header-banner-image

Cybersecurity-Sicurezza Informatica

Sicurezza dei Dati e delle Informazioni

Data: 07 Novembre 2022 Ore: 12:14

Accredia: Cybersecurity, l’accreditamento protegge la sicurezza dei dati e la privacy

La certificazione accreditata ha un ruolo da protagonista anche nella gestione della sicurezza digitale. Il coinvolgimento degli organismi e dei laboratori testimonia l’attitudine, ormai consolidata, dell’Ente di accreditamento a cooperare con la PA.

Prima il Regolamento 881/2019, il Cybersecurity Act, poi la proposta per il Cyber Resilience Act: si moltiplicano le azioni dell’Europa finalizzate a migliorare la sicurezza per gli Stati membri con normative europee sempre più stringenti e volte alla protezione dagli attacchi cyber. Misure attuate per proteggere sia i produttori sia i consumatori, recepite anche in Italia, come nel caso del D.Lgs. 123/2022 che adegua la normativa nazionale al “Quadro di certificazione della cybersicurezza” del Cybersecurity Act.

E se l’ACN (Agenzia per la Cybersicurezza Nazionale) è l’Autorità scelta per vigilare il mercato e rilasciare alcune tipologie di certificati europei, ad Accredia spetta il compito di monitorare e vigilare le attività degli organismi di valutazione della conformità accreditati.
Infatti, secondo quanto stabilito dal Regolamento prima e dal Decreto poi, il rilascio dei certificati con livello di affidabilità “sostanziale” può avvenire solo a opera di organismi accreditati.

Ma quale garanzia offre questa scelta a Istituzioni, imprese e consumatori? I prodotti, servizi e processi ICT che circolano sul mercato con un certificato europeo di cybersicurezza che si riferisca al livello di affidabilità “sostanziale” rispettano i corrispondenti requisiti di sicurezza, comprese le funzionalità di sicurezza, e sono stati valutati a un livello inteso a ridurre al minimo i rischi noti connessi e i rischi di incidenti e di attacchi informatici causati da soggetti dotati di abilità e risorse limitate.

In caso di non conformità dei certificati con livelli affidabilità “di base” o “sostanziale” in settori chiave (trasporti, energia, banche, finanza, salute, acqua potabile, infrastrutture digitali) l’ACN chiederà all’organismo emittente di provvedere alla revoca entro 5 giorni e, in caso di inadempienza, procederà direttamente alla revoca. Anche per questo, Accredia comunicherà all’ACN e al Ministero dello Sviluppo economico, ogni aggiornamento in merito agli organismi di valutazione accreditati (nuovi accreditamenti, revoche, sospensioni e limitazioni del certificato di accreditamento). A conferma dell’importanza riconosciuta alla certificazione accreditata, così come alle prove di laboratorio, ci sono poi le sanzioni previste sia per l’ambito obbligatorio sia per quello volontario. Per quanto riguarda fabbricanti e fornitori di prodotti/servizi non conformi, sono previste multe fino a 150mila euro, che possono arrivare a 300mila euro, nel caso di mancata notifica di eventuali vulnerabilità o irregolarità rilevate in relazione alla sicurezza dei prodotti/servizi.

Essere in possesso della certificazione accreditata, oltre ad evitare sanzioni, può essere anche un motivo di preferenza e di selezione nei bandi pubblici.

Senza dimenticare il supporto che l’accreditamento potrà dare nell’ambito della formazione. La Strategia Nazionale di Cybersicurezza 2022-2026, varata il 18 maggio scorso dal Comitato Interministeriale per la Cybersicurezza, prevede di sviluppare un ambiente digitale sicuro anche grazie alla partnership tra imprese pubbliche e private, e indica tre obiettivi fondamentali:

  • Protezione dagli attacchi
  • Risposta alle crisi
  • Sviluppo di tecnologie e attitudini che rendano la sicurezza cibernetica una caratteristica fondamentale degli ambienti digitali

Per raggiungere questi obiettivi si punterà e investirà molto anche nella formazione.

In questa prospettiva, i sistemi di accreditamento di laboratori e organismi di certificazione (di sistemi, processi, prodotti, servizi, persone) potranno facilitare l’ACN e la Pubblica Amministrazione nella scelta di partner qualificati e conformi alle normative di riferimento.

Con lo scopo di analizzare gli strumenti per la cybersecurity nazionale, abbiamo realizzato il nuovo studio dell’Osservatorio Accredia “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata”, insieme al Cybersecurity National Lab del CINI (Consorzio Interuniversitario Nazionale per l’Informatica).

Lo presentiamo il prossimo 14 novembre alla Sapienza Università di Roma in occasione del Convegno “Come gestire il rischio informatico? Il contributo dell’accreditamento e della certificazione alla cybersecurity nazionale” insieme ad Antonella Polimeni, Rettrice della Sapienza Università di Roma, Massimo De Felice, Presidente di Accredia, Paolo Prinetto e Alessandro Armando, Direttore e Vice Direttore del Cybersecurity National Lab del CINI, e Roberto Baldoni, Direttore Generale dell’ACN.


Accredia: Vulnerability Assessment
Servizio
Prove
Settore
IT & T Information Technology and Telecommunications
Riferimento normativo
ISO/IEC 17025
Requisiti generali per la competenza dei laboratori di prova e di taratura
Descrizione
Le prove di Vulnerability Assessment sull’oggetto o il sistema in esame, sono finalizzate alla ricerca di possibili  “falle di sicurezza”, dette vulnerabilità, che potrebbero permettere a terzi di acquisire illegittimamente il controllo di un’infrastruttura e carpire o manipolare le informazioni.

Una prova di Vulnerability Assessment consiste in un esame esaustivo del sistema e dei software installati: l’accreditamento di un laboratorio secondo la norma di riferimento garantisce il possesso dei requisiti di competenza tecnica, dotazione strumentale, garanzia di corretta esecuzione delle procedure di prova, correttezza e completezza dei rapporti di prova rilasciati ai clienti dai laboratori che effettuano Vulnerability Assessment e, non ultimo, il continuo aggiornamento degli stessi allo stato dell’arte.

Circolare n. 1/2019/DL
Roma, 28 febbraio 2019

Oggetto: Circolare informativa DL n. 1/2019 - Informazioni relative all'accreditamento di Laboratori di prova operanti nel settore dei Vulnerability Assessments (VA)


Consulenza Sicurezza delle Informazioni ISO 27001

Richiedi informazioni
Richiedi offerta