EUCC - UN NUOVO SCHEMA DI CYBERSECURITY PER LA CERTIFICAZIONE DEI PRODOTTI ICT IN EUROPA

L'European Union Cybersecurity Certification (EUCC) rappresenta un nuovo approccio alla certificazione dei prodotti informatici e di tecnologia (ICT) in Europa, aggiornando il precedente quadro dell'Accordo di Mutuo Riconoscimento (MRA) SOG-IS.

L'EUCC si basa sullo schema di certificazione Common Criteria (CC), che integra concetti innovativi riconosciuti a livello internazionale per soddisfare le esigenze degli stakeholder, tra cui disposizioni rafforzate per la gestione delle patch, la gestione delle vulnerabilità e la divulgazione delle vulnerabilità nei prodotti certificati.

CC (Common Criteria)

Il CC(Common Criteria) indica un insieme internazionale di standard, linee guida e criteri utilizzati per valutare le capacità di sicurezza di vari prodotti e sistemi. Originariamente sviluppato per garantire che le offerte tecnologiche siano conformi a specifici parametri di sicurezza e a direttive governative, il CC serve come punto di riferimento per valutare l'efficacia e l'accuratezza delle misure di sicurezza.

Definendo garanzie basate su misurazioni di efficacia e accuratezza, il CC funge da baluardo contro le sfide prevalenti della cybersecurity, come le violazioni dei dati, le fughe di informazioni e le violazioni della privacy.

A seguito di un esame rigoroso e di un assessment approfondito da parte di valutatori esperti, i prodotti tecnologici che soddisfano gli standard richiesti ricevono una Certificazione CC riconosciuta.

Cogliere i principi fondamentali e la logica alla base della CC è indispensabile per comprendere i protocolli di cybersecurity universalmente applicabili e decifrare la nuova iniziativa EUCC.

EUCC

Lo schema EUCC si basa sugli elementi fondamentali della CC, estendendone l'applicazione ai prodotti tecnologici all'interno dell'Unione Europea. L'EUCC introduce criteri supplementari accanto ai protocolli CC e Common Methodology for Information Technology Security Evaluation (CEM) [5].

I miglioramenti alle certificazioni di cybersecurity comportano una maggiore supervisione e gestione delle misure di conformità, una maggiore trasparenza attraverso la diffusione di informazioni sulle vulnerabilità al pubblico e un'assistenza ampliata ai consumatori, come ad esempio servizi completi di gestione delle patch per i prodotti certificati.

L'EUCC viene implementato per i prodotti ICT che:

• Incorporano una serie significativa di prerequisiti funzionali di sicurezza delineati nella CC Parte 2 [3].
• Si sforzano di raggiungere un livello di garanzia 'sostanziale' o 'elevato' per i componenti dell'EU Cybersecurity Act (CSA) compresi nell'EUCC.

Confronto dell'EUCC con gli schemi esistenti

Criteri e metodi di valutazione per i prodotti ICT

Per soddisfare la conformità EUCC, gli Obiettivi di Sicurezza (ST) devono includere i seguenti requisiti CC, indipendentemente dal loro livello di garanzia o dalle dipendenze associate:

1. Almeno un componente AVA_VAN.
2. Almeno un componente ATE_IND.

Per i certificati EUCC classificati al livello di garanzia'sostanziale', i certificati devono comprendere il livello 1 o 2 di AVA_VAN. Per i certificati classificati al livello di garanzia'alto', è richiesta la copertura del livello 3, 4 o 5 di AVA_VAN.

