REGOLAMENTO DI ESECUZIONE (UE) 2024/482 DELLA COMMISSIONE
del 31 gennaio 2024
recante modalità di applicazione del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio per quanto riguarda l'adozione del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC)
(Testo rilevante ai fini del SEE)
CAPO I
DISPOSIZIONI GENERALI
Articolo 1
Oggetto e ambito di applicazione
Il presente regolamento istituisce il sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC).
Il presente regolamento si applica a tutti i prodotti delle tecnologie dell'informazione e della comunicazione (TIC), compresa la relativa documentazione, che sono presentati ai fini della certificazione nel quadro dell'EUCC, nonché a tutti i profili di protezione che sono presentati ai fini della certificazione come parte del processo TIC alla base della certificazione dei prodotti TIC.
Articolo 2
Definizioni
Ai fini del presente regolamento si applicano le definizioni seguenti:
«criteri comuni»: i criteri comuni per la valutazione della sicurezza delle tecnologie dell’informazione quali definiti nelle norme ISO/IEC 15408-1:2022, ISO/IEC 15408-2:2022, ISO/IEC 15408-3:2022, ISO/IEC 15408-4:2022 o ISO/IEC 15408-5:2022, o quali definiti nella norma «Common Criteria for Information Technology Security Evaluation», versione CC:2022, parti da 1 a 5, pubblicata dai partecipanti all’accordo «Arrangement on the Recognition of Common Criteria Certificates in the field of IT Security»;
«metodologia comune di valutazione»: la metodologia comune per la valutazione della sicurezza delle tecnologie dell’informazione quale definita nella norma ISO/IEC 18045:2022, o nella norma «Common Methodology for Information Technology Security Evaluation», versione CEM:2022, pubblicata dai partecipanti all’accordo «Arrangement on the Recognition of Common Criteria Certificates in the field of IT Security»;
«oggetto della valutazione»: un prodotto TIC o una sua parte, o un profilo di protezione come parte di un processo TIC, sottoposto a valutazione di cibersicurezza allo scopo di ricevere la certificazione EUCC;
«traguardo di sicurezza»: una dichiarazione dei requisiti di sicurezza dipendenti dall'implementazione per uno specifico prodotto TIC;
«profilo di protezione»: un processo TIC che stabilisce i requisiti di sicurezza per una categoria specifica di prodotti TIC, che affronta le esigenze di sicurezza indipendenti dall'implementazione e che può essere utilizzato per valutare i prodotti TIC rientranti in tale categoria specifica ai fini della loro certificazione;
«relazione tecnica di valutazione»: un documento prodotto da un'ITSEF per presentare i risultati, i verdetti e le giustificazioni ottenuti durante la valutazione di un prodotto TIC o di un profilo di protezione in conformità delle norme e degli obblighi stabiliti nel presente regolamento;
«ITSEF»: una struttura di valutazione della sicurezza delle tecnologie dell'informazione, che è un organismo di valutazione della conformità quale definito nell'articolo 2, punto 13), del regolamento (CE) n. 765/2008, che svolge attività di valutazione;
«livello AVA_VAN»: un livello di analisi della vulnerabilità dell'affidabilità che indica il grado delle attività di valutazione della cibersicurezza svolte per determinare il livello di resistenza rispetto alla potenziale possibilità di sfruttare i difetti o i punti deboli dell'oggetto della valutazione nel suo ambiente operativo, come stabilito nei criteri comuni;
«certificato EUCC»: un certificato di cibersicurezza rilasciato nell'ambito dell'EUCC per prodotti TIC o per profili di protezione che possono essere utilizzati esclusivamente nel processo TIC di certificazione dei prodotti TIC;
«prodotto composito»: un prodotto TIC che è valutato insieme a un altro prodotto TIC sottostante che ha già ricevuto un certificato EUCC e dalla cui funzionalità di sicurezza dipende il prodotto TIC composito;
«autorità nazionale di certificazione della cibersicurezza»: un'autorità designata da uno Stato membro a norma dell'articolo 58, paragrafo 1, del regolamento (UE) 2019/881;
«organismo di certificazione»: un organismo di valutazione della conformità quale definito nell'articolo 2, punto 13), del regolamento (CE) n. 765/2008, che svolge attività di certificazione;
«settore tecnico»: un quadro tecnico comune relativo a una particolare tecnologia per la certificazione armonizzata con una serie di requisiti di sicurezza caratteristici;
«documento sullo stato dell'arte»: documento in cui sono specificati i metodi, le tecniche e gli strumenti di valutazione che si applicano alla certificazione dei prodotti TIC, o ai requisiti di sicurezza di una categoria generica di prodotti TIC, o a qualsiasi altro requisito necessario per la certificazione, al fine di armonizzare la valutazione, in particolare dei settori tecnici o dei profili di protezione;
«autorità di vigilanza del mercato»: un'autorità quale definita nell'articolo 3, punto 4), del regolamento (UE) 2019/1020.
Articolo 3
Norme di valutazione
Alle valutazioni effettuate nell’ambito del sistema EUCC si applicano le norme seguenti:
i criteri comuni;
la metodologia comune di valutazione.
Fino al 31 dicembre 2027 può essere rilasciato nell’ambito del sistema EUCC un certificato che applica una delle norme seguenti:
ISO/IEC 15408-1:2009, ISO/IEC 15408-2:2008 o ISO/IEC 15408-3:2008;
«Common Criteria for Information Technology Security Evaluation», versione 3.1, revisione 5, pubblicata dai partecipanti all’accordo «Arrangement on the Recognition of Common Criteria Certificates in the field of IT Security»;
ISO/IEC 18045:2008;
«Common Methodology for Information Technology Security Evaluation», revisione 5, versione 3.1, pubblicata dai partecipanti all’accordo «Arrangement on the Recognition of Common Criteria Certificates in the field of IT Security».
Può essere rilasciato nell’ambito del sistema EUCC anche un certificato che applica le norme di cui al paragrafo 1 e che dichiari la conformità a un profilo di protezione che ha applicato una delle due norme seguenti, a condizione che l’uso di tale profilo di protezione sia richiesto a norma del regolamento di esecuzione (UE) 2016/799 della Commissione ( 1 ), del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio ( 2 ) o della decisione di esecuzione (UE) 2016/650 della Commissione ( 3 ):
«Common Criteria for Information Technology Security Evaluation», versione 3.1, revisioni da 1 a 4, pubblicata dai partecipanti all’accordo «Arrangement on the Recognition of Common Criteria Certificates in the field of IT Security»;
«Common Methodology for Information Technology Security Evaluation», versione 3.1, revisioni da 1 a 4, pubblicata dai partecipanti all’accordo «Arrangement on the Recognition of Common Criteria Certificates in the field of IT Security».
Articolo 4
Livelli di affidabilità
Articolo 5
Metodi di certificazione dei prodotti TIC
La certificazione di un prodotto TIC è effettuata rispetto al suo traguardo di sicurezza:
come definito dal richiedente; oppure
dichiarando la conformità a un profilo di protezione certificato come parte del processo TIC, qualora il prodotto TIC rientri nella categoria di prodotti TIC contemplata da tale profilo di protezione.
Articolo 6
Autovalutazione della conformità
Non è consentita l'autovalutazione della conformità ai sensi dell'articolo 53 del regolamento (UE) 2019/881.
CAPO II
CERTIFICAZIONE DEI PRODOTTI TIC
SEZIONE I
Norme e requisiti specifici per la valutazione
Articolo 7
Criteri e metodi di valutazione dei prodotti TIC
Un prodotto TIC presentato ai fini della certificazione è valutato almeno conformemente a quanto segue:
gli elementi applicabili delle norme di cui all'articolo 3;
le classi dei requisiti di garanzia della sicurezza per la valutazione della vulnerabilità e le prove funzionali indipendenti, come stabilito nelle norme di valutazione di cui all'articolo 3;
il livello di rischio associato all'uso previsto dei prodotti TIC in questione a norma dell'articolo 52 del regolamento (UE) 2019/881 e le loro funzioni di sicurezza a sostegno degli obiettivi di sicurezza di cui all'articolo 51 del medesimo regolamento;
i documenti sullo stato dell'arte applicabili di cui all'allegato I; e
i profili di protezione certificati applicabili di cui all'allegato II.
