Il Cybersecurity Act (Regolamento (UE) 2019/881), entrato in vigore nel giugno 2019, istituisce un quadro europeo per la certificazione della sicurezza informatica (ICT: Information and Communication Technology) di prodotti, servizi e processi. Il regolamento stabilisce ENISA come agenzia permanente dell’Unione Europea per la cybersicurezza, con compiti rafforzati.

Obiettivi principali

• Armonizzare le certificazioni di cybersecurity a livello UE, in modo che un ICT prodotto, servizio o processo certificato in uno Stato membro sia riconosciuto in tutti gli altri.
• Suddividere i livelli di garanzia in “basic”, “substantial” e “high”, a seconda dei rischi associati all’uso previsto dello strumento o servizio ICT
• Spingere verso la trasparenza, la fiducia dell’utente e la competitività sul mercato unico digitale europeo.

Schemi di certificazione rilevanti

• EUCC (European Common Criteria-based Certification), per prodotti ICT. Prevede l’adesione al Common Criteria (ISO/IEC 15408); offre livelli di garanzia substantial e high.
• Altri schemi attualmente in sviluppo mirano a coprire servizi cloud, reti 5G, autenticazione digitale, wallet digitali, ecc.

Impatti per i fornitori IT

1. Costi e risorse per la certificazione
   Per ottenere una certificazione EUCS o EUCC, è necessaria una valutazione da parte di un organismo accreditato esterno, conformità ai requisiti tecnici/documentali, test, audit, mantenimento del certificato. Questo comporta costi iniziali e operativi continui.
2. Adeguamento dei processi interni
   Servono procedure di gestione delle vulnerabilità, policy di sicurezza, test di sicurezza, rilasci controllati del software, documentazione adeguata, monitoraggio continuo.
3. Vantaggi competitivi
   Essere certificati può diventare un fattore distintivo di mercato: fiducia dei clienti, requisito da parte di partner, garanzia di qualità percepita e interoperabilità nel mercato UE.
4. Rischi per chi non si adegua
   Possibili perdite di opportunità (gare, forniture), limiti nell’accesso ai mercati esteri, rischi reputazionali, richiesta sempre più frequente da clienti di prodotti certificati.
5. Obblighi post-certificazione
   Mantenimento della conformità, gestione delle segnalazioni di vulnerabilità, aggiornamenti software, rinnovo periodico del certificato.

Best practice per i fornitori IT per prepararsi

Conclusione

Il Cybersecurity Act UE rappresenta una pietra miliare per la standardizzazione della cybersecurity in Europa. Per i fornitori IT è una sfida ma anche un’opportunità: chi riuscirà ad adeguarsi prontamente potrà diventare un partner preferenziale, abilitato per mercati trasversali, con maggiore visibilità e fiducia.