Mutuo riconoscimento EUCC–CCRA: equilibrio ancora instabile

agenda-digitale
Agenda Digitale 20/06/2025

Il Common Criteria Recognition Arrangement (CCRA) è un accordo internazionale per il mutuo riconoscimento delle certificazioni di sicurezza dei prodotti ICT emessi negli Stati membri dell’accordo. Nato nel 1998 a seguito dell’emissione dello standard Common Criteria, ha consentito negli anni lo sviluppo del mondo delle certificazioni Common Criteria   facilitando l’accesso dei prodotti ICT certificati ai mercati internazionali e riducendo così i costi di certificazione e garantendo un livello di sicurezza dei prodotti uniforme.

Ad oggi, il CCRA ha circa 33 Paesi membri di cui 18 emettono e riconoscono i certificati (Authorizing Members) e 15 che li riconoscono (Consuming Member).

Indice degli argomenti

Entrata in vigore dello schema EUCC e criticità per il CCRA

Nel febbraio 2024, è entrato in vigore il primo schema europeo di certificazione dei prodotti ICT basato sullo standard Common Criteria (denominato EUCC). Questo è stato elaborato sulla base di quanto prescritto nel regolamento europeo Cyber Security Act (CSA) e ha di fatto incorporato lo schema alla base del Senior Officials Group – Information Systems Security (SOG-IS), accordo di mutuo riconoscimento delle certificazioni CC sottoscritto da 13 Paesi Europei.

Un anno dopo l’entrata in vigore dell’EUCC (febbraio 2025), tutti gli schemi di certificazione nazionali dovranno cessare, così come gli accordi di mutuo riconoscimento da questi sottoscritti. Nella pratica, gli Schemi Nazionali saranno attivi fino a febbraio 2026 per consentire a questi di completare le attività di valutazione/certificazione in corso.

Se l’introduzione dell’EUCC non è un problema per il SOG-IS (EUCC ha di fatto incorporato lo schema SOG-IS), esso diviene una criticità rilevante per il CCRA dove vigono regole e procedure non perfettamente allineate all’EUCC.

I problemi legati al mancato riconoscimento dei certificati EUCC in ambito CCRA

Per capire l’importanza di un mancato riconoscimento dei certificati EUCC in ambito CCRA, bisogna considerare che solo nel 2024 circa il 54% dei certificati CCRA sono stati emessi da Paesi Europei e, in particolare, da Francia, Olanda e Germania.

L’uscita di questi Paesi dal CCRA provocherebbe la fine stessa del CCRA stesso e potrebbe decretare anche il fallimento dell’EUCC che ha come obiettivo primario quello di sviluppare il mondo delle certificazioni dei prodotti ICT e aumentare il livello della Cybersicurezza in tutta l’Unione.

Non avere più il mutuo riconoscimento con altri Stati come ad esempio Stati Uniti, Giappone, Korea del Sud, rischia di vanificare l’efficacia delle certificazioni e di creare delle barriere protezionistiche che non erano nello spirito dell’emissione dei certificati sia del CCRA che dell’EUCC.

D’altra parte, visto che l’EUCC emette certificati validi in tutti gli Stati dell’Unione, non è possibile sottoscrivere l’accordo CCRA a livello centralizzato (es. Commissione Europea) in quanto molti degli Stati Membri dell’Unione Europea non sono Membri CCRA.

La soluzione (temporanea) per il mutuo riconoscimento tra EUCC e CCRA

Alla luce di grandi interessi in gioco, il CCRA, sotto la spinta dei Paesi membri europei, si è mosso per identificare una soluzione e il 19 marzo 2025 il Management Committee del CCRA ha emesso un documento (CCRA and EUCC Co-existence) dove si delinea una soluzione temporanea che permette di continuare il mutuo riconoscimento tra i certificati EUCC e i certificati degli altri Paese sottoscrittori del CCRA.

Le principali caratteristiche della soluzione temporanea

Nei paragrafi che seguono analizzeremo le principali caratteristiche della soluzione delineata dal CCRA e condivisa con la Commissione Europea

Supervisione governativa rafforzata

Una prima differenza sostanziale tra il CCRA e l’EUCC è che il primo richiede che ci sia un solo Organismo di Certificazione per Stato membro, mentre l’EUCC consente più Organismi di Certificazione (i cosiddetti Conformity Assessment Body – CAB) per Stato membro di cui alcuni possono essere anche privati (i cosiddetti CAB commerciali).