La certificazione dei prodotti ICT ai livelli AVA_VAN 4 o 5 è limitata a scenari specifici:

• Se il prodotto appartiene a un dominio tecnico elencato nell'Allegato I del Regolamento EUCC [1], viene valutato in base ai documenti di stato dell'arte di tali domini.
• I prodotti ICT appartenenti a categorie coperte da Profili di Protezione Certificati (PP) con livelli AVA_VAN 4 o 5 elencati nell'Allegato II del Regolamento EUCC [1] vengono valutati secondo la metodologia specifica delineata per tali PP.
• In casi eccezionali in cui un dominio tecnico o un PP non è elencato, la certificazione a questi livelli è possibile con processi di giustificazione e approvazione approfonditi da parte delle Autorità nazionali di certificazione della cybersecurity (NCCA) e del Gruppo europeo di certificazione della cybersecurity.

Nota: l'EUCC non riconosce i certificati Common Criteria Recognition Arrangement (CCRA) per i PP. Pertanto, la valutazione degli ST che dichiarano la conformità ai CCRA/non-EUCCPP considererà il contenuto del PP non valutato.

Nota: l'ENISA deve fornire l'elenco dei PP certificati sul suo sito web di certificazione di cybersecurity e indicare il loro stato, in conformità al Regolamento (UE) 2019/881.

Informazioni necessarie per la certificazione

Oltre al Target of Evaluation (TOE) richiesto dal CC, i richiedenti devono fornire anche:

1) Un sito web accessibile al pubblico contenente le seguenti informazioni al momento del rilascio del certificato:

• Linee guida e suggerimenti per aiutare gli utenti finali a configurare, installare, distribuire, utilizzare e mantenere in sicurezza i prodotti o i servizi ICT.
• Durata dell'assistenza alla sicurezza fornita agli utenti finali, in particolare per quanto riguarda la disponibilità di aggiornamenti di cybersecurity.
• Dettagli di contatto del produttore o del fornitore, insieme ai canali approvati per ricevere segnalazioni di vulnerabilità da parte degli utenti finali e degli esperti di sicurezza.
• Collegamenti a repository online che catalogano le vulnerabilità divulgate pubblicamente relative al prodotto, servizio o processo ICT, così come i consigli di cybersecurity pertinenti.

2) Procedure di gestione e divulgazione delle vulnerabilità che facilitino la conformità agli obblighi delineati nel Capitolo VI del Regolamento EUCC [1].

Nota: tutta la documentazione relativa al certificato TOE deve essere conservata per un minimo di cinque anni, compreso un campione del prodotto certificato.

Condizioni per il rilascio di un certificato EUCC

Il fornitore deve accettare di assumersi i seguenti obblighi:

• Fornire all'ente di certificazione e alla IT Security Evaluation Facility (ITSEF) tutte le informazioni necessarie, accurate e complete, e fornire ulteriori dettagli su richiesta.
• Astenersi dal commercializzare il prodotto ICT come certificato EUCC fino al rilascio ufficiale del certificato EUCC.
• Commercializzi il prodotto ICT come certificato solo all'interno dei parametri delineati nel certificato EUCC.
• Interrompere immediatamente la promozione del prodotto ICT come certificato in caso di sospensione, ritiro o scadenza del certificato EUCC.
• Assicurarsi che tutti i prodotti ICT pubblicizzati come certificati EUCC siano esattamente identici a quelli sottoposti a certificazione.
• Aderire alle regole prescritte che disciplinano l'uso del marchio e dell'etichetta del certificato EUCC, come indicato nell'Articolo 11 del Regolamento EUCC [1].

Nota: l'uso del nuovo marchio e dell'etichetta EUCC sul prodotto certificato è volontario.

Scelta di un Organismo di Certificazione (CB) e ITSEF

I CB commerciali condurranno la certificazione al livello di garanzia sostanziale (AVA_VAN.n; n<3). Si prevede che la maggior parte degli ITSEF esistenti si trasformerà in CB per il livello sostanziale. Per il livello di garanzia sostanziale, la procedura tipica prevede la selezione di un fornitore in grado di condurre sia la valutazione che la certificazione.

