Cos’è il Cybersecurity Act
Il Cybersecurity Act (Regolamento (UE) 2019/881), entrato in vigore nel giugno 2019, istituisce un quadro europeo per la certificazione della sicurezza informatica (ICT: Information and Communication Technology) di prodotti, servizi e processi. Il regolamento stabilisce ENISA come agenzia permanente dell’Unione Europea per la cybersicurezza, con compiti rafforzati.
Obiettivi principali
- Armonizzare le certificazioni di cybersecurity a livello UE, in modo che un ICT prodotto, servizio o processo certificato in uno Stato membro sia riconosciuto in tutti gli altri.
- Suddividere i livelli di garanzia in “basic”, “substantial” e “high”, a seconda dei rischi associati all’uso previsto dello strumento o servizio ICT
- Spingere verso la trasparenza, la fiducia dell’utente e la competitività sul mercato unico digitale europeo.
Schemi di certificazione rilevanti
- EUCC (European Common Criteria-based Certification), per prodotti ICT. Prevede l’adesione al Common Criteria (ISO/IEC 15408); offre livelli di garanzia substantial e high.
- Altri schemi attualmente in sviluppo mirano a coprire servizi cloud, reti 5G, autenticazione digitale, wallet digitali, ecc.
Impatti per i fornitori IT
- Costi e risorse per la certificazione
Per ottenere una certificazione EUCS o EUCC, è necessaria una valutazione da parte di un organismo accreditato esterno, conformità ai requisiti tecnici/documentali, test, audit, mantenimento del certificato. Questo comporta costi iniziali e operativi continui. - Adeguamento dei processi interni
Servono procedure di gestione delle vulnerabilità, policy di sicurezza, test di sicurezza, rilasci controllati del software, documentazione adeguata, monitoraggio continuo. - Vantaggi competitivi
Essere certificati può diventare un fattore distintivo di mercato: fiducia dei clienti, requisito da parte di partner, garanzia di qualità percepita e interoperabilità nel mercato UE. - Rischi per chi non si adegua
Possibili perdite di opportunità (gare, forniture), limiti nell’accesso ai mercati esteri, rischi reputazionali, richiesta sempre più frequente da clienti di prodotti certificati. - Obblighi post-certificazione
Mantenimento della conformità, gestione delle segnalazioni di vulnerabilità, aggiornamenti software, rinnovo periodico del certificato.
Best practice per i fornitori IT per prepararsi
| Passo | Attività consigliata |
| Gap analysis | Verificare quanto dell’attuale offerta/prodotto/servizio soddisfa già i requisiti del EUCC o altri schemi EU. |
| Coinvolgimento del top management | Ottenere impegno in termini di budget, risorse, politiche aziendali affinché la cybersecurity sia parte integrante della strategia. |
| Documentazione e processi | Definire policy di sicurezza, gestione delle vulnerabilità, controllo qualità nel ciclo di sviluppo, audit interni. |
| Scelta organismo di certificazione / laboratorio | Identificare enti accreditati per valutazioni, test e certificazione conformi agli schemi UE. |
| Monitoraggio continuo e aggiornamento | Assicurarsi che dopo la certificazione ci sia un processo che monitora vulnerabilità, aggiornamenti e mantenimento dei requisiti; pianificare rinnovi. |
Conclusione
Il Cybersecurity Act UE rappresenta una pietra miliare per la standardizzazione della cybersecurity in Europa. Per i fornitori IT è una sfida ma anche un’opportunità: chi riuscirà ad adeguarsi prontamente potrà diventare un partner preferenziale, abilitato per mercati trasversali, con maggiore visibilità e fiducia.