Anche se i CAB in ambito EUCC, siano essi pubblici che privati, devono essere accreditati secondo la norma ISO 17065 (la stessa richiesta dal CCRA), essi devono comunque sottostare a ulteriori requisiti previsti dalle procedure CCRA (le cosiddette Certificazioni Shadow (CS) e Voluntary Periodic Assessment (VPA)) qualora essi vogliono avere il mutuo riconoscimento CCRA per i certificati che emettono.

Deve essere quindi presente in ogni Stato un’Autorità Nazionale che sia in grado di garantire questo tipo di “supervisione governativa rafforzata”.

Questo ruolo può essere svolto dall’Autorità Nazionale della Cybersicurezza (NCCA) istituita in ogni Stato membro dell’Unione in ottemperanza al Cyber Security Act (CSA) la quale, come pre-requisito, deve essere un membro firmatario del CCRA.

Qualora questo non sia vero, una NCCA interessata ad apporre il marchio CCRA sui certificati emessi dai propri CAB, deve diventare membro del CCRA in accordo alle procedure vigenti, incluso il periodo di due anni come Membro Consuming.

Va osservato che l’EUCC di fatto richiede una supervisione dei CAB e dei laboratori di prova da parte delle NCCA e quindi il rafforzamento di tale supervisione governativa per garantire anche i requisiti del CCRA non è considerata molto onerosa. Più avanti vedremo i dettagli di come tale supervisione deve essere effettuata.

Procedura per ottenere il marchio CCRA sui certificati EUCC

I certificati EUCC emessi da CAB, sia pubblici che privati, possono richiedere di avere il marchio CCRA sui certificati emessi applicando il processo di supervisione per singolo certificato implementato dalla NCCA di appartenenza, se questa ovviamente è un membro del CCRA.

Il processo di supervisione per certificato per il riconoscimento CCRA sarà condotto sulla base del modello di certificazione pubblico-privato implementato dall’Autorità olandese (NL NCSA) e potrà essere applicato in maniera flessibile durante o alla fine del processo di certificazione.

In pratica, la NCCA è coinvolta nella valutazione/certificazione nella fase di application e nelle fasi ETR (predisposizione rapporto finale) e CR (emissione certificato):

  • nella fase di application, la NCCA verifica che il processo di certificazione ipotizzato sia efficiente e in linea con i requisiti CCRA. La NCCA riceve in input il form di application compilato, la bozza di Security Target (ST) e il piano di valutazione. Il risultato è una dichiarazione della NCCA che il CAB può proseguire con la certificazione ai sensi del CCRA.
  • Nella fase finale (ETR e CR), la NCCA verifica che la valutazione e l’emissione del certificato siano state condotte in linea con i requisiti CCRA. La NCCA verifica il Rapporto Finale di Valutazione (ETR) che contiene la sintesi delle attività tecniche effettuate, il rapporto di certificazione, la bozza del certificato e la dichiarazione di chiusura di tutte le azioni, comprese la gestione delle eventuali non conformità riscontrate durante le attività di valutazioni. Ad esito positivo della verifica, la NCCA approva formalmente i documenti ricevuti e autorizza il CAB ad apporre il marchio CCRA certificato che verrà poi pubblicato dalla NCCA sul CCPortal del CCRA.

Va osservato che il processo di supervisione condotto dalla NCCA è abbastanza flessibile per poter essere eseguito solo al termine del processo di certificazione. Se la supervisione identifica delle problematiche, il certificato non potrà riportare il marchio CCRA, senza alcun effetto sul certificato EUCC. È anche possibile che questa supervisione venga eseguita dopo che il certificato EUCC è già stato rilasciato.

Infine, la NCCA sarà anche responsabile della verifica delle competenze dei CAB e della implementazione di attività aggiuntive di supervisione previste dal CCRA. Queste avranno comunque un impatto minimo su tutte le parti coinvolte in quanto, come detto in precedenza, le norme di riferimento utilizzate dal CCRA e dall’EUCC (ISO 17065 per i Certification Body e ISO 17025 per i laboratori di prova) sono le stesse.

Procedure di Shadow Certification (SC) e Voluntary Periodic Assessment (VPA)

Lo scopo della Shadow certification è quello di determinare che uno schema nazionale che richiede l’adesione al CCRA come emittente di certificati (Authorizing Member) sia conforme ai requisiti del CCRA.

Le procedure di Shadow Certification sono in gran parte conformi ai requisiti della norma ISO/ IEC 17065, con verifiche aggiuntive da parte dei membri del CCRA. Ad esmepio, il CCRA richiede che almeno due certificazioni degli schemi candidati siano visionate e discusse da un team di audit in loco, mentre l’EUCC non prevede tale requisito.