La certificazione dei prodotti TIC al livello AVA_VAN 4 o 5 è possibile solo negli scenari seguenti:
se rientra in uno dei settori tecnici di cui all'allegato I, il prodotto TIC è valutato conformemente ai documenti sullo stato dell'arte applicabili di tali settori tecnici;
se rientra in una categoria di prodotti TIC contemplati da un profilo di protezione certificato che comprende il livello AVA_VAN 4 o 5 e che figura nell'allegato II come profilo di protezione avanzato, il prodotto TIC è valutato conformemente alla metodologia di valutazione specificata per tale profilo di protezione;
se le lettere a) e b) del presente paragrafo non sono applicabili e se l'inclusione di un settore tecnico nell'allegato I o di un profilo di protezione certificato nell'allegato II è improbabile nel prossimo futuro, e solo in casi eccezionali e debitamente giustificati, alle condizioni di cui al paragrafo 4.
SEZIONE II
Rilascio, rinnovo e revoca dei certificati EUCC
Articolo 8
Informazioni necessarie per la certificazione e la valutazione
I richiedenti la certificazione possono fornire all'organismo di certificazione e all'ITSEF risultati della valutazione adeguati provenienti da una precedente certificazione a norma:
del presente regolamento;
di un altro sistema europeo di certificazione della cibersicurezza adottato a norma dell'articolo 49 del regolamento (UE) 2019/881;
di un sistema nazionale di cui all'articolo 49 del presente regolamento.
I richiedenti la certificazione forniscono inoltre all'organismo di certificazione e all'ITSEF le informazioni seguenti:
il link al proprio sito web contenente le informazioni supplementari sulla cibersicurezza di cui all'articolo 55 del regolamento (UE) 2019/881;
una descrizione delle procedure di gestione e divulgazione delle vulnerabilità del richiedente.
Articolo 9
Condizioni per il rilascio di un certificato EUCC
Gli organismi di certificazione rilasciano un certificato EUCC se sono soddisfatte tutte le condizioni seguenti:
la categoria di prodotto TIC rientra nell'ambito di applicazione dell'accreditamento, ed eventualmente dell'autorizzazione, dell'organismo di certificazione e dell'ITSEF coinvolti nella certificazione;
il richiedente la certificazione ha firmato una dichiarazione con cui si assume tutti gli impegni di cui al paragrafo 2;
l'ITSEF ha concluso la valutazione senza obiezioni in conformità delle norme, dei criteri e dei metodi di valutazione di cui agli articoli 3 e 7;
l'organismo di certificazione ha concluso il riesame dei risultati della valutazione senza obiezioni;
l'organismo di certificazione ha verificato che le relazioni tecniche di valutazione fornite dall'ITSEF siano coerenti con gli elementi di prova forniti e che le norme, i criteri e i metodi di valutazione di cui agli articoli 3 e 7 siano stati applicati correttamente.
Il richiedente la certificazione si assume gli impegni seguenti:
presentazione all'organismo di certificazione e all'ITSEF di tutte le informazioni necessarie, complete e corrette, e di ulteriori informazioni necessarie, se richiesto;
astensione dalla promozione del prodotto TIC come certificato nel quadro dell'EUCC prima che il certificato EUCC sia stato rilasciato;
promozione del prodotto TIC come certificato solo in relazione all'ambito di applicazione stabilito nel certificato EUCC;
cessazione immediata della promozione del prodotto TIC come certificato in caso di sospensione, revoca o scadenza del certificato EUCC;
garanzia che i prodotti TIC venduti facendo riferimento al certificato EUCC siano esattamente identici al prodotto TIC oggetto della certificazione;
rispetto delle norme di utilizzo del marchio e dell'etichetta stabilite per il certificato EUCC in conformità dell'articolo 11.
Articolo 10
Contenuto e formato del certificato EUCC
Articolo 11
Marchio ed etichetta
Il marchio e l'etichetta sono conformi al quanto disposto nell'allegato IX e contengono:
il livello di affidabilità e il livello AVA_VAN del prodotto TIC certificato;
l'identificatore unico del certificato, costituito dagli elementi seguenti:
denominazione del sistema;
denominazione e numero di riferimento dell'accreditamento dell'organismo di certificazione che ha rilasciato il certificato;
anno e mese di rilascio;
numero di identificazione assegnato dall'organismo di certificazione che ha rilasciato il certificato.
Il marchio e l'etichetta sono accompagnati da un codice QR con un link a un sito web contenente almeno:
le informazioni sulla validità del certificato;
le informazioni necessarie sulla certificazione, di cui agli allegati V e VII;
le informazioni che il titolare del certificato deve rendere pubblicamente disponibili conformemente all'articolo 55 del regolamento (UE) 2019/881; nonché
se del caso, le informazioni storiche relative alla certificazione o alle certificazioni specifiche del prodotto TIC per consentire la tracciabilità.
Articolo 12
Periodo di validità del certificato EUCC
Articolo 13
Riesame del certificato EUCC
A seguito dei risultati del riesame e, se del caso, della nuova valutazione, l'organismo di certificazione:
conferma il certificato EUCC;
revoca il certificato EUCC in conformità dell'articolo 14;
revoca il certificato EUCC in conformità dell'articolo 14 e rilascia un nuovo certificato EUCC con un ambito di applicazione identico e un periodo di validità prorogato; oppure
revoca il certificato EUCC in conformità dell'articolo 14 e rilascia un nuovo certificato EUCC con un ambito di applicazione diverso.
Articolo 14
Revoca del certificato EUCC
CAPO III
CERTIFICAZIONE DEI PROFILI DI PROTEZIONE
SEZIONE I
Norme e requisiti specifici per la valutazione
Articolo 15
Criteri e metodi di valutazione
Un profilo di protezione è valutato quanto meno conformemente a quanto segue:
gli elementi applicabili delle norme di cui all'articolo 3;
il livello di rischio associato all'uso previsto dei prodotti TIC in questione a norma dell'articolo 52 del regolamento (UE) 2019/881 e le loro funzioni di sicurezza a sostegno degli obiettivi di sicurezza di cui all'articolo 51 del medesimo regolamento; e
i pertinenti documenti sullo stato dell'arte di cui all'allegato I. Un profilo di protezione contemplato da un settore tecnico è certificato rispetto ai requisiti stabiliti in tale settore tecnico.
SEZIONE II
Rilascio, rinnovo e revoca dei certificati EUCC per i profili di protezione
Articolo 16
Informazioni necessarie per la certificazione e la valutazione dei profili di protezione
Il richiedente la certificazione di un profilo di protezione fornisce o mette altrimenti a disposizione dell’organismo di certificazione e dell’ITSEF tutte le informazioni, in forma completa e corretta, necessarie per le attività di certificazione e valutazione. Si applicano, mutatis mutandis, le disposizioni dell’articolo 8, paragrafi 2, 3, 4 e 7.
Articolo 17
Rilascio di certificati EUCC per i profili di protezione
▼M1 —————
Un profilo di protezione è certificato unicamente:
da un'autorità nazionale di certificazione della cibersicurezza o da un altro organismo pubblico accreditato come organismo di certificazione; oppure
da un organismo di certificazione, previa approvazione dell'autorità nazionale di certificazione della cibersicurezza per ogni singolo profilo di protezione.
Articolo 18
Periodo di validità del certificato EUCC per i profili di protezione
Articolo 19
Riesame del certificato EUCC per i profili di protezione
A seguito dei risultati del riesame e, se del caso, della nuova valutazione, l'organismo di certificazione procede in uno dei modi seguenti:
conferma il certificato EUCC;
revoca il certificato EUCC in conformità dell'articolo 20;
revoca il certificato EUCC in conformità dell'articolo 20 e rilascia un nuovo certificato EUCC con un ambito di applicazione identico e un periodo di validità prorogato;
revoca il certificato EUCC in conformità dell'articolo 20 e rilascia un nuovo certificato EUCC con un ambito di applicazione diverso.
Articolo 20
Revoca del certificato EUCC per un profilo di protezione
CAPO IV
ORGANISMI DI VALUTAZIONE DELLA CONFORMITÀ
Articolo 20 bis
Specificazione dei requisiti per l’accreditamento degli organismi di valutazione della conformità
L’accreditamento degli organismi di valutazione della conformità tiene conto della specificazione dei requisiti per l’accreditamento degli organismi di certificazione e delle ITSEF di cui ai documenti sullo stato dell’arte applicabili figuranti all’allegato I, punto 2.
