Lo Stakeholders Cybersecurity Certification Group (SCCG) è uno dei pilastri, poco noti al grande pubblico, con cui l’Europa intende assicurare le certificazioni dei prodotti ICT in merito alla sicurezza informatica.
È stato creato ufficialmente il 24 giugno 2020 ed annunciato dall’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) e dalla Commissione Ue.
Deriva dal regolamento (UE) 2019/881, noto anche come Cybersecurity Act – CSA ed entrato in vigore a giugno 2019, che si propone di produrre nei prossimi anni degli schemi europei di certificazione della sicurezza informatica dedicati a specifici ambiti di mercato nei settori tecnologici.
Tali schemi saranno introdotti con atti di esecuzione della Commissione europea, coadiuvata da due panel di esperti, l’European Cybersecurity Certification Group (ECCG) e appunto il SCCG.
Il quadro europeo di certificazione della sicurezza informatica
Il Cybersecurity Act (Regolamento UE 2019/881) dell’Unione Europea, entrato in vigore nel giugno 2019, ha introdotto il “quadro giuridico europeo di certificazione della sicurezza informatica”. Tale quadro prevede l’istituzione di sistemi europei di certificazione nell’ambito della cybersecurity volti ad attestare la conformità di prodotti, servizi e processi ICT a determinati requisiti di sicurezza.
Le certificazioni risultano di fondamentale importanza in quanto aumentano il livello di fiducia e sicurezza nei prodotti, servizi e processi ICT e allo stesso tempo forniscono alle aziende europee gli strumenti necessari per dimostrare che i loro prodotti e servizi rispettano gli standard di sicurezza informatica. Ciò contribuisce al corretto funzionamento del mercato unico digitale e ad un aumento della competitività delle imprese europee a livello globale.
Gli schemi di certificazione, tuttavia, non sostituiscono la necessità per i clienti di effettuare una propria attività di due-diligence al momento dell’acquisto, piuttosto le certificazioni servono a semplificare tale processo.
Il sistema delle certificazioni all’interno del panorama europeo risulta piuttosto frammentato. Esistono infatti diversi schemi di certificazione in ciascuno degli stati membri. Tali schemi, non avendo un uniforme riconoscimento, determinano oneri eccessivi per le imprese, le quali si trovano costrette ad espletare ripetuti processi di certificazione per poter operare al dì fuori dei confini nazionali. Ad esempio, la Commissione europea ha verificato come un produttore di contatori intelligenti (i cosiddetti “smart meter”) che intenda vendere i propri prodotti in Germania, Francia e Regno Unito debba ricorrere a tre differenti schemi di certificazione.
La creazione dello Stakeholders Cybersecurity Certification Group (SCCG) risponde proprio all’esigenza di ridurre quanto più possibile la frammentazione degli schemi di certificazione esistenti negli Stati membri dell’UE.
Lo Stakeholders Cybersecurity Certification Group (SCCG): organizzazione e funzioni
L’SCCG è composto dai rappresentanti di 50 organizzazioni, otto invitate direttamente dalla Commissione e 42 selezionate tramite un invito aperto. I membri dell’SCCG rappresentano una vasta gamma di interessi e comprendono rappresentanti di associazioni di categoria, società, istituzioni accademiche, organizzazioni dei consumatori, organismi di valutazione della conformità e altre organizzazioni associative.
Il gruppo, oltre a creare all’interno dell’Unione schemi omogenei di certificazione della sicurezza informatica orientati al mercato e volti a garantire un livello di cyber protezione più alto ed affidabile per le imprese, svolgerà attività di consulenza all’ENISA su questioni strategiche riguardanti la certificazione della sicurezza informatica e, allo stesso tempo, assisterà la Commissione europea nella preparazione dell’Union Rolling Work Programme (URWP).
Il Programma prevede la redazione da parte della Commissione di un documento non vincolante da aggiornare almeno una volta ogni tre anni, che identifichi le priorità strategiche per i futuri sistemi europei di certificazione della sicurezza informatica, includendo una panoramica dei prodotti, servizi e processi ICT che potranno trarre benefici dall’essere inclusi nell’ambito di applicazione del sistema europeo di certificazione.
