LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

visto il regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all'ENISA, l'Agenzia dell'Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell'informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza») (1), in particolare l'articolo 49, paragrafo 7,

considerando quanto segue:

(1)Il presente regolamento specifica i ruoli, le norme e gli obblighi, nonché la struttura del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (European Common Criteria-based cybersecurity certification – EUCC) in conformità del quadro europeo di certificazione della cibersicurezza di cui al regolamento (UE) 2019/881. L'EUCC si fonda sull'accordo sul reciproco riconoscimento (ARR) dei certificati di valutazione della sicurezza delle tecnologie dell'informazione del gruppo di alti funzionari competente in materia di sicurezza dei sistemi d'informazione (2) (Senior Officials Group – Information Systems Security, SOG-IS) e si basa sui criteri comuni, comprese le procedure e i documenti del gruppo.

(2)Il sistema dovrebbe basarsi su norme internazionali consolidate. I criteri comuni (Common Criteria) sono una norma internazionale per la valutazione della sicurezza delle informazioni pubblicata, ad esempio, come ISO/IEC 15408 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security. Essa si basa sulla valutazione da parte di terzi e prevede sette livelli di garanzia della valutazione (Evaluation Assurance Level – EAL). I criteri comuni sono accompagnati dalla metodologia comune di valutazione (Common Evaluation Methodology), pubblicata, ad esempio come ISO/IEC 18045 - Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Methodology for IT security evaluation. Le specifiche e i documenti che applicano le disposizioni del presente regolamento possono riferirsi a una norma disponibile al pubblico che rispecchia la norma utilizzata per la certificazione nel quadro del presente regolamento, ad esempio i criteri comuni per la valutazione della sicurezza delle tecnologie dell'informazione (Common Criteria for Information Technology Security Evaluation) e la metodologia comune per la valutazione della sicurezza delle tecnologie dell'informazione (Common Methodology for Information Technology Security Evaluation).

(3)L'EUCC utilizza la famiglia di valutazione delle vulnerabilità dei criteri comuni (AVA_VAN), componenti da 1 a 5. I cinque componenti forniscono tutti i determinanti e tutte le dipendenze principali per l'analisi delle vulnerabilità dei prodotti TIC. Dal momento che corrispondono ai livelli di affidabilità del presente regolamento, i componenti consentono di compiere una scelta consapevole in merito all'affidabilità sulla base delle valutazioni dei requisiti di sicurezza e del rischio associato all'uso previsto del prodotto TIC che sono state effettuate. Il richiedente di un certificato EUCC dovrebbe fornire la documentazione relativa all'uso previsto del prodotto TIC e l'analisi dei livelli di rischio associati a tale uso per consentire all'organismo di valutazione della conformità di valutare l'idoneità del livello di affidabilità selezionato. Se le attività di valutazione e certificazione sono svolte dallo stesso organismo di valutazione della conformità, il richiedente dovrebbe presentare le informazioni richieste un'unica volta.

(4)Un settore tecnico costituisce un quadro di riferimento in cui rientra un gruppo di prodotti TIC con funzionalità di sicurezza specifiche e simili in grado di attenuare gli attacchi e nell'ambito del quale le caratteristiche sono comuni a un determinato livello di affidabilità. Esso indica nei documenti sullo stato dell'arte i requisiti di sicurezza specifici, nonché i metodi, le tecniche e gli strumenti di valutazione supplementari applicabili alla certificazione dei prodotti TIC che rientrano in tale settore tecnico. Pertanto promuove anche l'armonizzazione della valutazione dei prodotti TIC contemplati. Attualmente sono ampiamente utilizzati due settori tecnici per la certificazione ai livelli AVA_VAN.4 e AVA_VAN.5. Il primo è quello relativo a «smart card e dispositivi analoghi» in cui porzioni significative della funzionalità di sicurezza richiesta dipendono da elementi hardware specifici, personalizzati e spesso separabili (ad esempio hardware per smart card, circuiti integrati, prodotti compositi per smart card, Trusted Platform Modules utilizzati nel trusted computing o carte tachigrafiche digitali). Il secondo è quello dei «dispositivi hardware con box di sicurezza» in cui porzioni significative della funzionalità di sicurezza richiesta dipendono da un involucro fisico hardware (denominato «box di sicurezza») progettato per resistere agli attacchi diretti (ad esempio terminali di pagamento, tachigrafi, contatori intelligenti, terminali di controllo degli accessi e moduli di sicurezza hardware).