Articolo 21
Requisiti specifici o supplementari per un organismo di certificazione
Un organismo di certificazione è autorizzato dall'autorità nazionale di certificazione della cibersicurezza a rilasciare certificati EUCC di livello di affidabilità «elevato» se, oltre a soddisfare i requisiti di cui all'articolo 60, paragrafo 1, e all'allegato del regolamento (UE) 2019/881 per quanto riguarda l'accreditamento degli organismi di valutazione della conformità, dimostra:
di possedere le conoscenze e le competenze necessarie per la decisione relativa alla certificazione del livello di affidabilità «elevato»;
di svolgere le proprie attività di certificazione in collaborazione con un'ITSEF autorizzata in conformità dell'articolo 22; e
di possedere le competenze richieste e di aver adottato misure tecniche e operative adeguate per proteggere efficacemente le informazioni riservate e sensibili per il livello di affidabilità «elevato», oltre a soddisfare i requisiti di cui all'articolo 43.
Nella sua valutazione, l'autorità nazionale di certificazione della cibersicurezza può riutilizzare elementi di prova adeguati provenienti da una precedente autorizzazione o da attività analoghe concesse a norma:
del presente regolamento;
di un altro sistema europeo di certificazione della cibersicurezza adottato a norma dell'articolo 49 del regolamento (UE) 2019/881;
di un sistema nazionale di cui all'articolo 49 del presente regolamento.
Articolo 22
Requisiti specifici o supplementari per un ITSEF
Un'ITSEF è autorizzata dall'autorità nazionale di certificazione della cibersicurezza a effettuare la valutazione dei prodotti TIC soggetti a certificazione con il livello di affidabilità «elevato» se, oltre a soddisfare i requisiti di cui all'articolo 60, paragrafo 1, e all'allegato del regolamento (UE) 2019/881 per quanto riguarda l'accreditamento degli organismi di valutazione della conformità, dimostra di rispettare tutte le condizioni seguenti:
possesso delle competenze necessarie per svolgere le attività di valutazione al fine di determinare la resistenza agli attacchi informatici avanzati commessi da attori che dispongono di abilità e risorse significative;
per quanto riguarda i settori tecnici e i profili di protezione, che fanno parte del processo TIC per tali prodotti TIC:
possesso delle competenze per svolgere le attività di valutazione specifiche necessarie a determinare metodicamente la resistenza di un oggetto della valutazione agli attacchi commessi da soggetti qualificati nel suo ambiente operativo, ipotizzando un potenziale di attacco «moderato» o «elevato», come stabilito nelle norme di cui all'articolo 3;
possesso delle competenze tecniche specificate nei documenti sullo stato dell'arte di cui all'allegato I;
possesso delle competenze richieste e adozione di misure tecniche e operative adeguate per proteggere efficacemente le informazioni riservate e sensibili per il livello di affidabilità «elevato», oltre al soddisfacimento dei requisiti di cui all'articolo 43.
Nella sua valutazione, l'autorità nazionale di certificazione della cibersicurezza può riutilizzare elementi di prova adeguati provenienti da una precedente autorizzazione o da attività analoghe concesse a norma:
del presente regolamento;
di un altro sistema europeo di certificazione della cibersicurezza adottato a norma dell'articolo 49 del regolamento (UE) 2019/881;
di un sistema nazionale di cui all'articolo 49 del presente regolamento.
▼M1 —————
CAPO V
MONITORAGGIO, NON CONFORMITÀ E NON COMPLIANCE
SEZIONE I
Monitoraggio della compliance
Articolo 25
Attività di monitoraggio da parte dell'autorità nazionale di certificazione della cibersicurezza
Fatto salvo l'articolo 58, paragrafo 7, del regolamento (UE) 2019/881, l'autorità nazionale di certificazione della cibersicurezza controlla:
il rispetto, da parte dell'organismo di certificazione e dell'ITSEF, degli obblighi a essi incombenti a norma del presente regolamento e del regolamento (UE) 2019/881;
il rispetto, da parte dei titolari di un certificato EUCC, degli obblighi a essi incombenti a norma del presente regolamento e del regolamento (UE) 2019/881;
il rispetto, da parte dei prodotti TIC certificati, dei requisiti stabiliti nell'EUCC;
il livello di affidabilità espresso nel certificato EUCC in relazione all'evoluzione del panorama delle minacce.
L'autorità nazionale di certificazione della cibersicurezza svolge le sue attività di monitoraggio in particolare sulla base:
delle informazioni provenienti dagli organismi di certificazione, dagli organismi nazionali di accreditamento e dalle autorità di vigilanza del mercato competenti;
delle informazioni derivanti da audit e indagini propri o di altre autorità;
del campionamento effettuato in conformità del paragrafo 3;
dei reclami ricevuti.
L'autorità nazionale di certificazione della cibersicurezza seleziona il campione di prodotti TIC certificati da controllare utilizzando criteri oggettivi tra cui:
la categoria di prodotti;
i livelli di affidabilità dei prodotti;
il titolare di un certificato;
l'organismo di certificazione e, se del caso, l'ITSEF a cui sono state subappaltate le attività;
qualsiasi altra informazione portata all'attenzione dell'autorità.
Articolo 26
Attività di monitoraggio da parte dell'organismo di certificazione
L'organismo di certificazione monitora:
il rispetto, da parte dei titolari di un certificato, degli obblighi a essi incombenti a norma del presente regolamento e del regolamento (UE) 2019/881 per quanto riguarda il certificato EUCC rilasciato dall'organismo di certificazione;
il rispetto, da parte dei prodotti TIC che ha certificato, dei rispettivi requisiti di sicurezza;
il livello di affidabilità espresso nei profili di protezione certificati.
L'organismo di certificazione svolge le proprie attività di monitoraggio sulla base:
delle informazioni fornite in base agli impegni del richiedente la certificazione di cui all'articolo 9, paragrafo 2;
delle informazioni derivanti dalle attività di altre autorità di vigilanza del mercato competenti;
dei reclami ricevuti;
delle informazioni sulle vulnerabilità che potrebbero avere un impatto sui prodotti TIC che ha certificato.
Articolo 27
Attività di monitoraggio da parte del titolare del certificato
Al fine di monitorare la conformità del prodotto TIC certificato ai suoi requisiti di sicurezza, il titolare di un certificato EUCC svolge i compiti seguenti:
monitoraggio delle informazioni sulle vulnerabilità relative al prodotto TIC certificato, comprese le dipendenze note, con mezzi propri ma anche in considerazione di:
una pubblicazione o una presentazione di informazioni sulle vulnerabilità da parte di un utente o di un ricercatore nel settore della sicurezza di cui all'articolo 55, paragrafo 1, lettera c), del regolamento (UE) 2019/881;
informazioni presentate da qualsiasi altra fonte;
monitoraggio del livello di affidabilità espresso nel certificato EUCC.
SEZIONE II
Conformità e compliance
Articolo 28
Conseguenze della non conformità di un prodotto TIC certificato o di un profilo di protezione
Articolo 29
Conseguenze della non compliance da parte del titolare del certificato
Se constata che:
il titolare del certificato EUCC o il richiedente la certificazione non rispettano gli impegni e gli obblighi di cui all'articolo 9, paragrafo 2, all'articolo 17, paragrafo 2, e agli articoli 27 e 41; oppure
il titolare del certificato EUCC non rispetta quanto stabilito dall'articolo 56, paragrafo 8, del regolamento (UE) 2019/881 o dal capo VI del presente regolamento,
l'organismo di certificazione fissa un termine non superiore a 30 giorni entro il quale il titolare del certificato EUCC adotta misure correttive.
Articolo 30
Sospensione del certificato EUCC
Articolo 31
Conseguenze della non compliance da parte dell'organismo di valutazione della conformità
In caso di mancato rispetto dei propri obblighi da parte di un organismo di certificazione o da parte dell'organismo di certificazione competente, qualora sia individuata una non compliance da parte di un'ITSEF, l'autorità nazionale di certificazione della cibersicurezza, senza indebito ritardo:
identifica con il sostegno dell'ITSEF in questione i certificati EUCC potenzialmente interessati;
richiede, se necessario, l'esecuzione di attività di valutazione su uno o più prodotti TIC o profili di protezione da parte dell'ITSEF che ha effettuato la valutazione o di qualsiasi altra ITSEF accreditata e, se del caso, autorizzata che possa trovarsi in una posizione tecnica migliore per sostenere tale identificazione;
analizza gli impatti della non compliance;
informa il titolare del certificato EUCC interessato dalla non compliance.
Sulla base delle misure di cui al paragrafo 1, l'organismo di certificazione adotta, in relazione a ciascun certificato EUCC interessato, una delle decisioni indicate di seguito:
mantenere il certificato EUCC inalterato;
revocare il certificato EUCC in conformità dell'articolo 14 o dell'articolo 20 e, se del caso, rilasciare un nuovo certificato EUCC.
