Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

Sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC)

 

SINTESI DI:

Regolamento di esecuzione (UE) 2024/482 recante modalità di applicazione del regolamento (UE) 2019/881 per quanto riguarda l’adozione del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC)

QUAL È L’OBIETTIVO DEL REGOLAMENTO?

Il presente regolamento di esecuzione stabilisce le norme per l’applicazione del regolamento (UE) 2019/881 (si veda la sintesi) per il sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC).

L’EUCC è un quadro per la valutazione e la certificazione della cibersicurezza dei prodotti delle tecnologie dell’informazione e della comunicazione (TIC) e dei profili di protezione. Il sistema mira a garantire che i prodotti TIC soddisfino rigorose norme di sicurezza attraverso un processo strutturato, volto a rafforzare la cibersicurezza, raggiungere la coerenza in tutta l’Unione europea (Unione) e fornire una certificazione affidabile. L’EUCC si basa sull’accordo sul reciproco riconoscimento («ARR») dei certificati di sicurezza delle tecnologie dell’informazione dei sistemi d’informazione del gruppo di alti funzionari competente in materia di sicurezza dei sistemi d’informazione («SOG-IS»).

PUNTI CHIAVE

NORME E METODI DI VALUTAZIONE

  • Il sistema utilizza i criteri comuni (ISO/IEC 15408) e la metodologia comune di valutazione (ISO/IEC 18045) per le valutazioni.
  • Gli organismi di certificazione rilasciano certificati EUCC a due livelli di affidabilità: «sostanziale» (livelli AVA_VAN* 1 o 2) ed «elevato» (livelli AVA_VAN 3, 4 o 5). Il livello di affidabilità determina l’accuratezza e il rigore della valutazione.
  • I prodotti TIC sono certificati rispetto ai loro traguardi di sicurezza, che possono includere un profilo di protezione certificato, se applicabile.
  • L’autovalutazione della conformità non è consentita dal sistema EUCC.

CERTIFICAZIONE DEI PRODOTTI TIC

  • Le valutazioni devono rispettare i criteri comuni, la metodologia comune di valutazione e i documenti sullo stato dell’arte applicabili.
  • La certificazione secondo livelli di affidabilità più elevati (livelli AVA_VAN 4 o 5) deve essere effettuata di norma sulla base di settori tecnici o profili di protezione adottati come documenti sullo stato dell’arte ed elencati nell’allegato I.
  • Le persone richiedenti devono fornire la documentazione completa, compresi, se del caso, i risultati di valutazione precedenti, per coadiuvare il processo di certificazione.
  • Gli organismi di certificazione rilasciano certificati se sono soddisfatte tutte le condizioni; tali certificati includono le informazioni specifiche di cui all’allegato VII.
  • I sistemi nazionali di certificazione della cibersicurezza devono allinearsi con l’EUCC e cessano di produrre effetti a decorrere da 12 mesi dopo l’entrata in vigore del presente regolamento. Un processo di certificazione nazionale avviato durante tale periodo deve essere completato entro 24 mesi dall’entrata in vigore.
  • I certificati sono:
    • validi fino a cinque anni, con possibili estensioni all’atto dell’approvazione;
    • riesaminati periodicamente per garantire il costante rispetto dei requisiti di sicurezza;
    • revocati se il prodotto certificato non soddisfa più gli standard richiesti o se vi sono non conformità rilevanti.

CERTIFICAZIONE DEI PROFILI DI PROTEZIONE

I profili di protezione stabiliscono i requisiti di sicurezza per specifiche categorie di prodotti TIC. Tali profili sono:

  • valutati in modo simile ai prodotti TIC, garantendo che essi soddisfino i requisiti di sicurezza necessari per specifiche categorie TIC;
  • certificati da autorità nazionali di certificazione della cibersicurezza o da organismi pubblici accreditati o da un organismo di certificazione, previa approvazione.

MARCATURA ED ETICHETTATURA

  • I prodotti certificati possono recare una marcatura e un’etichetta indicante il loro stato di certificazione.
  • Queste devono essere chiaramente visibili e contenere dettagli quali il livello di affidabilità, il numero identificativo unico e un codice QR con collegamento alle informazioni sulla certificazione.