Un CAB privato in ambito EUCC che intende apporre il marchio CCRA sui propri certificati, deve collaborare con la NCCA in termini di supporto attivo nel processo di valutazione dello stesso e nelle riunioni di audit da tenersi in loco.

Sia i CAB che la NCCA che fornisce la supervisione governativa saranno comunque oggetto di valutazione da parte del CCRA.

Inoltre, come è noto, il CCRA prevede una valutazione periodica degli Schemi membri (la cosiddetta VPA) che prevede la verifica che i requisiti richiesti dal CCRA per gli Organismi di Certificazione continuino a essere conformi ai requisiti richiesti.

Anche in questo caso la norma di riferimento è la ISO ISO/IEC 17065 e quindi si può sostenere che tali procedure siano fondamentalmente allineate a quelle dell’EUCC.

Tuttavia, è in corso una ri-valutazione dei requisiti dei VPA in modo da aggiornarle per prendere in considerazione il caso in cui in un Paese siano presenti più di un CAB dipendenti dalla stessa NCCA (es. VPA per ciascun CAB, VPA per un campione di CAB sulla base delle raccomandazioni del team di audit,…).

Verifica dei requisiti dei CAB e dei Laboratori (ITSEF)

L’EUCC richiede che i CAB e i Laboratori di prova siano accreditati dalla National Accreditation Body (NAB), ACCREDIA in Italia, in accordo rispettivamente alle norme ISO 17065 e ISO 17025. Inoltre, per i CAB e i laboratori di prova che vogliono operare a livello “High”, questi devono ricevere un’autorizzazione specifica da parte della NCCA.

I CAB che operano a livello “High” devono essere necessariamente governativi a meno di casi particolari dove, in assenza di CAB governativi autorizzati a livello “High”, la NCCA può decidere di accreditare un CAB privato a tale livello applicando comunque la procedura di autorizzazione prevista per i CAB governativi.

A differenza dell’EUCC, il CCRA richiede che anche i CAB e i laboratori di prova che operano a livello “Substantial” siano autorizzati dalla NCCA, estendendo di fatto la procedura che l’EUCC riserva solo per il livello “High”.

Pertanto, se un CAB e un Laboratorio di prova vogliono apporre il marchio CCRA sui certificati che emettono e sulle prove che effettuano, devono essere autorizzati dalla NCCA che verifica i metodi di lavoro, le procedure CC e le competenze tecniche possedute.

Collegamenti tra CCRA e Commissione Europea

Per garantire che requisiti stabiliti dal documento predisposto dal CCRA siano compresi e implementati correttamente anche al fine di identificare e affrontare eventuali problemi che possano sorgere sul mutuo riconoscimento, il CCRA nominerà un proprio rappresentante che fungerà da collegamento tra il CCRA e Commissione Europea.

Analogamente, i membri del CCRA stanno valutando la possibilità di invitare un rappresentante Commissione europea in alcune delle riunioni periodiche del CCRA in qualità di osservatore senza diritto di voto.

Infine, nei prossimi tempi, il Management Committee del CCRA aggiornerà le procedure di Shadow Certification e VPA per adattarle al mutuo riconoscimento dei certificati EUCC.

Prospettive future del mutuo riconoscimento

Come si evince dal documento predisposto dal CCRA e condiviso con la Commissione Europea, la soluzione identificata per mantenere il mutuo riconoscimento con i nuovi certificati EUCC è comunque percorribile in quanto entrambi condividono lo stesso corpo normativo sia per le valutazioni (lo standard Common Criteria) che per gli accreditamenti degli Organismi di Certificazione e dei laboratori di prova (rispettivamente ISO 17065 e ISO 17025). Ovviamente è necessario effettuare degli adattamenti alle attuali procedure e, in tale ambito, un ruolo rilevante lo rivestono le NCCA dei vari Stati dell’Unione che devono modificare/adottare delle procedure di autorizzazione dei CAB e dei laboratori EUCC per renderli aderenti e allineati alle procedure del CCRA.

Tale soluzione potrebbe essere vista come una contraddizione del requisito dell’EUCC che prevede la cessazione degli attuali Schemi di Certificazione nazionali e degli accordi di mutuo riconoscimento sottoscritti, ma la soluzione è di fatto un buon compromesso in quanto non prevede la creazione di uno schema di certificazione parallelo, ma la integrazione dello schema EUCC dove i certificati emessi rimangono inalterati e sono solo integrati con il logo del CCRA, previa appunto autorizzazione delle NCCA.