La valutazione e la certificazione al livello di garanzia elevato (AVA_VAN.n ; n 2) richiede che gli NCCA autorizzino sia gli ITSEF che i CB. Si prevede che i CB SOG-IS esistenti ottengano lo stato di autorizzazione. Per il livello di garanzia elevato, è consuetudine impegnare un CB governativo insieme a un ITSEF autorizzato sotto la loro giurisdizione, a seconda del dominio tecnico e del PP applicabile.

Gestione del processo di valutazione e certificazione EUCC

L'implementazione del processo di valutazione e certificazione dell'EUCC assomiglierà molto alle pratiche attuali nell'ambito del SOG-IS, con i singoli CB e ITSEF che stabiliscono i loro termini contrattuali.

L'EUCC assegna azioni e responsabilità specifiche agli ITSEF e agli OdC in merito al monitoraggio della conformità(Capitolo V del Regolamento EUCC [1]), che sono tipicamente incorporate negli accordi contrattuali con i richiedenti il certificato.

Obblighi post-acquisizione dei titolari di certificati EUCC

Dopo l'emissione del certificato EUCC, oltre a rispettare gli impegni previsti dall'Articolo 9 del Regolamento EUCC [1], i titolari del certificato sono tenuti a implementare i seguenti processi e attività per tutta la durata del certificato:

• Monitorare regolarmente le informazioni sulla vulnerabilità relative al TOE certificato(Articolo 27 del Regolamento EUCC [1]).
• Fornire assistenza per correggere le non conformità(Articolo 29 del Regolamento EUCC [1]).
• Gestire e divulgare le vulnerabilità che hanno un impatto sul TOE certificato(Capitolo VI del Regolamento EUCC [1]).

Responsabilità di monitoraggio dei titolari di certificati EUCC

I titolari di certificati EUCC devono intraprendere le seguenti azioni per garantire l'aderenza del prodotto ICT certificato ai loro standard di sicurezza:

1) Essere consapevoli delle informazioni sulle vulnerabilità relative al prodotto ICT certificato, il che implica il monitoraggio delle dipendenze conosciute attraverso mezzi interni, oltre a prendere in considerazione:

• Pubblicazioni o divulgazioni di informazioni sulle vulnerabilità da parte di utenti finali o ricercatori di sicurezza, come indicato nell'Articolo 55(1), punto (c) del Regolamento (UE) 2019/881;.
• Presentazioni da qualsiasi altra fonte pertinente.

2) Seguire attentamente il livello di garanzia articolato nel certificato EUCC.

Inoltre, è obbligatorio che il titolare del certificato collabori con l'OC, l'ITSEF e, se del caso, l'NCCA per assistere i loro sforzi di monitoraggio.

Assistenza nella correzione delle non conformità

Nel caso in cui si verifichi un problema di non conformità che abbia un impatto sul TOE o sul titolare del certificato, le procedure delineate negli articoli 28 e 29 del Regolamento EUCC [1] definiscono la necessaria formazione. La mancata risoluzione di questi problemi può comportare la sospensione o il ritiro del certificato.

Il titolare del certificato EUCC è obbligato ad avviare misure correttive entro 30 giorni.

Sorveglianza e divulgazione delle vulnerabilità

Il Capitolo VI del Regolamento EUCC [1] delinea le procedure essenziali per la gestione e la divulgazione delle vulnerabilità che devono essere adottate dai titolari di certificati EUCC. Sebbene l'EUCC non prescriva tempistiche specifiche per questi processi, aderisce al principio di evitare ritardi ingiustificati.

Due standard associati, EN ISO/IEC 30111 [6] e EN ISO/IEC 29147 [7], sono citati come utili per aiutare questi processi, sebbene non siano obbligatori.

Manutenzione del certificato

L'EUCC offre le seguenti opzioni per mantenere un certificato:

Re-assessment (valutazione)

Se diventa necessario valutare gli effetti delle alterazioni del panorama delle minacce su un prodotto ICT certificato non modificato, è necessario inoltrare una richiesta di rivalutazione al CB. L'ITSEF condurrà questa rivalutazione, sfruttando tutti i risultati pertinenti che rimangono applicabili. Questa procedura può comportare l'estensione del certificato EUCC, affermando o rivedendo il precedente livello di garanzia.