ORGANISMI DI VALUTAZIONE DELLA CONFORMITÀ

  • Gli organismi di certificazione e le strutture di valutazione della sicurezza delle tecnologie dell’informazione (ITSEF) devono essere accreditati in linea con il regolamento (CE) n. 765/2008 (si veda la sintesi), e, per livelli di affidabilità elevati, autorizzati dalle autorità nazionali di certificazione della cibersicurezza.
  • Le autorità nazionali di certificazione della cibersicurezza controllano la conformità degli organismi di certificazione, delle ITSEF e dei titolari di certificati. Gestiscono inoltre i reclami e conducono indagini sulla non conformità.
  • I prodotti non conformi devono essere sottoposti a misure correttive e i certificati possono essere sospesi o revocati se i problemi non vengono risolte.
  • Gli organismi di certificazione che rilasciano certificati di livello di affidabilità elevato devono essere sottoposti a valutazioni inter pares regolari per garantire la coerenza e standard elevati nelle pratiche di certificazione.
  • Il gruppo europeo per la certificazione della cibersicurezza svolge un ruolo cruciale nel mantenimento del sistema, nell’applicazione dei documenti sullo stato dell’arte e nella garanzia della costante pertinenza ed efficacia.

GESTIONE E DIVULGAZIONE DELLE VULNERABILITÀ

  • I titolari di certificati devono stabilire procedure per gestire e divulgare vulnerabilità, svolgere analisi dell’impatto delle vulnerabilità e segnalare vulnerabilità significative agli organismi e alle autorità di certificazione.
  • I certificati revocati devono essere divulgati nelle banche dati pertinenti, garantendo la trasparenza sulle vulnerabilità note.

CONSERVAZIONE E PROTEZIONE DELLE INFORMAZIONI

  • Gli organismi di certificazione e le ITSEF devono tenere registri delle valutazioni e delle certificazioni per almeno cinque anni dalla revoca del certificato.
  • Tutte le parti coinvolte nel processo di certificazione devono proteggere le informazioni riservate e i segreti aziendali.

ACCORDI SUL RECIPROCO RICONOSCIMENTO CON I PAESI TERZI

  • I paesi terzi possono riconoscere le certificazioni EUCC attraverso accordi sul reciproco riconoscimento, purché soddisfino i criteri di monitoraggio, vigilanza e gestione della vulnerabilità.

A PARTIRE DA QUANDO SI APPLICA IL REGOLAMENTO?

Entrerà in vigore il 27 febbraio 2025.

CONTESTO

Per ulteriori informazioni, si veda:

TERMINI CHIAVE

Livello AVA_VAN. Un livello di analisi della vulnerabilità dell’affidabilità che indica il grado delle attività di valutazione della cibersicurezza svolte per determinare il livello di resistenza rispetto alla potenziale possibilità di sfruttare i difetti o i punti deboli dell’oggetto della valutazione nel suo ambiente operativo, come stabilito nei criteri comuni;

DOCUMENTO PRINCIPALE

Regolamento di esecuzione (UE) 2024/482 della Commissione, del 31 gennaio 2024, recante modalità di applicazione del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio per quanto riguarda l’adozione del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC) (GU L 2024/482 del 7.2.2024).

DOCUMENTI CORRELATI

Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) (GU L 333 del 27.12.2022, pag. 80).

Le modifiche successive alla direttiva (UE) 2022/2555 sono state incorporate nel testo originale. La versione consolidata ha esclusivamente valore documentale.

Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (regolamento sulla cibersicurezza) (GU L 151 del 7.6.2019, pag. 15).

Regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sulla vigilanza del mercato e sulla conformità dei prodotti e che modifica la direttiva 2004/42/CE e i regolamenti (CE) n. 765/2008 e (UE) n. 305/2011 (GU L 169 del 25.6.2019, pag. 1).

Si veda la versione consolidata.

Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).

Si veda la versione consolidata.

Raccomandazione 95/144/CE del Consiglio, del 7 aprile 1995, su criteri comuni per la valutazione della sicurezza delle tecnologie d’informazione (GU L 93 del 26.4.1995, pag. 27).

Ultimo aggiornamento: 01.07.2024

Top