L’European Cybersecurity Certification Group (ECCG): organizzazione e funzioni
L’European Cybersecurity Certification Group (ECCG) coopera con l’SCCG (anche nella redazione dell’URWP), ma differentemente da quest’ultimo, che riunisce al suo interno anche rappresentanti di enti privati, (associazioni di categoria, società, PMI), si compone solo di rappresentanti delle autorità nazionali di certificazione della sicurezza informatica o rappresentanti di altre autorità nazionali pertinenti.
L’ECCG, istituito con il Cybersecurity Act e già riunitosi in tre diverse occasioni (la prima nel settembre 2019), ha tra le sue principali funzioni quella di fornire consulenza e assistenza alla Commissione nei suoi lavori finalizzati a garantire l’attuazione e l’applicazione degli standard normativi contenuti all’interno della stessa legge. Inoltre, si adopera per allineare i sistemi europei di certificazione della sicurezza informatica con gli standard riconosciuti a livello internazionale, anche mediante la revisione degli schemi europei esistenti. In aggiunta, formula raccomandazioni all’ENISA per impegnarsi con le organizzazioni internazionali di standardizzazione per affrontare le carenze o lacune nelle norme riconosciute a livello internazionale.
E infine, favorisce la cooperazione tra le autorità nazionali di certificazione della cybersecurity attraverso lo scambio di informazioni relative alla certificazione della sicurezza informatica.
Il documento del SCCG in preparazione per l’Union Rolling Work Programme (URWP)
In occasione del primo incontro, i membri dello Stakeholders Cybersecurity Certification Group hanno redatto un documento di preparazione all’URWP che illustra le priorità strategiche per i futuri sistemi europei di certificazione della sicurezza informatica. Tali priorità sono in parte espressamente descritte all’interno del Cybersecurity Act (ad esempio, l’adozione di un approccio “security by design”, la garanzia basata sul rischio, l’importanza della standardizzazione e della cooperazione internazionale), in parte sono il risultato di feedback ricevuti dalle parti e organizzazioni interessate.
In particolare:
- si afferma la necessità di garantire una coerenza nello sviluppo e nell’uso dei sistemi di certificazione, sviluppando degli schemi europei che si basino il più possibile su schemi già sperimentati a livello nazionale. Infatti, le divergenze settoriali e normative riguardo la valutazione dei requisiti di sicurezza informatica da un lato generano spese inutili per fornitori e utenti finali, dall’altro comportano eccesivi oneri per le autorità con responsabilità di vigilanza o di altro tipo, come le autorità nazionali di certificazione della sicurezza informatica, gli organismi nazionali di accreditamento e le autorità di vigilanza del mercato;
- si consiglia di sviluppare nell’ambito del URWP una serie di metriche per la misurazione qualitativa e quantitativa dell’efficacia e dell’efficienza degli schemi di sicurezza informatica;
- si evidenzia la necessità per le “small and medium-sized enterprises (SMEs)” di introdurre degli standard adeguati e su misura, al fine di migliorare la cyber sicurezza dei loro prodotti e servizi;
- viene ribadito che la sicurezza informatica dovrebbe essere garantita per tutto il ciclo di vita dei prodotti, dei servizi o dei processi ICT attraverso adeguati processi di progettazione e sviluppo che evolvano costantemente per ridurre il rischio di danni derivanti da uno sfruttamento malevolo (intero/esterno) delle vulnerabilità. A tal proposito, in stretta collaborazione con gli organismi e le organizzazioni europee di standardizzazione, viene raccomandato di individuare e sviluppare degli schemi di certificazione valutativi per misurare la qualità dei requisiti nell’approccio di “security by design”.
- Con riguardo alla tecnologia 5G che favorirà lo sviluppo di economie sempre più digitalizzate e caratterizzate da miliardi di oggetti e sistemi collegati tra loro alla rete internet anche in settori particolarmente delicati (ad esempio, le autovetture autonome, i sistemi di controllo industriale, ecc.), si raccomanda di aumentare la partecipazione dei vari organismi europei di standardizzazione per sostenere lo sviluppo di schemi di certificazione che rispondano alle esigenze di tale tecnologia e che favoriscano l’interoperabilità tra i fornitori di apparecchiature 5G.
Le indicazioni contenute nel documento di preparazione al “Rolling Work Programme (URWP)” vanno inserite nel più ampio progetto europeo che mira a sviluppare le necessarie capacità di sicurezza informatica, per prevenire e contrastare gli attacchi informatici in continua evoluzione, proteggere i nuovi asset strategici dell’UE ed aumentare la competitività delle imprese europee a livello globale.