Come detto nella introduzione, la soluzione è temporanea e andava identificata prima del febbraio 2026 per garantire la continuità del mutuo riconoscimento dei certificati tra gli Stati dell’Unione, oggi membri del CCRA, e gli altri stati del CCRA.

Come si può notare da quanto illustrato, la soluzione identificata permette ad un certificato EUCC di poter avere il marchio CCRA (su base volontaria ovviamente) ed essere mutuamente riconosciuto dagli altri Paesi extra-UE, ma non consente ad un certificato emesso da un Paese extra-UE ad essere riconosciuto come certificato EUCC. In questi casi, ad oggi, tale certificato per diventare EUCC richiede che la valutazione sia ri-effettuata da un laboratorio accreditato EUCC e il certificato emesso da un CAB anch’esso accreditato EUCC. Per come è strutturato lo schema EUCC tale ri-valutazione non è molto onerosa perché lo schema consente di ri-utilizzare le attività e i risultati della valutazione effettuata, ma questo fa capire chiaramente che la soluzione definitiva non sia ancora stata definita e non è ancora chiaro come si procederà in futuro.

È evidente che il CCRA deve essere rivisto e ripensato per venire incontro ai nuovi scenari che si sono presentati, ma è anche chiaro che il percorso è lungo e molto articolato.

Tutte le Autorità di Cybersicurezza nel mondo stanno investendo nella certificazione dei prodotti ICT che rappresenta un cardine essenziale nelle loro strategie di rafforzamento della cybersicurezza delle proprie infrastrutture ICT. A tutte loro è chiaro che l’assenza di un accordo di mutuo riconoscimento il più ampio possibile a livello mondiale provocherebbe di fatto il fallimento delle loro strategie creando nel contempo delle barriere tecniche e commerciali che sono in antitesi con la sempre maggiore interconnessione mondiale delle infrastrutture ICT, la libera circolazione di prodotti e la garanzia di un livello di sicurezza elevato.

Continua la lettura su: https://www.agendadigitale.eu/sicurezza/mutuo-riconoscimento-eucc-ccra-equilibrio-ancora-instabile/ Autore del post: Agenda Digitale Fonte: https://www.agendadigitale.eu

Categorie: Agenda Digitale, Vedi tutti i blog di Didattica
Tags: ,
agenda-digitale
Agenda Digitale

Articoli Correlati

Emergenza Coronavirus COVID-19: notizie e provvedimenti

Ordinanza del 2 giugno 2021 Ulteriori misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19. 

Ordinanza 29 maggio 2021 Ai fini del contenimento della diffusione del virus Sars-Cov-2, le attività economiche e sociali devono svolgersi nel rispetto delle “Linee guida per la ripresa delle attività economiche e sociali”, elaborate dalla Conferenza delle Regioni e delle Provincie autonome, come definitivamente integrate e approvate dal Comitato tecnico scientifico, che costituiscono parte integrante della presente ordinanza

Ordinanza 21 maggio 2021 Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARS-Cov-2/COVID-19 negli ambienti di lavoro.

Ordinanza 21 maggio 2021 Linee guida per la gestione in sicurezza di attivita’ educative non formali e informali, e ricreative, volte al benessere dei minori durante l’emergenza COVID-19.

Ordinanza 21 maggio 2021 Ulteriori misure urgenti in materia di contenimento e gestione dell’emergenza epidemiologica da COVID-19.

flc-cgil-scuola
FLC CGIL Scuola 10/01/2022

Vuoi rimanere aggiornato sulle nuove tecnologie per la Didattica e ricevere suggerimenti per attività da fare in classe?

Sei un docente?

soloscuola.it la prima piattaforma
No Profit gestita dai

Volontari Per la Didattica
per il mondo della Scuola. 

 

Tutti i servizi sono gratuiti. 

Associazione di Volontariato Koinokalo Aps

Ente del Terzo Settore iscritta dal 2014
Tutte le attività sono finanziate con il 5X1000

Report

Harassment or bullying behavior
Contains mature or sensitive content
Contains misleading or false information
Contains abusive or derogatory content
Contains spam, fake content or potential malware

Block Member?

Please confirm you want to block this member.

You will no longer be able to:

  • See blocked member's posts
  • Mention this member in posts
  • Invite this member to groups
  • Message this member
  • Add this member as a connection

Please note: This action will also remove this member from your connections and send a report to the site admin. Please allow a few minutes for this process to complete.

Report

You have already reported this .