Sulla base delle misure di cui al paragrafo 1 l'autorità nazionale di certificazione della cibersicurezza:
segnala, se necessario, la non compliance dell'organismo di certificazione o della relativa ITSEF all'organismo nazionale di accreditamento;
valuta, se del caso, il potenziale impatto sull'autorizzazione.
CAPO VI
GESTIONE E DIVULGAZIONE DELLE VULNERABILITÀ
Articolo 32
Ambito della gestione delle vulnerabilità
Il presente capo si applica ai prodotti TIC per i quali è stato rilasciato un certificato EUCC.
SEZIONE I
Gestione delle vulnerabilità
Articolo 33
Procedure di gestione delle vulnerabilità
Articolo 34
Analisi dell'impatto delle vulnerabilità
Articolo 35
Relazione sull'analisi dell'impatto delle vulnerabilità
La relazione sull'analisi dell'impatto delle vulnerabilità contiene una valutazione degli elementi seguenti:
l'impatto della vulnerabilità sul prodotto TIC certificato;
i possibili rischi associati alla prossimità o alla disponibilità di un attacco;
la possibilità di risolvere la vulnerabilità;
laddove la vulnerabilità possa essere risolta, le possibili modalità di risoluzione.
Articolo 36
Risoluzione delle vulnerabilità
Il titolare di un certificato EUCC trasmette all'organismo di certificazione una proposta contenente una misura correttiva adeguata. L'organismo di certificazione riesamina il certificato in conformità dell'articolo 13. L'ambito di applicazione del riesame è determinato in base alla proposta di risoluzione della vulnerabilità.
SEZIONE II
Divulgazione delle vulnerabilità
Articolo 37
Informazioni condivise con l'autorità nazionale di certificazione della cibersicurezza
Articolo 38
Cooperazione con altre autorità nazionali di certificazione della cibersicurezza
Articolo 39
Pubblicazione della vulnerabilità
In caso di revoca di un certificato, il titolare del certificato EUCC divulga e registra qualsiasi vulnerabilità del prodotto TIC pubblicamente nota e risolta nella banca dati europea delle vulnerabilità, istituita in conformità dell'articolo 12 della direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio ( 4 ), o in altri archivi online di cui all'articolo 55, paragrafo 1, lettera d), del regolamento (UE) 2019/881.
CAPO VII
CONSERVAZIONE, DIVULGAZIONE E PROTEZIONE DELLE INFORMAZIONI
Articolo 40
Conservazione dei registri da parte degli organismi di certificazione e dell'ITSEF
Articolo 41
Informazioni messe a disposizione dal titolare di un certificato
Il titolare di un certificato EUCC archivia in modo sicuro per il periodo necessario ai fini del presente regolamento e per almeno cinque anni dopo la revoca del relativo certificato EUCC:
i registri delle informazioni fornite all'organismo di certificazione e all'ITSEF durante il processo di certificazione;
un esemplare del prodotto TIC certificato.
Articolo 42
Informazioni che l'ENISA deve mettere a disposizione
L'ENISA pubblica sul sito web di cui all'articolo 50, paragrafo 1, del regolamento (UE) 2019/881, le informazioni seguenti:
tutti i certificati EUCC;
le informazioni sullo stato dei certificati EUCC, in particolare se sono in vigore, sospesi, revocati o scaduti;
le relazioni di certificazione corrispondenti a ciascun certificato EUCC;
un elenco degli organismi di valutazione della conformità accreditati;
un elenco degli organismi di valutazione della conformità autorizzati;
i documenti sullo stato dell'arte di cui all'allegato I;
i pareri del gruppo europeo per la certificazione della cibersicurezza di cui all'articolo 62, paragrafo 4, lettera c), del regolamento (UE) 2019/881;
le relazioni di valutazione inter pares emesse in conformità dell'articolo 47.
Articolo 43
Protezione delle informazioni
Gli organismi di valutazione della conformità, le autorità nazionali di certificazione della cibersicurezza, l'ECCG, l'ENISA, la Commissione e tutte le altre parti garantiscono la sicurezza e la protezione dei segreti aziendali e di altre informazioni riservate, compresi i segreti commerciali, nonché la salvaguardia dei diritti di proprietà intellettuale, e adottano le misure tecniche e organizzative necessarie e appropriate.
CAPO VIII
ACCORDI SUL RECIPROCO RICONOSCIMENTO CON I PAESI TERZI
Articolo 44
Condizioni
Gli accordi sul reciproco riconoscimento di cui al paragrafo 1 possono essere conclusi solo con i paesi terzi che soddisfano le condizioni seguenti:
dispongono di un'autorità che:
è un ente pubblico, indipendente dagli enti che vigila e monitora in termini di struttura organizzativa e giuridica, finanziamento e processo decisionale;
dispone di adeguati poteri di monitoraggio e vigilanza per svolgere indagini e ha il potere di adottare misure correttive adeguate per garantire la compliance;
dispone di un sistema sanzionatorio efficace, proporzionato e dissuasivo per garantire la compliance;
accetta di collaborare con il gruppo europeo per la certificazione della cibersicurezza e con l'ENISA al fine di scambiare le migliori pratiche e informazioni sugli sviluppi pertinenti nel campo della certificazione della cibersicurezza e di lavorare a un'interpretazione uniforme dei criteri e dei metodi di valutazione attualmente applicabili, tra l'altro applicando una documentazione armonizzata equivalente ai documenti sullo stato dell'arte elencati di cui all'allegato I;
dispongono di un organismo di accreditamento indipendente che effettua accreditamenti utilizzando norme equivalenti a quelle di cui al regolamento (CE) n. 765/2008;
si impegnano affinché i processi e le procedure di valutazione e certificazione siano svolti in modo debitamente professionale, tenendo conto del rispetto delle norme internazionali di cui al presente regolamento, in particolare all'articolo 3;
sono in grado di segnalare le vulnerabilità non rilevate in precedenza e dispongono di una procedura consolidata e adeguata di gestione e divulgazione delle vulnerabilità;
dispongono di procedure consolidate che consentono loro di presentare e trattare efficacemente i reclami e di fornire effettivi mezzi di ricorso giurisdizionale al reclamante;
istituiscono un meccanismo di cooperazione con gli altri organismi dell'Unione e degli Stati membri competenti per la certificazione della cibersicurezza a norma del presente regolamento, compresa la condivisione di informazioni sull'eventuale non compliance dei certificati, il monitoraggio degli sviluppi pertinenti nel campo della certificazione e la garanzia di un approccio comune al mantenimento e al riesame delle certificazioni.
Oltre alle condizioni di cui al paragrafo 3, è possibile concludere un accordo sul reciproco riconoscimento di cui al paragrafo 1 relativo al livello di affidabilità «elevato» con i paesi terzi solo se sono soddisfatte anche le condizioni seguenti:
il paese terzo dispone di un'autorità pubblica e indipendente di certificazione della cibersicurezza che svolge o delega le attività di valutazione necessarie per consentire la certificazione al livello di affidabilità «elevato», che sono equivalenti ai requisiti e alle procedure stabiliti per le autorità nazionali di cibersicurezza nel presente regolamento e nel regolamento (UE) 2019/881;
l'accordo sul reciproco riconoscimento stabilisce un meccanismo congiunto equivalente alla valutazione inter pares per la certificazione EUCC al fine di migliorare lo scambio di pratiche e risolvere congiuntamente i problemi nell'ambito della valutazione e della certificazione.
CAPO IX
VALUTAZIONE INTER PARES DEGLI ORGANISMI DI CERTIFICAZIONE
Articolo 45
Procedura di valutazione inter pares
La valutazione inter pares può basarsi su elementi di prova raccolti nel corso di precedenti valutazioni inter pares o procedure equivalenti dell'organismo di certificazione oggetto di valutazione inter pares o dell'autorità nazionale di certificazione della cibersicurezza, a condizione che:
i risultati non risalgano a oltre cinque anni prima;
qualora si riferiscano a una valutazione inter pares effettuata nell'ambito di un sistema di certificazione diverso, i risultati siano accompagnati da una descrizione delle procedure di valutazione inter pares stabilite per tale sistema;
la relazione di valutazione inter pares di cui all'articolo 47 specifichi quali risultati sono stati riutilizzati con o senza ulteriore valutazione.
