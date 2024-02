Novità importante che arriva dalla Commissione europea, che ha da poco adottato il nuovo schema di certificazione di prodotto in riferimento alla cyber security. Si tratta di una certificazione che è strettamente collegata ai Common Criteria (meglio conosciuti con l’acronimo EUCC). L’obiettivo è quello di garantire, tramite tali standard, la certificazione di prodotti ICT all’interno del rispettivo ciclo di vita, facendo in modo che diventino sempre più affidabili per tutti gli utenti che li usano.

Al giorno d’oggi, infatti, la cyber security è una tematica che spaventa sempre di più tantissime aziende, che sono costrette a correre ai riparti per adeguarsi a delle situazioni di rischio e pericolo sempre più diffuse. Tra le soluzioni su cui si tende a puntare di più ultimamente troviamo anche la SD-WAN, che è un’architettura WAN virtuale che offre alle aziende l’opportunità di garantire una connessione in maniera del tutto sicura e con la massima efficienza agli utenti rispetto alle varie applicazioni.

Cosa cambia con la nuova certificazione di prodotti ICT

A cosa serve, quindi, questa innovazione? L’obiettivo è quello di garantire un riconoscimento formale a tutti quei prodotti che hanno determinati caratteri di affidabilità nella protezione non solo della parte hardware, ma anche della componente software di ogni asset che viene usato nella vita di tutti i giorni.

Anche Thierry Breton si è espresso su questa importante novità a livello di sicurezza informatica, mettendo in evidenza come questa innovazione permette finalmente di sfruttare delle nuove garanzie circa tutti quei prodotti informatici che vengono impiegati in vari ambienti dove il livello di sensibilità è più alto, come nel caso dei router piuttosto che delle carte di identità.

Il funzionamento dei nuovi certificati EUCC

Questo nuovo schema di certificazione va a garantire adeguata copertura a tutti quei livelli che vengono considerati “alti” e quelli definiti come “sostanziali”. Tali certificati EUCC di livello sostasnziale, infatti, si riferiscono alla copertura dei livelli 1 e 2 degli AVA_VAN. Si tratta, per chi non lo sapesse, dei livelli di sicurezza che sono relativi alle diverse indagini di vulnerabilità che sono strettamente connesse ai Common Criteria.

I certificati EUCC sostanziali, invece, garantiscono la copertura dei livelli 3, 4 e 5 degli AVA_VAN. Un innovativo sistema che è stato possibile realizzare anche grazie allo stretto rapporto di collaborazione con i numerosi esperti del settore, ma non solo, dato che anche vari Stati membri hanno fatto la loro parte. Uno strumento di natura legislativa andrà poi a garantire la giusta integrazione con il regolamento Cyber resilience act. Quest’ultimo ha reso possibile l’introduzione di tutta una serie di requisiti che si riferiscono alla cyber security e che vengono definiti come vincolanti per ogni device elettronico usato entro i confini dell’UE. In parallelo al sistema di certificazione, ecco che la Commissione EU provvederà alla pubblicazione anche del programma di lavoro progressivo dell’UE in riferimento alla certificazione europea circa la sicurezza informatica.

Il funzionamento di questi nuovi certificati di sicurezza è strettamente legato alla presenza di protection profile, come d’altra parte era già stato delineato da parte dello standard dei Common Criteria. I vari prodotti ICT che verranno ricompresi nella certificazione dovranno subire apposita analisi, anche in base all’utilizzo che ne verrà fatto e i correlati rischi, in base alla normativa prevista dal Cyber security Act entrato in vigore nel 2019.

Di conseguenza, un produttore potrà ora assoggettare un suo dispositivo a tale procedura di certificazione, garantendo la trasmissione di informazioni a tutte quelle certificazioni che ha già ottenuto, piuttosto che ad altre tipologie di controlli che in realtà mette già in atto. La durata del certificato sarà pari a 5 anni, al termine dei quali, per il rinnovo, sarà necessario intraprendere una procedura di aggiornamento.

