L’Agenzia per la cybersicurezza nazionale ha adottato le linee guida per l’attuazione nazionale del primo sistema europeo di certificazione della cybersicurezza EUCC: apre un link esterno (European Common Criteria). L’ACN ne da notizia con un comunicato pubblicato sul proprio sito.

Le quattro linee guida, adottate con Decreto direttoriale n. 12053 del 03 febbraio 2025 a firma del Direttore Generale, riguardano:

le attività di vigilanza nazionale e di autorizzazione per il sistema EUCC (linea guida NCCA n. 1);

e di autorizzazione per il sistema EUCC (linea guida NCCA n. 1); le caratteristiche generali e gli attori coinvolti nel processo di certificazione dell’ Organismo di Certificazione della Sicurezza Informatica (linea guida OCSI n. 1 – Sistema EUCC);

(linea guida OCSI n. 1 – Sistema EUCC); l’ abilitazione dei laboratori per la valutazione della sicurezza per il sistema EUCC (linea guida OCSI n.2);

(linea guida OCSI n.2); le attività di valutazione ed emissione dei certificati per il sistema EUCC (linea guida OCSI n. 3).

Il decreto direttoriale di ACN disciplina l’operatività dell’Autorità nazionale di certificazione della cybersicurezza (NCCA) e dell’Organismo di Certificazione della Sicurezza Informatica: apre un link esterno, nel contesto del primo sistema di certificazione europeo EUCC, adottato quest’ultimo con regolamento di esecuzione della Commissione europea n. 2024/482. Il decreto, inoltre, consolida l’organizzazione di ACN per lo svolgimento dei compiti di vigilanza e autorizzazione degli Organismi di Valutazione (CAB – Conformity Assessment Body) da parte dell’NCCA e di emissione dei certificati da parte di OCSI.

Le linee guida

La linea guida NCCA n.1 definisce le attività di vigilanza nazionale dell’autorità sugli organismi di valutazione della conformità accreditati (in particolare laboratori e organismi di certificazione) e sui titolari dei certificati con la possibilità di emettere sanzioni pecuniarie. Si stabiliscono, inoltre, le modalità per l’autorizzazione degli organismi di valutazione della conformità all’emissione dei certificati di livello elevato.

Le restanti linee guida disciplinano invece l’operatività OCSI, già stabilito con DPCM 30/10/2003 per sovraintendere allo Schema nazionale di certificazione della cybersicurezza, nell’emissione dei certificati di cybersicurezza EUCC (Art. 6 del d.lgs. 123 2022).

La linea guida OCSI n.1 tratta delle caratteristiche generali dell’attuazione nazionale del sistema EUCC in Italia, individuando gli attori principali. Si individua l’OCSI come unico organismo di certificazione titolato all’emissione di certificati di livello elevato per l’EUCC. La linea guida OCSI n. 2 individua le modalità di abilitazione dei laboratori di prova che intendano operare per conto dell’OCSI. La linea guida OCSI n.3 descrive il processo di certificazione e successivo monitoraggio dei certificati per la continuità delle garanzie nel tempo.

Le linee guida, infine, sono adottate in attuazione dell’art. 4, comma 2, del Decreto legislativo n.123 del 2022: apre un link esterno.

Fonte: ACN