Approda sulla Gazzetta Ufficiale dell’Unione Europea serie L del 7 febbraio 2024, il Regolamento di esecuzione della Commissione (UE) del 31 gennaio 2024 n. 2024/482 che specifica i ruoli, le norme e gli obblighi, nonché la struttura del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (European Common Criteria-based cybersecurity certification – EUCC) in conformità del quadro europeo di certificazione della cibersicurezza. Gli organismi di certificazione dovrebbero decidere in merito alla durata della validità dei certificati tenendo conto del ciclo di vita del prodotto TIC in questione. Tale durata non dovrebbe superare i cinque anni. Il regolamento si applicherà a decorrere dal 27 febbraio 2025.

E’ stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea serie L del 7 febbraio 2024, il Regolamento di esecuzione della Commissione (UE) del 31 gennaio 2024 n. 2024/482 recante le modalità di applicazione del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio per quanto riguarda l'adozione del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC).Il regolamento specifica i ruoli, le norme e gli obblighi, nonché la struttura del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (European Common Criteria-based cybersecurity certification – EUCC) in conformità del quadro europeo di certificazione della cibersicurezza di cui al regolamento (UE) 2019/881. L'EUCC si fonda sull'accordo sul reciproco riconoscimento (ARR) dei certificati di valutazione della sicurezza delle tecnologie dell'informazione del gruppo di alti funzionari competente in materia di sicurezza dei sistemi d'informazione (Senior Officials Group – Information Systems Security, SOG-IS) e si basa sui criteri comuni, comprese le procedure e i documenti del gruppo. Il sistema dovrebbe basarsi su norme internazionali consolidate. I criteri comuni (Common Criteria) sono una norma internazionale per la valutazione della sicurezza delle informazioni pubblicata, ad esempio, come ISO/IEC 15408 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security. Essa si basa sulla valutazione da parte di terzi e prevede sette livelli di garanzia della valutazione (Evaluation Assurance Level – EAL). I criteri comuni sono accompagnati dalla metodologia comune di valutazione (Common Evaluation Methodology), pubblicata, ad esempio come ISO/IEC 18045 - Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Methodology for IT security evaluation. Le specifiche e i documenti che applicano le disposizioni del regolamento possono riferirsi a una norma disponibile al pubblico che rispecchia la norma utilizzata per la certificazione nel quadro del regolamento, ad esempio i criteri comuni per la valutazione della sicurezza delle tecnologie dell'informazione (Common Criteria for Information Technology Security Evaluation) e la metodologia comune per la valutazione della sicurezza delle tecnologie dell'informazione (Common Methodology for Information Technology Security Evaluation). Il regolamento si applica a tutti i prodotti delle tecnologie dell'informazione e della comunicazione (TIC), compresa la relativa documentazione, che sono presentati ai fini della certificazione nel quadro dell'EUCC, nonché a tutti i profili di protezione che sono presentati ai fini della certificazione come parte del processo TIC alla base della certificazione dei prodotti TIC. Al fine di garantire un elevato livello di fiducia e affidabilità dei prodotti TIC certificati, a norma del regolamento non dovrebbe essere consentita l'autovalutazione. Dovrebbe essere consentita solo la valutazione di conformità da parte di terzi effettuata dalle strutture di valutazione della sicurezza delle tecnologie dell'informazione (Information Technology Security Evaluation Facilities – ITSEF) e dagli organismi di certificazione. Gli organismi di certificazione dovrebbero decidere in merito alla durata della validità dei certificati tenendo conto del ciclo di vita del prodotto TIC in questione. Tale durata non dovrebbe superare i cinque anni. Le autorità nazionali di certificazione della cibersicurezza dovrebbero adoperarsi per armonizzare la durata della validità nell'Unione. Il regolamento entra in vigore il 27 febbraio 2024 (ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea) e si applicherà a decorrere dal 27 febbraio 2025.Copyright © - Riproduzione riservata

Regolamento di esecuzione della Commissione (UE) 31/01/2024 n. 2024/482 (Gazzetta Ufficiale dell’Unione Europea 07/02/2024, serie L)

Fonte: https://www.ipsoa.it/documents/quotidiano/2024/02/08/cibersicurezza-pubblicato-regolamento-adozione-sistema-europeo-certificazione-basato-criteri-comuni-eucc