Nell’ambito delle azioni intraprese per la realizzazione del mercato unico digitale, la Commissione europea ha rivolto una particolare attenzione alle certificazioni dei prodotti ICT per la sicurezza informatica. A giugno 2019 è entrato in vigore il regolamento (UE) 2019/881, noto anche come Cybersecurity Act – CSA che si propone di produrre nei prossimi anni degli schemi europei di certificazione della sicurezza informatica dedicati a specifici ambiti di mercato nei settori tecnologici. Tali schemi saranno introdotti con atti di esecuzione della Commissione europea, coadiuvata da due panel di esperti, l’European Cybersecurity Certification Group (ECCG) e lo Stakeholders Cybersecurity Certification Group (SCCG), creato ufficialmente il 24 giugno 2020 ed annunciato dall’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) e dalla Commissione Ue.
Il Quadro Europeo di Certificazione della Sicurezza Informatica
Il Cybersecurity Act (Regolamento UE 2019/881) dell’Unione Europea, entrato in vigore nel giugno 2019, ha introdotto il “quadro giuridico europeo di certificazione della sicurezza informatica”. Tale quadro prevede l’istituzione di sistemi europei di certificazione nell’ambito della cybersecurity volti ad attestare la conformità di prodotti, servizi e processi ICT a determinati requisiti di sicurezza.
Le certificazioni risultano di fondamentale importanza in quanto aumentano il livello di fiducia e sicurezza nei prodotti, servizi e processi ICT e, allo stesso tempo, forniscono alle aziende europee gli strumenti necessari per dimostrare che i loro prodotti e servizi rispettano gli standard di sicurezza informatica. Ciò contribuisce al corretto funzionamento del mercato unico digitale e ad un aumento della competitività delle imprese europee a livello globale.
Gli schemi di certificazione, tuttavia, non sostituiscono la necessità per i clienti di effettuare una propria attività di due-diligence al momento dell’acquisto, piuttosto le certificazioni servono a semplificare tale processo (https://www.agendadigitale.eu/sicurezza/certificazioni-cyber-security-lo-stato-dellarte-in-italia-e-europa/ ).
Il sistema delle certificazioni all’interno del panorama europeo risulta piuttosto frammentato. Esistono infatti diversi schemi di certificazione in ciascuno degli stati membri. Tali schemi, non avendo un uniforme riconoscimento, determinano oneri eccessivi per le imprese, le quali si trovano costrette ad espletare ripetuti processi di certificazione per poter operare al dì fuori dei confini nazionali. Ad esempio, la Commissione europea ha verificato come un produttore di contatori intelligenti (i cosiddetti “smart meter”) che intenda vendere i propri prodotti in Germania, Francia e Regno Unito debba ricorrere a tre differenti schemi di certificazione (https://www.agendadigitale.eu/sicurezza/cybersecurity-act-ecco-cosa-ci-aspetta-dopo-la-direttiva-nis/ ).
La creazione dello Stakeholders Cybersecurity Certification Group (SCCG) risponde proprio all’esigenza di ridurre quanto più possibile la frammentazione degli schemi di certificazione esistenti negli Stati membri dell’UE.