Cibersicurezza: pubblicato il regolamento di esecuzione della Commissione (UE) del 31 gennaio 2024 n. 2024/482

Il regolamento specifica i ruoli, le norme e gli obblighi, nonché la struttura del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni europei

Vi informiamo che è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea serie L del 7 febbraio 2024, il Regolamento di esecuzione della Commissione (UE) del 31 gennaio 2024 n. 2024/482 recante le modalità di applicazione del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio per quanto riguarda l'adozione del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC).

Il regolamento specifica i ruoli, le norme e gli obblighi, nonché la struttura del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni europei conformemente al quadro europeo di certificazione della cibersicurezza di cui al regolamento (UE) 2019/881.

Il sistema di certificazione della cibersicurezza basato su criteri comuni europei (EUCC) si basa sull'accordo sul reciproco riconoscimento ("ARR") dei certificati di sicurezza delle tecnologie dell'informazione del gruppo di alti funzionari competente in materia di sicurezza dei sistemi di informazione ("SOG-IS"- Senior Officials Group – Information Systems Security) utilizzando i criteri comuni, comprese le procedure e i documenti del gruppo.

Il sistema dovrebbe basarsi su norme internazionali consolidate. I criteri comuni (Common Criteria) sono una norma internazionale per la valutazione della sicurezza delle informazioni pubblicata, ad esempio, come ISO/IEC 15408 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security. Essa si basa sulla valutazione da parte di terzi e prevede sette livelli di garanzia della valutazione (Evaluation Assurance Level – EAL).

I criteri comuni sono accompagnati dalla metodologia comune di valutazione (Common Evaluation Methodology), pubblicata, ad esempio come ISO/IEC 18045 - Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Methodology for IT security evaluation.

Le specifiche e i documenti che applicano le disposizioni del regolamento possono riferirsi a una norma disponibile al pubblico che rispecchia la norma utilizzata per la certificazione nel quadro del regolamento, ad esempio i criteri comuni per la valutazione della sicurezza delle tecnologie dell'informazione (Common Criteria for Information Technology Security Evaluation) e la metodologia comune per la valutazione della sicurezza delle tecnologie dell'informazione (Common Methodology for Information Technology Security Evaluation).

Il regolamento entra in vigore il 27 febbraio 2024 (ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea) e si applicherà a decorrere dal 27 febbraio 2025.