Sicurezza dei prodotti ICT: dall’Unione Europea arrivano nuovi criteri di valutazione
Nell’ultimo periodo si è avuta notizia di numerosi aggiornamenti nelle fonti internazionali che stabiliscono standard di sicurezza condivisi. Indubbiamente una tendenza figlia di un’evoluzione tecnologica particolarmente dirompente e del ritmo ormai inarrestabile degli attacchi informatici; ma altresì derivante dall’accresciuta consapevolezza circa la necessità di misure preventive che tutelino persone, istituzioni e imprese dalle conseguenze potenzialmente disastrose di falle di sicurezza il più delle volte evitabili.
All’elenco delle recenti pubblicazioni va ora aggiunta la nuova versione dell’EN 17640 (“Fixed-time cybersecurity evaluation methodology for ICT products – FiT CEM“), standard europeo volto a fissare criteri comuni per analizzare, in tempi predefiniti, la sicurezza dei prodotti ICT.
Pubblicato lo scorso 21 ottobre, il documento è stato messo a punto dal CEN (European Committee for Standardization) e dall’ENISA, in forza delle competenze attribuitele dal Cybersecurity Act (che nella sua ultima versione, costituita dal Reg. UE 2019/881, incarica l’agenzia di “contribuire alla definizione di una cornice europea per le certificazioni di sicurezza di prodotti e servizi ICT”).
I principali obiettivi del FiT CEM
Il Cybersecurity Act (CSA) è esplicitamente richiamato dal nuovo testo anche laddove fa riferimento, per la valutazione dei prodotti ICT, ai medesimi tre livelli di garanzia da esso definiti:
- basic
- substantial
- high.
A prescindere dal livello che intendano assicurare, i criteri stabiliti possono applicarsi tanto alle attività di self-assessment quanto alle valutazioni operate da terze parti od organismi esterni. In ogni caso la finalità, espressa già nelle prime righe dell’Introduzione, è sempre fornire “una metodologia di valutazione affidabile, trasparente e riproducibile” (“a reliable, transparent and repeatable evaluation methodology”) nella valutazione dei prodotti tecnologici.
Rispetto ai precedenti standard in materia – con cui pure è integrabile e non reciprocamente escludente – il FiT CEM ha la specifica ambizione di prevedere che le valutazioni e i controlli si svolgano in base a tempistiche e carichi di lavoro (“workloads”) predefiniti.
Destinatari dello standard e altri soggetti coinvolti
Le indicazioni contenute nel documento vanno implementate sin dalla fase di progettazione dei beni o servizi, fino a richiedere un’idonea valutazione di sicurezza (anche fisica) rispetto agli stabilimenti in cui materialmente avvengano la produzione o lo sviluppo degli stessi, identificando puntualmente le possibili minacce e il relativo potenziale d’attacco.
I nuovi standard si rivolgono a produttori e sviluppatori attivi in ogni settore di mercato che richieda certificazioni di cybersecurity. Un’area già vastissima e in rapida espansione, il cui rafforzamento sul piano della cyber resilienza rientra anche tra gli obiettivi fissati dalle Direttive NIS.
È comunque importante notare come nell’Introduzione siano citati anche enti e organismi di accreditamento o certificazione, autorità nazionali e perfino utilizzatori finali dei prodotti; soggetti diversissimi tra loro ma ai quali si chiede in sostanza di partecipare, ciascuno secondo il proprio ruolo, alla costruzione di un contesto di riferimento più sicuro, invitando tutti a vigilare sull’applicazione della nuova normativa in nome di un superiore (e comune) interesse.
A cura della Redazione
