Schema di certificazione europeo. Rischi e opportunità

Schema di certificazione europeo. Rischi e opportunità

Lo schema di certificazione europeo introduce degli indubbi vantaggi nell’ambito della cybersecurity, ma anche dei rischi che bisogna mitigare con maggiori controlli e sanzioni soprattutto quando la certificazione è basata sul self-assessment del vendor

Il Cyber Security Act, regolamento europeo entrato in vigore nel giugno del 2019, ha introdotto uno Schema di Certificazione europeo per la sicurezza dei servizi, processi e prodotti ICT, che sarà applicabile da giugno 2021. Tale schema prevede tre livelli di certificazione della sicurezza dei servizi, processi e prodotti ICT: un livello base, un livello sostanziale e un livello elevato. La sua introduzione apporta ovvi vantaggi in ambito cybersecurity perché uniforma a livello europeo le modalità di certificazione della sicurezza e, nel contempo, rende il processo di certificazione più accessibile a tutti gli operatori del settore in termini di tempi e costi.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Inoltre, prevedere tre livelli di certificazione della sicurezza e tre tipologie di “oggetti “da certificare (servizi, processi e prodotti ICT), rende lo schema molto flessibile e applicabile a tutti gli elementi della cybersecurity. Esistono però anche dei potenziali rischi. Il livello base di certificazione, per esempio, prevede anche la possibilità di effettuare un self-assessment di conformità, sotto la sola responsabilità del fornitore, per tutti quei servizi, processi e prodotti ICT che presentano un livello di rischio basso (art. 53 del Cyber Security Act). Molto probabilmente, un self-assessment può essere efficace per i servizi e processi ICT sia perché questi hanno requisiti di sicurezza meno complessi dei prodotti ICT sia perché i rischi associati alla loro sicurezza rimangono sempre in capo al fornitore del servizio/processo, che ha tutto l’interesse affinché il self-assessment sia fatto in maniera scrupolosa.

La situazione cambia quando si parla di valutazione dei prodotti ICT perché i rischi di sicurezza connessi ricadono generalmente sugli utilizzatori del prodotto e non sul suo produttore. Un primo rischio è sicuramente connesso alla pressione del management che richiede uscite sul mercato dei prodotti (time-to-market) sempre più brevi, con features sempre più evolute e con costi contenuti. Attualmente, la sicurezza, e quindi la sua certificazione, non sono una priorità per il management, a meno che essa sia richiesta in maniera obbligatoria. Un secondo rischio è connesso alla richiesta da parte dello schema di certificazione di requisiti di sicurezza eccessivamente stringenti che potrebbero portare il fornitore ad adottare delle soluzioni non lecite per aggirarli. Un terzo rischio rilevante è connesso ai risultati negativi che un self-assessment può evidenziare. In questi casi, il management chiede di trovare una soluzione veloce ai problemi riscontrati (cosa non sempre possibile in ambito sicurezza) perché questi ritardano appunto l’uscita del prodotto sul mercato e incrementano i costi di sviluppo.

Leggi anche:  Il duplice impatto dell'IA sul panorama della sicurezza informatica

Ovviamente, il self-assessment di un prodotto ICT presenta anche aspetti positivi: la profonda conoscenza che il produttore ha del prodotto e la piena disponibilità di tutte le informazioni utili rendono la valutazione di sicurezza veloce ed economica rispetto a quella di una terza parte che deve acquisire il necessario know-how sul prodotto. Questo è l’obiettivo primario che il Cyber Security Act si prefigge per il livello base, ma affinché esso sia raggiunto senza vanificare la sicurezza del prodotto, è necessario implementare i meccanismi di controllo e salvaguardia per mitigare i rischi citati precedentemente, soprattutto a tutela degli utilizzatori.

L’unica soluzione perseguibile per gestire un mercato che a breve probabilmente esploderà, è quella di rafforzare sia i controlli che le Autorità di Certificazione nazionali devono effettuare (art. 58, punto 7.b del regolamento) sia le sanzioni per i fornitori che effettueranno self-assessment non veritieri.

Garibaldi Conte membro del Comitato Scientifico di CLUSIT