L'Unione Europea, secondo quanto previsto dal Cybersecurity Act nel 2019, ha adottato il primo schema di certificazione sulla cybersecurity: https://www.enisa.europa.eu/news/an-eu-prime-eu-adopts-first-cybersecurity-certification-scheme. Ringrazio Riccardo Lora per averlo segnalato agli Idraulici della privacy.
Questo schema è basato sui Common Criteria, quindi è più orientato ai prodotti.
Non ho ancora capito come funzionerà lo schema, visto che è previsto che ogni Paese indichi un NCCA (organismo di accreditamento) che a sua volta controllerà i CAB (organismi di certificazione). Visto che le certificazioni secondo i Common Criteria erano gestite in modo diverso dalle certificazioni sui sistemi di gestione, non ho elementi per sapere come funzionerà questo schema in Italia (rimando al sito dell'unico organismo di certificazione italiano, https://www.ocsi.gov.it/index.html). Aggiungo che i Common Criteria non sono molti usati in Italia, vista la loro complessità e i costi per ottenere la certificazione (e infatti sul sito dell'OCSI i prodotti italiani certificati sono pochi sui circa 60; ce ne sono diversi non italiani).
Segnalo poi che l'UE sta lavorando ad altri schemi, uno per i servizi cloud (molto più interessante, credo, per l'Italia) e sulla sicurezza del 5G (non mi è chiaro però a cosa si riferisce, posso dedurre ai prodotti che hanno connettività 5G, ma non ne sono sicuro). Credo che questi siano molto importanti per l'Italia, visto che riguarderanno un mercato significativo.
Sono anche stati presi i primi passi per schemi sull'intelligenza artificiale, sui servizi eIDAS e sui servizi di sicurezza gestita. Visti i tempi tenuti finora, rimango in paziente attesa.
Chiara Ponti mi ha gentilmente segnalato questo articolo: https://formiche.net/2024/02/ue-certificazione-cyber-mele/. Non conoscendo bene lo schema approvato, visto lo scarso successo dei Common Criteria per costi e complessità, visto il tempo passato dal 2019 al 2024 per uno schema che tutto sommato era già pronto, non sono convinto che "molto presto senza un ‘bollino di cybersicurezza’ i produttori rischieranno di essere di fatto tagliati fuori”. Ho sbagliato altre volte, potrei sbagliare anche questa.
Confesso la mia ignoranza su questi schemi, ma penso che sia una materia da tenere sotto controllo e ringrazio finora chiunque vorrà contribuire, anche con segnalazioni su corsi di formazione, articoli eccetera.