Articolo 46
Fasi della valutazione inter pares
Articolo 47
Relazione di valutazione inter pares
Il gruppo europeo per la certificazione della cibersicurezza adotta un parere sulla relazione di valutazione inter pares:
se nella relazione di valutazione inter pares non sono state individuate non conformità o se l'organismo di certificazione oggetto di valutazione inter pares le ha affrontate adeguatamente, il gruppo europeo per la certificazione della cibersicurezza può formulare un parere positivo e tutti i documenti pertinenti sono pubblicati sul sito web dell'ENISA relativo alla certificazione;
se l'organismo di certificazione oggetto di valutazione inter pares non affronta adeguatamente le non conformità entro il termine stabilito, il gruppo europeo per la certificazione della cibersicurezza può formulare un parere negativo che è pubblicato sul sito web dell'ENISA relativo alla certificazione, insieme alla relazione di valutazione inter pares e a tutti i documenti pertinenti.
CAPO X
MANTENIMENTO DEL SISTEMA
Articolo 48
Mantenimento dell'EUCC
CAPO XI
DISPOSIZIONI FINALI
Articolo 49
Sistemi nazionali contemplati dall'EUCC
Articolo 50
Entrata in vigore
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Esso si applica a decorrere dal 27 febbraio 2025.
Il capo IV e l'allegato V si applicano a partire dalla data di entrata in vigore del presente regolamento.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
ALLEGATO I
Documenti sullo stato dell’arte a sostegno dei settori tecnici e altri documenti sullo stato dell’arte
1. Documenti sullo stato dell’arte a sostegno dei settori tecnici al livello AVA_VAN 4 o 5:
i seguenti documenti relativi alla valutazione armonizzata del settore tecnico «smart card e dispositivi simili»:
«Minimum ITSEF requirements for security evaluations of smart cards and similar devices», versione 1.1;
«Minimum Site Security Requirements», versione 1.1;
«Application of Common Criteria to integrated circuits», versione 1.1;
«Security Architecture requirements (ADV_ARC) for smart cards and similar devices», versione 1.1;
«Certification of “open” smart card products», versione 1.1;
«Composite product evaluation for smart cards and similar devices», versione 1.1;
«Application of Attack Potential to Smartcards and Similar Devices», versione 1.2;
i seguenti documenti relativi alla valutazione armonizzata del settore tecnico «dispositivi hardware con box di sicurezza»:
«Minimum ITSEF requirements for security evaluations of hardware devices with security boxes», versione 1.1;
«Minimum Site Security Requirements», versione 1.1;
«Application of Attack Potential to hardware devices with security boxes», versione 1.2.
2. Documenti sullo stato dell’arte relativi all’accreditamento armonizzato degli organismi di valutazione della conformità:
«Accreditation of ITSEFs for the EUCC», versione 1.1 per gli accreditamenti rilasciati prima dell'8 luglio 2025;
«Accreditation of ITSEFs for the EUCC», versione 1.6c, per i nuovi accreditamenti o per gli accreditamenti riesaminati dopo l'8 luglio 2025;
«Accreditation of CBs for the EUCC», versione 1.6b.
ALLEGATO II
Profili di protezione certificati al livello AVA_VAN 4 o 5
1. Per la categoria dei dispositivi qualificati per la creazione di firme e sigilli a distanza:
EN 419241-2:2019 – Sistemi affidabili che supportano la firma lato server – Parte 2: profili di protezione per QSCD per la firma lato server;
EN 419221-5:2018 – Profili di protezione per moduli crittografici TSP – Parte 5: moduli crittografici per servizi fiduciari.
2. Profili di protezione che sono stati adottati come documenti sullo stato dell'arte:
[BLANK]
ALLEGATO III
Profili di protezione raccomandati (che illustrano i settori tecnici di cua all'allegato I)
Profili di protezione utilizzati per la certificazione di prodotti TIC che rientrano nella categoria di prodotti TIC indicata di seguito:
per la categoria dei documenti di viaggio a lettura ottica:
PP Machine Readable Travel Document using Standard Inspection Procedure with PACE, BSI-CC-PP-0068-V2-2011-MA-01;
PP for a Machine Readable Travel Document with «ICAO Application» Extended Access Control, BSI-CC-PP-0056-2009;
PP for a Machine Readable Travel Document with «ICAO Application» Extended Access Control with PACE, BSI-CC-PP-0056-V2-2012-MA-02;
PP for a Machine Readable Travel Document with «ICAO Application» Basic Access Control, BSI-CC-PP-0055-2009;
per la categoria dei dispositivi di creazione di firma sicura:
EN 419211-1:2014 – Profili di protezione per dispositivi di creazione di firma sicura – Parte 1: visione d'insieme
EN 419211-2:2013 – Profili di protezione per dispositivi di creazione di firma sicura – Parte 2: dispositivi con generatore di chiave;
EN 419211-3:2013 – Profili di protezione per dispositivi di creazione di firma sicura – Parte 3: dispositivi con importazione di chiave;
EN 419211-4:2013 – Profili di protezione per dispositivi di creazione di firma sicura – Parte 4: estensione per dispositivo con generatore di chiave e canale sicuro per applicazione di generazione di certificato;
EN 419211-5:2013 – Profili di protezione per dispositivi di creazione di firma sicura – Parte 5: estensione per dispositivo con generatore di chiave e canale sicuro per applicazione di creazione di firma;
EN 419211-6:2014 – Profili di protezione per dispositivi di creazione di firma sicura – Parte 6: estensione per il dispositivo con importazione di chiave e canale attendibile per applicazione di creazione di firma;
per la categoria dei tachigrafi digitali:
tachigrafo digitale – carta tachigrafica, come indicato nel regolamento di esecuzione (UE) 2016/799 della Commissione, del 18 marzo 2016, che applica il regolamento (UE) n. 165/2014 (allegato IC);
tachigrafo digitale – unità elettronica di bordo di cui all'allegato IB del regolamento (CE) n. 1360/2002 della Commissione destinata al montaggio in veicoli per i trasporti stradali;
tachigrafo digitale – dispositivo esterno del GNSS (EGF PP) di cui all'allegato IC del regolamento di esecuzione (UE) 2016/799 della Commissione, del 18 marzo 2016, che applica il regolamento (UE) n. 165/2014 del Parlamento europeo e del Consiglio;
tachigrafo digitale – sensore di movimento (MS PP) di cui all'allegato IC del regolamento di esecuzione (UE) 2016/799 della Commissione, del 18 marzo 2016, che applica il regolamento (UE) n. 165/2014 del Parlamento europeo e del Consiglio;
per la categoria dei circuiti integrati sicuri, delle smart card e dei relativi dispositivi:
Security IC Platform PP, BSI-CC-PP-0084-2014;
Java Card System - Open Configuration, V3.0.5 BSI-CC-PP-0099-2017;
Java Card System - Closed Configuration, BSI-CC-PP-0101-2017;
PP for a PC Client Specific Trusted Platform Module Family 2.0 Level 0 Revision 1.16, ANSSI-CC-PP-2015/07;
PP Universal SIM card, PU-2009-RT-79, ANSSI-CC-PP-2010/04;
Embedded UICC (eUICC) for Machine-to-Machine Devices, BSI-CC-PP-0089-2015;
per la categoria dei punti di interazione (di pagamento) e dei terminali di pagamento:
punto di interazione «POI-CHIP-ONLY», ANSSI-CC-PP-2015/01;
punto di interazione «POI-CHIP-ONLY and Open Protocol Package», ANSSI-CC-PP-2015/02;
punto di interazione «POI-COMPREHENSIVE», ANSSI-CC-PP-2015/03;
punto di interazione «POI-COMPREHENSIVE and Open Protocol Package», ANSSI-CC-PP-2015/04;
punto di interazione «POI-PED-ONLY», ANSSI-CC-PP-2015/05;
punto di interazione «POI-PED-ONLY and Open Protocol Package», ANSSI-CC-PP-2015/06;
per la categoria dei dispositivi hardware con box di sicurezza:
Cryptographic Module for CSP Signing Operations with Backup – PP CMCSOB, PP HSM CMCSOB 14167-2, ANSSI-CC-PP-2015/08;
Cryptographic Module for CSP key generation services – PP CMCSOB, PP HSM CMCSOB 14167-3, ANSSI-CC-PP-2015/09;
Cryptographic Module for CSP Signing Operations without Backup – PP CMCSO, PP HSM CMCKG 14167-4, ANSSI-CC-PP-2015/10.
ALLEGATO IV
CONTINUITÀ DELL'AFFIDABILITÀ E RIESAME DEI CERTIFICATI
IV.1 Continuità dell'affidabilità: ambito di applicazione
1. I seguenti requisiti per la continuità dell'affidabilità si applicano alle attività di mantenimento relative a quanto segue:
una nuova valutazione se un prodotto TIC certificato rimasto invariato soddisfa ancora i requisiti di sicurezza;
una valutazione dell'impatto delle modifiche apportate a un prodotto TIC certificato sulla sua certificazione;
se inclusa nella certificazione, l'applicazione di patch in conformità di un processo di gestione delle patch valutato;
se incluso, il riesame dei processi di produzione o di gestione del ciclo di vita del titolare del certificato.
