Certificazione digitale

La certificazione nel mondo digitale

La costruzione di un ecosistema digitale sicuro

Autore: Romualdo Bibbò
27/05/2024
Certificazione digitale

La costruzione di un ecosistema digitale sicuro è essenziale per garantire la protezione dei dati e la fiducia degli utenti. Per raggiungere questo obiettivo, è necessario adottare standard riconosciuti che assicurino la resilienza delle soluzioni tecniche utilizzate. Questo significa che i prodotti e i servizi che costituiscono i moderni sistemi digitali complessi devono essere certificati per garantire la corretta tutela del patrimonio informativo degli utenti.

LA CERTIFICAZIONE AI SENSI DEL CYBERSECURITY ACT

Il Regolamento (UE) 2019/881, noto come Cybersecurity Act, comprende il Titolo III, dedi­cato al “Quadro europeo di certificazione della cybersicurezza”, che definisce i sistemi europei di certificazione della cybersicurezza e i vari attori coinvolti, pubblici e privati.

EUROPEAN COMMON CRITERIA

Si tratta del primo sistema di certificazione europeo, che si ispira allo standard interna­zionale dei Common Criteria (ISO/IEC 15408). Una volta recepito abrogherà tutti gli schemi nazionali basati sullo stesso modello, incluso lo schema italiano attualmente applicato da OCSI (in base al DPCM 30 ottobre 2003).

Il Cybersecurity Act (CSA) dell'Unione Europea, attraverso il Regolamento (UE) 2019/881, ha introdotto un quadro comune di certificazione della cybersicurezza. Questo quadro mira a superare la frammentazione presente nel mercato interno dei certificati di cybersicurezza, garantendo maggiore affidabilità per i consumatori riguardo ai prodotti e servizi che utilizzano tecnologie dell'informazione e della comunicazione. L'obiettivo è promuovere un mercato unico dell'UE più robusto e sicuro.

Il CSA prevede l'adozione di sistemi europei di certificazione della cybersicurezza attraverso specifici regolamenti di esecuzione. Questi sistemi stabiliscono regole armonizzate per l'emissione e la gestione dei certificati di cybersicurezza, attestando la resistenza di prodotti, servizi e processi ICT agli attacchi e alle minacce informatiche. Nel 2023 sono stati elaborati i primi di tali sistemi, focalizzati sulle certificazioni Common Criteria (EUCC), i servizi cloud (EUCS) e le reti 5G (EU5G).

In Italia, il ruolo di NCCA è stato assegnato all’Agenzia per la cybersicurezza nazionale dal D.L. n. 82/2021 e ulteriormente disciplinato dal D.Lgs. n. 123/2022.                                             

L'Organismo di certificazione della sicurezza informatica (OCSI) ha operato a livello nazionale per vent'anni tramite lo schema nazionale di valutazione e certificazione ICT, istituito con il DPCM del 30 ottobre 2003. Nel 2023, l'OCSI ha continuato a svolgere i suoi compiti, ma si prepara a superare questo schema nazionale con l'implementazione dello schema europeo EUCC.

Durante il 2023, l'OCSI ha emesso 12 certificati di cybersicurezza in base allo standard Common Criteria, riconosciuti a livello europeo e internazionale grazie agli accordi di mutuo riconoscimento a cui l'OCSI aderisce. Inoltre, ha avviato ulteriori processi di certificazione, con 14 attivi alla fine dell'anno. L'OCSI ha anche rilasciato 3 attestazioni di conformità per dispositivi di firma/sigillo qualificato, operando nell'ambito del Regolamento eIDAS (Regolamento (UE) 910/2014) come organismo di certificazione designato per l'Italia, secondo il Codice dell'amministrazione digitale.

 

Fonte: RELAZIONE ANNUALE AL PARLAMENTO 2023, ACN

Contattaci