Modifiche a un prodotto ICT certificato

Questa procedura assomiglia al concetto SOG-IS di "Continuità della garanzia", anche se si differenzia per il fatto che non fornisce criteri espliciti per classificare le modifiche come minori o maggiori.

Gestione delle patch

I meccanismi e le procedure di gestione delle patch devono essere inclusi nell'ambito della valutazione e della certificazione nei seguenti casi:

• Quando le funzionalità interessate dalla patch si trovano al di fuori del TOE del prodotto ICT certificato.
• Quando la patch riguarda una modifica minore predeterminata del prodotto ICT certificato.
• Quando la patch risolve una vulnerabilità confermata, con implicazioni significative per la sicurezza del prodotto ICT certificato.

Il protocollo di gestione delle patch per un prodotto ICT comprende i seguenti componenti:

• La procedura di sviluppo e rilascio delle patch per il prodotto ICT.
• I meccanismi tecnici e le funzionalità per integrare le patch nel prodotto ICT.
• Una serie di attività di assessment sull'efficacia e le prestazioni dei meccanismi tecnici.

Tuttavia, l'opzione di gestione delle patch non si applica alla risoluzione di vulnerabilità non critiche, che devono essere gestite in conformità all'Articolo 13 del Regolamento EUCC [1].

Il processo di transizione legislativa

Il regolamento EUCC sarà applicato a partire dal 27 febbraio 2025. Entro 12 mesi da questa data, gli schemi nazionali di certificazione di cybersecurity esistenti cesseranno le loro attività. È importante che i fornitori sappiano che qualsiasi procedura di certificazione avviata nei 12 mesi successivi all'entrata in vigore della normativa dovrà essere completata entro e non oltre il febbraio 2027.

Requisiti funzionali di sicurezza (SFR) e requisiti di garanzia di sicurezza (SAR)

La nuova certificazione Common Criteria dell'UE può essere implementata sia sulla versione precedente che su quella più recente dello standard Common Criteria. Da questo punto di vista, non ci sono cambiamenti per gli SFR e i SAR basati su CC Parte 2 [3] e CC Parte 3 [4], in quanto lo schema EU CC si basa sugli elementi fondamentali di CC e introduce criteri supplementari accanto ai protocolli consolidati di CC e Common Criteria per la valutazione della sicurezza delle tecnologie dell'informazione (CEM) [5]. Naturalmente, tra le versioni più vecchie (CC V3.1) e quelle più recenti (CC:2022) dei Common Criteria, ci sono differenze in termini di SFR e SAR, che gli sviluppatori e i laboratori devono considerare.

Nota: è possibile che in futuro l'EUCC pubblichi delle modifiche relative agli SFR e ai SAR.

RIFERIMENTI

[1] REGOLAMENTO DI ESECUZIONE DELLA COMMISSIONE (UE) 2024/482 del 31 gennaio 2024 che stabilisce le norme per l'applicazione del Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio relativo all'adozione del sistema di certificazione di cybersecurity basato su Common Criteria (EUCC) a livello mondiale.

[2] [CC Parte 1] Common Criteria per la valutazione della sicurezza delle tecnologie informatiche Parte 1: Introduzione e modello generale

[3] [CC Parte 2] Common Criteria for Information Technology Security Evaluation Parte 2: Componenti funzionali della sicurezza

[4] [CC Parte 3] Common Criteria for Information Technology Security Evaluation Parte 3: Componenti di garanzia della sicurezza

[5] [CEM] Metodologia comune per la valutazione della sicurezza delle tecnologie dell'informazione, Metodologia di valutazione

[6] ISO/IEC 30111:2019 Tecniche di sicurezza informatica Processi di gestione delle vulnerabilità

[7] ISO/IEC 29147:2018 Tecniche di sicurezza informatica Divulgazione delle vulnerabilità