2. Il titolare di un certificato EUCC può richiedere il riesame del certificato nei casi seguenti:
il certificato EUCC scadrà entro i successivi nove mesi;
si è verificata una modifica del prodotto TIC certificato o di un altro fattore che potrebbe avere un impatto sulla sua funzionalità di sicurezza;
il titolare del certificato richiede che sia effettuata nuovamente la valutazione delle vulnerabilità al fine di riconfermare l'affidabilità del certificato EUCC associata alla resistenza del prodotto TIC agli attuali attacchi informatici.
IV.2 Nuova valutazione
1. Qualora sia necessario valutare l'impatto dei cambiamenti nel panorama delle minacce di un prodotto TIC certificato rimasto invariato, è presentata all'organismo di certificazione una richiesta di nuova valutazione.
2. La nuova valutazione è effettuata dalla stessa ITSEF che ha partecipato alla valutazione precedente, che riutilizza tutti i risultati ancora validi. La valutazione si concentra sulle attività di garanzia dell'affidabilità che sono potenzialmente interessate dai cambiamenti nel panorama delle minacce del prodotto TIC certificato, in particolare la famiglia AVA_VAN pertinente, nonché la famiglia del ciclo di vita dell'affidabilità (assurance lifecycle, ALC) per le quali sono nuovamente raccolti elementi di prova sufficienti sulla manutenzione dell'ambiente di sviluppo.
3. L'ITSEF descrive i cambiamenti e presenta nel dettaglio i risultati della nuova valutazione con un aggiornamento della precedente relazione tecnica di valutazione.
4. L'organismo di certificazione esamina la relazione tecnica di valutazione aggiornata e redige una relazione di nuova valutazione. Lo stato del certificato iniziale è quindi modificato in conformità dell'articolo 13.
5. La relazione di nuova valutazione e il certificato aggiornato sono forniti all'autorità nazionale di certificazione della cibersicurezza e all'ENISA per la pubblicazione sul sito web relativo alla certificazione della cibersicurezza.
IV.3 Modifiche di un prodotto TIC certificato
1. Se un prodotto TIC certificato è stato soggetto a modifiche, il titolare del certificato che intende mantenerlo fornisce all'organismo di certificazione una relazione sull'analisi dell'impatto.
2. Nella relazione sull'analisi dell'impatto sono forniti gli elementi seguenti:
un'introduzione contenente le informazioni necessarie per identificare la relazione sull'analisi dell'impatto e l'oggetto della valutazione soggetto a modifiche;
una descrizione delle modifiche apportate al prodotto;
l'identificazione della developer evidence interessata;
una descrizione delle modifiche della developer evidence;
i risultati e le conclusioni in merito all'impatto sull'affidabilità per ciascuna modifica.
3. L'organismo di certificazione esamina le modifiche descritte nella relazione sull'analisi dell'impatto per convalidare il loro impatto sull'affidabilità dell'oggetto della valutazione certificato, come proposto nelle conclusioni di detta relazione.
4. A seguito dell'esame, l'organismo di certificazione stabilisce l'entità di una modifica definendola minore o maggiore in base al suo impatto.
5. Qualora l’organismo di certificazione abbia confermato che le modifiche sono di minore entità, non è rilasciato alcun nuovo certificato per il prodotto TIC modificato ed è redatta una relazione di manutenzione in riferimento alla relazione di certificazione iniziale.
La relazione di manutenzione è inclusa come sottoinsieme della relazione sull’analisi dell’impatto e contiene le sezioni seguenti:
introduzione;
descrizione delle modifiche;
developer evidence interessata;
6. La relazione di manutenzione di cui al punto 5 è fornita all’ENISA per la pubblicazione sul sito web relativo alla certificazione della cibersicurezza.
7. Nel caso in cui sia stato confermato che le modifiche sono di maggiore entità, si procede a una nuova valutazione nel contesto della valutazione precedente e riutilizzando tutti i risultati della valutazione precedente ancora validi.
8. Al termine della valutazione dell'oggetto della valutazione modificato, l'ITSEF redige una nuova relazione tecnica di valutazione. L'organismo di certificazione esamina la relazione tecnica di valutazione aggiornata e, se del caso, redige un nuovo certificato con una nuova relazione di certificazione.
9. Il nuovo certificato e la nuova relazione di certificazione sono forniti all'ENISA per la pubblicazione.
IV.4 Gestione delle patch
1. Una procedura di gestione delle patch prevede un processo strutturato di aggiornamento di un prodotto TIC certificato. La procedura di gestione delle patch, compreso il meccanismo attuato nel prodotto TIC dal richiedente la certificazione, può essere utilizzata dopo la certificazione del prodotto TIC sotto la responsabilità dell'organismo di valutazione della conformità.
2. Il richiedente la certificazione può includere nella certificazione del prodotto TIC un meccanismo di patch come parte di una procedura di gestione certificata implementata nel prodotto TIC a una delle condizioni seguenti:
le funzionalità interessate dalla patch non rientrano nell'oggetto della valutazione del prodotto TIC certificato;
la patch riguarda una modifica di piccola entità predeterminata del prodotto TIC certificato;
la patch riguarda una vulnerabilità confermata con effetti critici sulla sicurezza del prodotto TIC certificato.
3. Se la patch si riferisce a una modifica di grande entità dell'oggetto della valutazione del prodotto TIC certificato in relazione a una vulnerabilità precedentemente non rilevata che non ha effetti critici per la sicurezza del prodotto TIC, si applicano le disposizioni dell'articolo 13.
4. La procedura di gestione delle patch per un prodotto TIC sarà composta dagli elementi seguenti:
il processo di sviluppo e rilascio della patch per il prodotto TIC;
il meccanismo tecnico e le funzioni per l'adozione della patch nel prodotto TIC;
una serie di attività di valutazione relative all'efficacia e alle prestazioni del meccanismo tecnico.
5. Durante la certificazione del prodotto TIC:
il richiedente la certificazione del prodotto TIC fornisce la descrizione della procedura di gestione delle patch;
l'ITSEF verifica gli elementi seguenti:
lo sviluppatore ha implementato i meccanismi di patch nel prodotto TIC in conformità della procedura di gestione delle patch presentata ai fini della certificazione;
i limiti dell'oggetto della valutazione sono separati in modo che le modifiche apportate ai processi separati non influiscano sulla sicurezza dell'oggetto della valutazione;
il meccanismo tecnico delle patch funziona in conformità delle disposizioni della presente sezione e delle dichiarazioni del richiedente;
l'organismo di certificazione include nella relazione di certificazione l'esito della procedura di gestione delle patch valutata.
6. Il titolare del certificato può procedere all'applicazione della patch prodotta nel rispetto della procedura di gestione delle patch certificata al prodotto TIC certificato in questione e adotta le seguenti misure entro cinque giorni lavorativi nei casi indicati di seguito:
nel caso di cui al punto 2, lettera a), segnala la patch in questione all'organismo di certificazione, che non modifica il corrispondente certificato EUCC;
nel caso di cui al punto 2, lettera b), sottopone la patch in questione all'ITSEF per il riesame. L'ITSEF informa l'organismo di certificazione della ricezione della patch, e l'organismo di certificazione adotta le misure appropriate per l'emissione di una nuova versione del corrispondente certificato EUCC e l'aggiornamento della relazione di certificazione;
nel caso di cui al punto 2, lettera c), sottopone la patch in questione all'ITSEF per la nuova valutazione necessaria, ma può distribuire la patch in parallelo. L'ITSEF informa l'organismo di certificazione, che a sua volta avvia le relative attività di certificazione.
ALLEGATO V
CONTENUTO DELLA RELAZIONE DI CERTIFICAZIONE
V.1 Relazione di certificazione
1. Sulla base delle relazioni tecniche di valutazione fornite dall'ITSEF, l'organismo di certificazione redige una relazione di certificazione da pubblicare insieme al corrispondente certificato EUCC.
2. La relazione di certificazione è la fonte di informazioni dettagliate e pratiche sul prodotto TIC o sulla categoria di prodotti TIC e sulla diffusione sicura degli stessi, e pertanto include tutte le informazioni disponibili e condivisibili pubblicamente rilevanti per gli utenti e i portatori di interesse. La relazione di certificazione può fare riferimento a informazioni disponibili e condivisibili pubblicamente.
