Il nuovo scenario europeo sulla certificazione della cybersicurezza ha preso forma. Con l’adozione del Regolamento di esecuzione (UE) 2024/482 e il pieno avvio del sistema EUCC (European Cybersecurity Certification Scheme based on Common Criteria), l’Unione Europea ha ufficialmente dato attuazione a un corpus armonizzato di regole per valutare e certificare la sicurezza dei prodotti ICT.
L’Italia ha recepito queste norme attraverso una serie articolata di Linee Guida tecniche e procedurali che delineano i ruoli, le responsabilità e i processi operativi degli attori coinvolti. Tra questi, spiccano l’Agenzia per la Cybersicurezza Nazionale (ACN), l’Organismo di Certificazione della Sicurezza Informatica (OCSI) e i Laboratori per la Valutazione della Sicurezza (LVS).
Un sistema vincolante, multilivello, con ruoli ben definiti
Le nuove Linee Guida – articolate nei documenti NCCA n.1, OCSI n.1, n.2 e n.3 – introducono una profonda revisione del quadro certificativo, segnando il superamento dello Schema Nazionale e l’ingresso in un sistema europeo armonizzato.
Il passaggio è epocale: non solo cambia il quadro normativo di riferimento, ma si introducono meccanismi più rigorosi di controllo, tracciabilità e responsabilizzazione.
Tra i principali elementi distintivi del nuovo modello, vanno evidenziati:
- la centralità dell’Agenzia per la Cybersicurezza Nazionale, che assume funzioni di vigilanza, sanzione e autorizzazione, in veste di National Cybersecurity Certification Authority (NCCA);
- il ruolo esclusivo dell’OCSI per la certificazione a livello elevato, con l’impossibilità per altri organismi accreditati di operare in Italia a tale livello;
- la formalizzazione della figura dell’LVS, laboratorio autorizzato e abilitato ad eseguire le attività di valutazione Common Criteria sotto la direzione dell’OCSI;
- un doppio livello di garanzia per i certificati emessi: “sostanziale” e “elevato”, in funzione della profondità dei controlli (componenti AVA_VAN);
- la transizione obbligatoria, con scadenze già definite: dal 27 febbraio 2025, cessazione delle nuove certificazioni nazionali, con sola manutenzione dei certificati esistenti fino al 2026.
Vigilanza e Sanzioni: una responsabilità accentrata
La Linea Guida NCCA n.1 (premere qui per leggere) è il cuore normativo del sistema. Essa attribuisce all’Agenzia poteri di vigilanza oggettiva e soggettiva sugli operatori del sistema, compresi OCSI, LVS e i Titolari dei certificati.
Tra i compiti principali:
- monitoraggio dei certificati EUCC emessi;
- supervisione degli organismi di valutazione (CAB, ITSEF, OCSI);
- controlli ispettivi anche in loco;
- potere sanzionatorio autonomo, con possibilità di sospensione o revoca delle certificazioni.
Un vero e proprio cambio di paradigma giuridico, in cui la cybersecurity diventa materia di ordine pubblico e strategia nazionale.
LVS: abilitazione, responsabilità e procedura operativa
La Linea Guida OCSI n.2 (premere qui per leggere) delinea i criteri di abilitazione degli LVS, che devono possedere:
- accreditamento ISO/IEC 17025 da parte di Accredia per l’EUCC;
- requisiti specifici di competenza, imparzialità e indipendenza;
- personale qualificato e tracciabile, monitorato dall’OCSI.
L’abilitazione si struttura in quattro fasi procedurali (richiesta, istruttoria, verifica, rilascio) e consente al laboratorio di operare solo per conto dell’OCSI. Non è ammesso un impiego diretto da parte dell’ACN né l’intervento di esperti esterni.
Valutazione e certificazione: un processo altamente formalizzato
La Linea Guida OCSI n.3 (premere qui per leggere) descrive in dettaglio l’intero ciclo di certificazione, articolato in:
- fasi di preparazione, valutazione, conclusione;
- gestione strutturata della documentazione (Piani di Valutazione, Rapporti di Osservazione, Rapporti Finali);
- pubblicazione e monitoraggio post-certificazione, incluso il mantenimento e la rivalutazione in caso di modifiche ai prodotti o scoperta di nuove vulnerabilità.
L’LVS assume una funzione nodale nel garantire la qualità e l’integrità del processo, sotto la costante sorveglianza dell’OCSI.
Conseguenze giuridiche della non conformità
Le linee guida specificano in modo inequivocabile che l’inosservanza degli obblighi certificativi e procedurali può comportare:
- revoca immediata dell’autorizzazione per l’LVS;
- sospensione o decadenza dei certificati rilasciati;
- sanzioni pecuniarie e accessorie per i soggetti inadempienti.
In tale contesto, il rispetto formale e sostanziale delle Linee Guida e del Regolamento EUCC non è una facoltà, ma un obbligo giuridico vincolante, la cui violazione espone a rilevanti responsabilità, anche in termini di danno reputazionale e di mercato.
Un nuovo diritto della cybersicurezza certificata
L’adozione delle Linee Guida nazionali in attuazione dell’EUCC segna l’avvento di una nuova branca del diritto tecnico-amministrativo in materia di sicurezza informatica. Un campo dove la precisione normativa si coniuga con la competenza tecnica, e dove la certificazione non è più solo una prassi volontaria, ma uno strumento giuridico di tutela, accountability e conformità normativa.
In un contesto europeo sempre più interconnesso, la cybersicurezza certificata non è un’opzione. È un dovere. Normato, verificabile, sanzionabile.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Intelligenza artificiale e responsabilità sistemica: ecco la terza bozza del codice di condotta - 12 Marzo 2025
- Pubblicato il decreto attuativo di adeguamento alla DORA in Gazzetta Ufficiale - 11 Marzo 2025
- L’azione coordinata dell’ EDPB e delle Autorità nazionali sul diritto all’oblio - 7 Marzo 2025
- NIS2 e settori critici a rischio: l’allarme ENISA su vulnerabilità sistemiche e impatti trasversali - 6 Marzo 2025
- Legal design e informative privacy: verso una comunicazione più chiara e accessibile - 25 Febbraio 2025
