Nuova certificazione cybersecurity, il bollino blu UE per prodotti e servizi sicuri

La cybersecurity è un tema sempre più importante, in quanto la crescente digitalizzazione delle nostre vite rende le nostre infrastrutture e i nostri dati sempre più vulnerabili agli attacchi informatici.

Per aumentare il livello di sicurezza informatica nell’Unione Europea, la Commissione Europea ha pubblicato un nuovo schema di certificazione, che prevede l’utilizzo di un bollino blu per identificare i prodotti e i servizi che soddisfano i requisiti minimi di sicurezza.

Il nuovo schema di certificazione è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 20 gennaio 2024 ed entrerà in vigore il 20 luglio 2024.

Cos’è lo schema europeo di certificazione della sicurezza informatica?

Lo schema europeo di certificazione della sicurezza informatica è un sistema volontario che permette ai produttori e ai fornitori di prodotti e servizi ICT (come smartphone, tablet, computer, software, cloud, reti, ecc.) di ottenere una certificazione che attesti il livello di sicurezza informatica dei loro prodotti e servizi. Lo schema è stato introdotto dal Regolamento (UE) 2019/881, noto anche come Cybersecurity Act, entrato in vigore il 27 giugno 2019 e pubblicato sulla Gazzetta Ufficiale dell’UE il 7 giugno 2019.

Lo scopo dello schema è di creare un mercato unico europeo per i prodotti e i servizi ICT sicuri, aumentando la fiducia dei consumatori e delle imprese nella cybersecurity e facilitando la libera circolazione di tali prodotti e servizi nell’UE. Lo schema si basa su indicazioni e requisiti vincolanti stabiliti dalla Commissione Europea, in collaborazione con gli Stati membri, le autorità nazionali di certificazione, le agenzie europee competenti (come l’ENISA) e le parti interessate del settore privato.

Requisiti dello schema di certificazione

Lo schema di certificazione della cybersecurity dell’Unione Europea prevede una serie di requisiti vincolanti che i prodotti e i servizi devono soddisfare per ottenere il bollino blu.

I requisiti riguardano la protezione hardware e software dei prodotti e dei servizi, nonché la gestione dei rischi di sicurezza informatica.

In particolare, i requisiti hardware riguardano la robustezza del firmware e del software, la sicurezza dei dati e la protezione da attacchi fisici.

I requisiti software riguardano la sicurezza del codice, la protezione dei dati personali e la gestione degli aggiornamenti di sicurezza.

I requisiti di gestione dei rischi di sicurezza informatica riguardano la valutazione dei rischi, la messa in atto di misure di mitigazione e la gestione delle vulnerabilità.

Procedura di certificazione

La procedura di certificazione varia a seconda del livello di sicurezza richiesto per il prodotto o il servizio ICT. Esistono tre livelli di sicurezza: base, sostanziale e elevato. Il livello base è adatto per i prodotti e i servizi ICT che presentano un basso rischio di attacchi informatici, come ad esempio le lampadine intelligenti.

Il livello sostanziale è adatto per i prodotti e i servizi ICT che presentano un rischio moderato di attacchi informatici, come ad esempio i router domestici.

Il livello elevato è adatto per i prodotti e i servizi ICT che presentano un alto rischio di attacchi informatici, come ad esempio i sistemi di controllo industriale.

Per ottenere la certificazione, il produttore o il fornitore deve sottoporre il suo prodotto o servizio a una valutazione della sicurezza informatica, che può essere effettuata da un organismo di certificazione accreditato o direttamente dal produttore o fornitore stesso, a seconda del livello di sicurezza.

La procedura prevede tre fasi:

• Fase di valutazione iniziale: l’organismo di certificazione valuta la documentazione del prodotto o del servizio per verificare se soddisfa i requisiti dello schema di certificazione.
• Fase di valutazione in sito: l’organismo di certificazione visita l’azienda produttrice o fornitrice del prodotto o del servizio per verificare la conformità dei requisiti dello schema di certificazione.
• Fase di rilascio della certificazione: se il prodotto o il servizio soddisfa i requisiti dello schema di certificazione, l’organismo di certificazione rilascia il bollino blu.

Vantaggi della certificazione

Il bollino blu è il simbolo che identifica i prodotti e i servizi ICT certificati secondo lo schema europeo di certificazione della sicurezza informatica. Il bollino blu è visibile sul prodotto, sulla confezione, sul sito web o su altri materiali informativi del produttore o del fornitore, indica il livello di sicurezza informatica del prodotto o del servizio, da base a elevato, e rimanda a un database online dove è possibile consultare il certificato di sicurezza informatica e le informazioni dettagliate sul prodotto o sul servizio.

Inoltre la nuova certificazione offre numerosi vantaggi sia per i consumatori che per le imprese. Per i consumatori, il bollino blu rappresenta una garanzia di qualità e di affidabilità dei prodotti e dei servizi ICT che acquistano o utilizzano. Il bollino blu li aiuta a scegliere i prodotti e i servizi ICT più sicuri e adatti alle loro esigenze, a proteggere i loro dati personali e a prevenire possibili danni causati da attacchi informatici. Per le imprese, il bollino blu rappresenta un valore aggiunto e un vantaggio competitivo sui mercati europei e internazionali. Il bollino blu dimostra il loro impegno per la sicurezza informatica e la loro conformità agli standard europei, aumentando la loro reputazione e la loro attrattiva per i clienti.

Conclusione

Il nuovo schema di certificazione della cybersecurity dell’Unione Europea è un importante passo avanti per migliorare il livello di sicurezza informatica nell’UE.

La certificazione offre una serie di vantaggi per i prodotti e i servizi che la ottengono, contribuendo a aumentare la fiducia dei consumatori e delle imprese nella sicurezza dei prodotti e dei servizi.

Per ulteriori informazioni sulla certificazione della cybersecurity dell’Unione Europea, è possibile consultare il sito web della Commissione Europea.