3. La relazione di certificazione contiene almeno le sezioni seguenti:
sintesi;
identificazione del prodotto TIC o della categoria di prodotti TIC per i profili di protezione;
servizi di sicurezza;
ipotesi e chiarimento dell'ambito di applicazione;
informazioni sull'architettura;
informazioni supplementari sulla cibersicurezza, se applicabili;
prove del prodotto TIC, se sono state eseguite;
se del caso, l'identificazione dei processi di gestione del ciclo di vita e degli impianti di produzione del titolare del certificato;
risultati della valutazione e informazioni relative al certificato;
sintesi del traguardo di sicurezza del prodotto TIC sottoposto a certificazione;
se disponibile, il marchio o l'etichetta associati al sistema;
bibliografia.
4. La sintesi è un breve riassunto dell'intera relazione di certificazione. La sintesi fornisce una panoramica chiara e concisa dei risultati della valutazione e include le informazioni seguenti:
nome del prodotto TIC valutato, elenco dei componenti del prodotto che fanno parte della valutazione e versione del prodotto TIC;
nome dell'ITSEF che ha effettuato la valutazione e se del caso elenco dei subcontraenti;
data di conclusione della valutazione;
riferimento alla relazione tecnica di valutazione redatta dall'ITSEF;
breve descrizione dei risultati della relazione di certificazione, tra cui:
la versione e l'eventuale release dei criteri comuni applicata alla valutazione;
il pacchetto di affidabilità dei criteri comuni e i componenti della garanzia della sicurezza, compreso il livello AVA_VAN applicato durante la valutazione e il corrispondente livello di affidabilità di cui all'articolo 52 del regolamento (UE) 2019/881 a cui si riferisce il certificato EUCC;
la funzionalità di sicurezza del prodotto TIC valutato;
una sintesi delle minacce e delle politiche di sicurezza organizzativa trattate dal prodotto TIC valutato;
requisiti speciali di configurazione;
ipotesi sull'ambiente operativo;
se applicabile, la presenza di una procedura di gestione delle patch approvata in conformità dell'allegato IV, sezione IV.4;
una o più clausole di esclusione della responsabilità.
5. Il prodotto TIC valutato è chiaramente identificato, anche indicando le informazioni seguenti:
il nome del prodotto TIC valutato;
un elenco dei componenti del prodotto TIC che fanno parte della valutazione;
il numero di versione dei componenti del prodotto TIC;
l'identificazione di requisiti aggiuntivi per l'ambiente operativo del prodotto TIC certificato;
il nome e le informazioni di contatto del titolare del certificato EUCC;
ove applicabile, la procedura di gestione delle patch inclusa nel certificato;
il link al sito web del titolare del certificato EUCC dove sono fornite informazioni supplementari sulla cibersicurezza per il prodotto TIC certificato in conformità dell'articolo 55 del regolamento (UE) 2019/881.
6. Le informazioni incluse in questa sezione sono il più possibile accurate per garantire una rappresentazione completa e precisa del prodotto TIC che può essere riutilizzata nelle valutazioni future.
7. La sezione sulle politiche di sicurezza contiene la descrizione della politica di sicurezza del prodotto TIC, nonché le politiche o le norme che il prodotto TIC valutato applica o rispetta. Essa include un riferimento e una descrizione delle politiche seguenti:
la politica di gestione delle vulnerabilità del titolare del certificato;
la politica di continuità dell'affidabilità del titolare del certificato.
8. Se applicabile, la politica può includere le condizioni relative all'utilizzo di una procedura di gestione delle patch durante la validità del certificato.
9. La sezione relativa alle ipotesi e al chiarimento dell'ambito di applicazione contiene informazioni esaurienti sulle circostanze e sugli obiettivi relativi all'uso previsto del prodotto, come indicato nell'articolo 7, paragrafo 1, lettera c). Le informazioni comprendono:
ipotesi sull'utilizzo e sulla diffusione del prodotto TIC sotto forma di requisiti minimi, come la corretta installazione e configurazione e il soddisfacimento dei requisiti hardware;
ipotesi sull'ambiente per il funzionamento del prodotto TIC nel rispetto delle norme.
10. Le informazioni elencate al punto 9 sono il più possibile comprensibili, in modo da consentire agli utenti del prodotto TIC certificato di prendere decisioni consapevoli sui rischi associati al suo utilizzo.
11. La sezione relativa alle informazioni sull'architettura include una descrizione di alto livello del prodotto TIC e dei suoi componenti principali in conformità con la progettazione dei sottosistemi ADV_TDS dei criteri comuni.
12. In conformità dell'articolo 55 del regolamento (UE) 2019/881 è fornito un elenco completo delle informazioni supplementari sulla cibersicurezza del prodotto TIC. Tutta la documentazione pertinente è indicata con i numeri di versione.
13. La sezione relativa alle prove del prodotto TIC include le informazioni seguenti:
il nome e il punto di contatto dell'autorità o dell'organismo che ha rilasciato il certificato, compresa l'autorità nazionale di certificazione della cibersicurezza responsabile;
il nome dell'ITSEF che ha effettuato la valutazione, se diversa dall'organismo di certificazione;
l'identificazione dei componenti dell'affidabilità utilizzati in base alle norme di cui all'articolo 3;
la versione del documento sullo stato dell'arte e ulteriori criteri di valutazione della sicurezza utilizzati nella valutazione;
le impostazioni e la configurazione complete e precise del prodotto TIC durante la valutazione, comprese le note e le osservazioni operative, se disponibili;
l'eventuale profilo di protezione utilizzato, comprese le informazioni seguenti:
l'autore del profilo di protezione;
il nome e l'identificatore del profilo di protezione;
l'identificatore del certificato del profilo di protezione;
il nome e i dati di contatto dell'organismo di certificazione e dell'ITSEF coinvolti nella valutazione del profilo di protezione;
il pacchetto o i pacchetti di affidabilità richiesti per un prodotto conforme al profilo di protezione.
14. La sezione relativa ai risultati della valutazione e alle informazioni sul certificato include le informazioni seguenti:
conferma del livello di affidabilità raggiunto di cui all'articolo 4 del presente regolamento e all'articolo 52 del regolamento (UE) 2019/881;
requisiti di affidabilità in base alle norme di cui all'articolo 3 che il prodotto TIC o il profilo di protezione effettivamente soddisfa, compreso il livello AVA_VAN;
descrizione dettagliata dei requisiti di affidabilità, nonché informazioni dettagliate relative alle modalità con cui il prodotto soddisfa ciascuno di essi;
la data di rilascio e il periodo di validità del certificato;
l'identificatore unico del certificato.
15. Il traguardo di sicurezza è incluso oppure menzionato e riassunto nella relazione di certificazione e fornito insieme alla stessa ai fini della pubblicazione.
16. Il traguardo di sicurezza può essere adattato in conformità della sezione VI.2.
17. Il marchio o l'etichetta associati all'EUCC possono essere inseriti nella relazione di certificazione in conformità delle norme e delle procedure stabilite dall'articolo 11.
18. La sezione relativa alla bibliografia contiene i riferimenti a tutti i documenti utilizzati per la compilazione della relazione di certificazione. Tali informazioni comprendono almeno gli elementi seguenti:
i criteri di valutazione della sicurezza, i documenti sullo stato dell'arte e altre specifiche pertinenti utilizzati e la loro versione;
la relazione tecnica di valutazione;
la relazione tecnica di valutazione per la valutazione dei compositi, ove applicabile;
la documentazione tecnica di riferimento;
la documentazione dello sviluppatore utilizzata per la valutazione.
19. Al fine di garantire la riproducibilità della valutazione, tutta la documentazione a cui si fa riferimento deve essere identificata in modo univoco con la data di rilascio e il numero di versione corretti.
V.2 Adattamento di un traguardo di sicurezza ai fini della pubblicazione
1. Il traguardo di sicurezza da includere o a cui si fa riferimento nella relazione di certificazione a norma della sezione VI.1, punto 1, può essere adattato rimuovendo o parafrasando le informazioni tecniche proprietarie.
2. Il traguardo di sicurezza adattato che ne risulta è una rappresentazione reale della sua versione originale completa. Ciò significa che il traguardo di sicurezza adattato non può omettere le informazioni necessarie per comprendere le proprietà di sicurezza dell'oggetto della valutazione e l'ambito della valutazione.