(5)Al momento della richiesta di certificazione il richiedente dovrebbe mettere in relazione le proprie motivazioni per la selezione di un livello di affidabilità con gli obiettivi stabiliti nell'articolo 51 del regolamento (UE) 2019/881 e con la selezione dei componenti dal catalogo dei requisiti funzionali di sicurezza e dei requisiti di garanzia della sicurezza contenuto nei criteri comuni. Gli organismi di certificazione dovrebbero valutare l'adeguatezza del livello di affidabilità selezionato e garantire che esso sia commisurato al livello di rischio associato all'uso previsto del prodotto TIC.

(6)Nell'ambito dei criteri comuni la certificazione è effettuata rispetto a un traguardo di sicurezza che comprende una definizione del problema di sicurezza del prodotto TIC, nonché gli obiettivi di sicurezza che affrontano tale problema. Il problema di sicurezza fornisce dettagli sull'uso previsto del prodotto TIC e sui rischi associati a tale uso. Un insieme selezionato di requisiti di sicurezza risponde sia al problema sia agli obiettivi di sicurezza di un prodotto TIC.

(7)I profili di protezione sono uno strumento efficace per determinare a priori i criteri comuni applicabili a una determinata categoria di prodotti TIC e pertanto costituiscono anche un elemento essenziale nel processo di certificazione dei prodotti TIC contemplati dal profilo di protezione. Il profilo di protezione è utilizzato ai fini della valutazione dei futuri traguardi di sicurezza che rientrano nella categoria di prodotti TIC a cui si rivolge. I profili di protezione semplificano e migliorano ulteriormente l'efficienza del processo di certificazione dei prodotti TIC e aiutano gli utenti a specificare in modo corretto ed efficace le funzionalità degli stessi. I profili di protezione dovrebbero quindi essere considerati parte integrante del processo TIC che porta alla certificazione dei prodotti TIC.

(8)Affinché possano esercitare il proprio ruolo nel processo TIC a sostegno dello sviluppo e della messa a disposizione di un prodotto TIC certificato, i profili di protezione dovrebbero anch'essi poter essere certificati indipendentemente dalla certificazione del prodotto TIC specifico che vi rientra. È quindi essenziale che ai profili di protezione sia applicato almeno lo stesso livello di controllo previsto per i traguardi di sicurezza al fine di garantire un elevato livello di cibersicurezza. I profili di protezione dovrebbero essere valutati e certificati separatamente dal relativo prodotto TIC e unicamente applicando la classe di affidabilità per i profili di protezione (APE) e, ove applicabile, per le configurazioni dei profili di protezione (ACE) di cui ai criteri comuni e alla metodologia comune di valutazione. In considerazione del loro importante e delicato ruolo di riferimento nella certificazione dei prodotti TIC, tali profili dovrebbero essere certificati solo dagli enti pubblici o da un organismo di certificazione che ha ricevuto la previa approvazione dell'autorità nazionale di certificazione della cibersicurezza per tale profilo di protezione specifico. Dato il loro ruolo fondamentale per la certificazione al livello di affidabilità «elevato», in particolare al di fuori dei settori tecnici, i profili di protezione dovrebbero essere elaborati come documenti sullo stato dell'arte che dovrebbero essere approvati dal gruppo europeo per la certificazione della cibersicurezza (European Cybersecurity Certification Group, ECCG).

(9)Le autorità nazionali di certificazione della cibersicurezza dovrebbero includere i profili di protezione certificati nel monitoraggio della conformità e della compliance nell'ambito dell'EUCC. Se le metodologie, gli strumenti e le competenze applicati agli approcci di valutazione dei prodotti TIC sono disponibili per profili di protezione certificati specifici, i settori tecnici possono basarsi su tali profili di protezione specifici.

(10)Al fine di garantire un elevato livello di fiducia e affidabilità dei prodotti TIC certificati, a norma del presente regolamento non dovrebbe essere consentita l'autovalutazione. Dovrebbe essere consentita solo la valutazione di conformità da parte di terzi effettuata dalle strutture di valutazione della sicurezza delle tecnologie dell'informazione (Information Technology Security Evaluation Facilities – ITSEF) e dagli organismi di certificazione.

Per saperne di più:

Tratto da:

Link:

EurLex

Foto:

Istockphoto (by Getty Images)

Nb: Ritenete che possiamo migliore le nostre attività, oppure siete soddisfatti?

Cliccando sul link sottostante potrete esprimere, in modo anonimo, una valutazione sul centro Europe Direct di Gioiosa Jonica ‘CalabriaEuropa’:

http://occurrence-survey.com/edic-users-satisfaction/page1.php?lang=it