a livello nazionale sull’applicazione del Regolamento e dei successivi sistemi di certificazione e cooperino con le autorità designate dagli altri Stati membri, la Commissione europea ed ENISA nella realizzazione e revisione del quadro europeo di certificazione.
Alle NCCA sono assegnate funzioni di vigilanza sugli organismi di valutazione della conformità e sui titolari dei certificati di cyber security, nonché sui certificati e sulle dichiarazioni di conformità, con poteri ispettivi. Il ruolo di NCCA è stato assegnato all’Agenzia per la cybersicurezza nazionale dal D.L. n. 82/2021 e ulteriormente disciplinato dal D.Lgs. n. 123/2022.
Con lo schema generale di certificazione di prodotto arriveranno anche uno schema specifico per il 5G e uno per il cloud. Poi ne seguiranno altri, suddivisi per tecnologia e per campo di applicazione.
I risultati degli scrutini CVCN per l’applicazione del PSNC
Molti i procedimenti di scrutinio realizzati nel 2023 dal Centro di Valutazione e Certificazione Nazionale (CVCN) per l’impiego di prodotti dell’ICT su servizi del PSNC. Sempre molto alto il numero di valutazioni realizzate dal CVCN in applicazione della Golden Power, circa 180 valutazioni tra tecnologia 5G, notifiche con profili di cyber security e prenotifiche. In parallelo 12 certificati common criteria emanati dall’OCSI. Le due autorità viaggiano ancora parallelamente, in attesa che lo schema europeo di certificazione di prodotto abroghi definitivamente lo schema nazionale di certificazione common criteria emanato del 2003 e oggi ancora operativo sotto l’egida dell’OCSI, Organismo di certificazione della Sicurezza Informatica operante ora all’interno della ACN.
Gli scrutini CVCN per l’applicazione del PSNC hanno poi portato alla individuazione di 38 zero-day, un ottimo risultato che si annovera tra i “pericoli scampati” e inizia finalmente a portare i resoconti di cyber security verso il conteggio dei risultati positivi per la “squadra dei difensor” e non solo di quelli positivi per la “squadra degli attaccanti”.
Le sfide dell’accreditamento dei laboratori di prova
Accanto a questi risultati molto positivi fa capolino un altro obiettivo quasi raggiunto di quelli in capo alla ACN: l’accreditamento dei laboratori di prova che affiancheranno il CVCN nelle attività di verifica e certificazione fino al livello medio.
Cinque laboratori sono a oggi in corso di valutazione. Tale processo richiede un significativo investimento da parte delle aziende in termini economici e strutturali, nonché di risorse umane. La ACN ha ammesso 27 aspiranti laboratori alla possibilità di un finanziamento in ambito PNRR per la copertura delle spese del procedimento di accreditamento; tuttavia, il processo è ancora in itinere e le difficoltà sono tuttora presenti. Sicuramente la prima è la scarsezza di personale disponibile sul mercato per svolgere il ruolo professionalmente rilevante di valutatore, ma accanto a questo ci sono altri interrogativi, soprattutto relativi al modello di business, che animano le aziende interessate al tema delle certificazioni di prodotto.
Il recepimento della NIS 2 e le sue implicazioni
Il recepimento della NIS 2 segnerà un ulteriore momento di ampliamento della operatività del CVCN. Il tema che interessa tutte le aziende italiane, praticamente, è l’introduzione del meccanismo di identificazione dei soggetti in entità importanti o essenziali, per mezzo di un criterio omogeneo di identificazione basato sulla dimensione (il size-cap rule), che estende l’applicazione della Direttiva a tutte le medie e grandi imprese che operano nei settori identificati dalla stessa. L’allargamento è comportato anche dall’aumento significativo dei settori di applicazione e dall’introduzione di un approccio “all-hazard” alla cyber security, approccio che si sposa con il combinato disposto della applicazione della direttiva CER. Un altro tema importantissimo è l’integrazione della Pubblica Amministrazione centrale e volendo in parte anche locale negli adempimenti della direttiva.
L’ACN rafforzerà le attività di supervisione e le sanzioni previste dall’Unione Europea saranno più alte che nella applicazione della precedente versione. Inoltre, i CSIRT (Computer Security Incident Response Team) nazionali avranno maggiori funzioni operative e fungeranno da intermediari di fiducia tra i soggetti segnalanti e i fornitori di prodotti e servizi ICT nell’ambito del quadro per la divulgazione coordinata delle vulnerabilità. Questa funzione dovrà essere realizzata basando i rapporti sulla costituzione di rapporti basati sulla fiducia e sulla tempestività e lo stesso vale per le attività previste di gestione delle crisi, con la previsione di quadri nazionali in materia e l’istituzionalizzazione di EU-CyCLONe.