3. Il contenuto del traguardo di sicurezza adattato è conforme ai requisiti minimi seguenti:
la sua introduzione non è adattata, dal momento che generalmente non contiene informazioni proprietarie;
il traguardo di sicurezza adattato deve avere un identificatore unico, distinto dalla sua versione originale completa;
la descrizione dell'oggetto della valutazione può essere ridotta in quanto potrebbe includere informazioni proprietarie e dettagliate sulla progettazione dell'oggetto della valutazione che non dovrebbero essere pubblicate;
la descrizione dell'ambiente di sicurezza dell'oggetto della valutazione (ipotesi, minacce, politiche di sicurezza organizzativa) non è ridotta, nella misura in cui tali informazioni siano necessarie per comprendere l'ambito della valutazione;
gli obiettivi di sicurezza non sono ridotti, poiché tutte le informazioni devono essere rese pubbliche per comprendere l'intenzione del traguardo di sicurezza e dell'oggetto della valutazione;
tutti i requisiti di sicurezza sono resi pubblici. Le note applicative possono fornire informazioni sulle modalità con cui i requisiti funzionali dei criteri comuni di cui all'articolo 3 sono stati utilizzati per comprendere il traguardo di sicurezza;
la sintesi delle specifiche dell'oggetto della valutazione include tutte le funzioni di sicurezza dell'oggetto della valutazione, ma le informazioni proprietarie aggiuntive possono essere adattate;
sono inclusi i riferimenti ai profili di protezione applicati all'oggetto della valutazione;
le motivazioni possono essere adattate al fine di rimuovere le informazioni proprietarie.
4. Anche se il traguardo di sicurezza adattato non è formalmente valutato in conformità delle norme di valutazione di cui all'articolo 3, l'organismo di certificazione garantisce che sia conforme al traguardo di sicurezza completo e valutato e che nella relazione di certificazione siano indicati sia il traguardo di sicurezza completo sia quello adattato.
ALLEGATO VI
AMBITO DELLA VALUTAZIONE INTER PARES E COMPOSIZIONE DEL GRUPPO DI VALUTAZIONE
VI.1 Ambito della valutazione inter pares
1. Sono contemplati i tipi di valutazione inter pares seguenti:
tipo 1: quando un organismo di certificazione effettua attività di certificazione al livello AVA_VAN.3;
tipo 2: quando un organismo di certificazione effettua attività di certificazione relative a un settore tecnico elencato come documento sullo stato dell'arte nell'allegato I;
tipo 3: quando un organismo di certificazione effettua attività di certificazione al di sopra del livello AVA_VAN.3 facendo uso di un profilo di protezione elencato come documento sullo stato dell'arte nell'allegato II o III.
2. L'organismo di certificazione oggetto di valutazione inter pares presenta l'elenco dei prodotti TIC certificati che possono essere candidati al riesame da parte del gruppo di valutazione inter pares in conformità delle norme seguenti:
i prodotti candidati coprono l'ambito di applicazione tecnico dell'autorizzazione dell'organismo di certificazione, di cui saranno analizzate almeno due diverse valutazioni di prodotti al livello di affidabilità «elevato» attraverso la valutazione inter pares, e un profilo di protezione se l'organismo di certificazione ha rilasciato un certificato al livello di affidabilità «elevato»;
per una valutazione inter pares di tipo 2, l'organismo di certificazione presenta almeno un prodotto per settore tecnico e per ITSEF interessata;
per una valutazione inter pares di tipo 3, è valutato almeno un prodotto candidato conformemente a un profilo di protezione applicabile e pertinente.
VI.2 Gruppo di valutazione inter pares
1. Il gruppo di valutazione è composto da almeno due esperti, ciascuno dei quali selezionato da un diverso organismo di certificazione di un diverso Stato membro che rilascia certificati al livello di affidabilità «elevato». Gli esperti devono dimostrare di possedere le competenze necessarie per quanto riguarda le norme di cui all'articolo 3 e i documenti sullo stato dell'arte che rientrano nell'ambito della valutazione inter pares.
2. In caso di delega per il rilascio dei certificati o previa approvazione degli stessi di cui all'articolo 56, paragrafo 6, del regolamento (UE) 2019/881, al gruppo di esperti selezionato in conformità del paragrafo 1 della presente sezione partecipa anche un esperto dell'autorità nazionale di certificazione della cibersicurezza correlata all'organismo di certificazione interessato.
3. Per una valutazione inter pares di tipo 2, i membri del gruppo sono selezionati tra gli organismi di certificazione autorizzati per il settore tecnico in questione.
4. Ogni membro del gruppo di valutazione possiede almeno due anni di esperienza nello svolgimento di attività di certificazione presso un organismo di certificazione.
5. Per una valutazione inter pares di tipo 2 o 3, ogni membro del gruppo di valutazione possiede almeno due anni di esperienza nello svolgimento di attività di certificazione nel settore tecnico o nel profilo di protezione pertinente e una comprovata esperienza e partecipazione nell'ambito dell'autorizzazione di un'ITSEF.
6. L'autorità nazionale di certificazione della cibersicurezza che controlla l'organismo di certificazione oggetto di valutazione inter pares e vigila sullo stesso e almeno un'autorità nazionale di certificazione della cibersicurezza, il cui organismo di certificazione non è soggetto alla valutazione inter pares, partecipano alla valutazione inter pares in qualità di osservatori. Anche l'ENISA può partecipare alla valutazione inter pares in qualità di osservatore.
7. La composizione del gruppo di valutazione inter pares è presentata all'organismo di certificazione oggetto di valutazione inter pares. In casi giustificati, quest'ultimo può contestare la composizione di tale gruppo e chiederne la revisione.
ALLEGATO VII
Contenuto del certificato EUCC
Il certificato EUCC deve contenere almeno i seguenti elementi:
identificatore unico stabilito dall'organismo di certificazione che rilascia il certificato;
informazioni relative al prodotto TIC o al profilo di protezione certificato e al titolare del certificato, tra cui:
nome del prodotto TIC o del profilo di protezione e, se del caso, dell'oggetto della valutazione;
tipo del prodotto TIC o del profilo di protezione e, se del caso, dell'oggetto della valutazione;
versione del prodotto TIC o del profilo di protezione;
nome, indirizzo e informazioni di contatto del titolare del certificato;
link al sito web del titolare del certificato contenente le informazioni supplementari sulla cibersicurezza di cui all'articolo 55 del regolamento (UE) 2019/881;
informazioni relative alla valutazione e alla certificazione del prodotto TIC o del profilo di protezione, tra cui:
nome, indirizzo e informazioni di contatto dell'organismo di certificazione che ha rilasciato il certificato;
se differente dall'organismo di certificazione, nome dell'ITSEF che ha effettuato la valutazione;
nome dell'autorità nazionale di certificazione della cibersicurezza responsabile;
riferimento al presente regolamento;
riferimento alla relazione di certificazione associata al certificato di cui all'allegato V;
livello di affidabilità applicabile in conformità dell'articolo 4;
riferimento alla versione delle norme utilizzate per la valutazione di cui all'articolo 3;
identificazione del livello o del pacchetto di affidabilità specificato nelle norme di cui all'articolo 3 e in conformità dell'allegato VIII, compresi i componenti dell'affidabilità utilizzati e il livello AVA_VAN coperto;
se del caso, riferimento a uno o più profili di protezione che il prodotto TIC o il profilo di protezione rispettano;
data di rilascio;
periodo di validità del certificato;
il marchio e l'etichetta associati al certificato in conformità dell'articolo 11.
ALLEGATO VIII
Dichiarazione del pacchetto di affidabilità
1. Contrariamente alle definizioni di cui ai criteri comuni, un incremento:
non è identificato con l'abbreviazione «+»;
è indicato in dettaglio con un elenco di tutti i componenti interessati;
è descritto dettagliatamente nella relazione di certificazione.
2. Il livello di affidabilità confermato in un certificato EUCC può essere integrato dal livello di garanzia della valutazione di cui all'articolo 3 del presente regolamento.
3. Se il livello di affidabilità confermato in un certificato EUCC non si riferisce a un incremento, il certificato EUCC indica uno dei pacchetti seguenti:
«il pacchetto di affidabilità specifico»;
«il pacchetto di affidabilità conforme a un profilo di protezione» nel caso in cui si faccia riferimento a un profilo di protezione senza un livello di garanzia della valutazione.
ALLEGATO IX
Marchio ed etichetta
1. Formato del marchio e dell'etichetta:
2. In caso di riduzione o di ingrandimento del marchio e dell'etichetta, sono rispettate le proporzioni indicate nel disegno sopra riportato.
3. Se fisicamente presenti, il marchio e l'etichetta hanno un'altezza minima di 5 mm.