EUCC è lo schema europeo di certificazione cybersecurity basato sui Common Criteria, istituito dal Regolamento di esecuzione (UE) 2024/482. Se sei un produttore ICT o lavori nella PA, EUCC ti interessa perché fornisce un modo riconosciuto a livello UE per dimostrare, con livelli graduati di assurance, che un prodotto ICT soddisfa requisiti di sicurezza valutati da laboratori indipendenti. In questa guida trovi una roadmap pratica per capire ambito, ruoli, percorso di valutazione, come riutilizzare evidenze esistenti e quali implicazioni considerare in vista di gare e approvvigionamenti.

Che cos’è lo schema EUCC e come si collega ai Common Criteria

EUCC (European Common Criteria-based cybersecurity certification scheme) è lo schema europeo che utilizza il metodo di valutazione dei Common Criteria (ISO/IEC 15408 e metodi correlati) per attestare il livello di sicurezza informatica di prodotti ICT. Lo schema nasce nell’ambito del quadro europeo di certificazione previsto dal Cybersecurity Act e viene formalizzato dal Reg. (UE) 2024/482, creando una base comune per superare la frammentazione dei precedenti regimi nazionali.

In pratica, EUCC fornisce:

  • Un quadro comune per valutazioni indipendenti su prodotti ICT, allineato ai Common Criteria.
  • Livelli di assurance armonizzati a livello UE, con riconoscimento transfrontaliero.
  • Un linguaggio condiviso (profili di protezione, obiettivi di sicurezza, evidenze di sviluppo e test) spendibile in appalti e supply chain.

Perché nasce EUCC e cosa cambia

Molti Stati membri avevano schemi CC nazionali con riconoscimento variabile. EUCC crea un’unica cornice europea, riducendo duplicazioni, oneri di ri-valutazione e ambiguità su livelli e metodi. Per i produttori significa poter pianificare una sola valutazione, orientata a requisiti comuni e spendibile in più mercati UE. Per le amministrazioni e gli acquirenti professionali significa poter richiedere livelli di assurance definiti e comparabili tra Paesi.

Reg. (UE) 2024/482: principi, livelli di assurance, validità e riconoscimento

Il Regolamento (UE) 2024/482 definisce lo schema EUCC, stabilendone principi e attori. In linea generale:

  • Approccio basato sul rischio: il livello di assurance selezionato deve essere coerente con minacce e impatti attesi nell’uso previsto.
  • Assurance graduata: lo schema prevede livelli di assurance coerenti con il quadro europeo (ad esempio base, sostanziale, alto), con collegamenti ai metodi di valutazione dei Common Criteria. Le corrispondenze operative dipendono dai documenti applicativi di schema e dal laboratorio.
  • Validità e mantenimento: la validità del certificato e le condizioni di manutenzione sono definite nello schema e riportate nel certificato. Possono essere previste attività di sorveglianza/aggiornamento in caso di modifiche sostanziali del prodotto o del contesto di minaccia.
  • Riconoscimento UE: un certificato EUCC è concepito per essere riconosciuto in tutti gli Stati membri, facilitando appalti e forniture transfrontaliere.

Il sistema di accreditamento e designazione degli organismi che operano nello schema è supportato a livello europeo. È utile notare che la comunità dell’accreditamento ha avviato iniziative con la Commissione sul tema EUCC, ad esempio workshop dedicati al Reg. (UE) 2024/482 nel quadro di European Accreditation (EA). Vedi le notizie EA: EA Newsroom e EA Newsroom (scroll).

Ecosistema di valutazione: organismi, laboratori, ruolo degli AB

Lo schema EUCC si realizza attraverso un ecosistema coordinato:

  • Autorità nazionali di certificazione cybersecurity: designano e vigilano sugli organismi che operano nello schema a livello nazionale, in coordinamento con il quadro UE.
  • Organismi di valutazione della conformità (CAB): emettono i certificati EUCC e gestiscono il processo di valutazione/certificazione. In genere operano sulla base di accreditamento secondo standard come ISO/IEC 17065, con competenze specifiche sullo schema.
  • Laboratori di prova/valutazione: eseguono attività tecniche (testing, analisi di vulnerabilità, verifica delle evidenze di sviluppo). Tipicamente operano secondo ISO/IEC 17025 per la competenza tecnica, applicando metodi CC e requisiti di schema.
  • Organismi di accreditamento (AB): accreditano CAB e laboratori secondo gli standard pertinenti e secondo gli atti di schema. EA coordina a livello europeo per l’armonizzazione e il mutuo riconoscimento degli accreditamenti. Riferimenti: EA Newsroom.

Le specifiche operative (ad es. quali attività ricadono sul CAB e quali sul laboratorio) dipendono dai documenti applicativi di schema e dalle prassi del singolo organismo.

A chi serve EUCC: produttori ICT, PA, integratori

  • Produttori di prodotti ICT: hardware, software, componenti di sicurezza, dispositivi embedded e altri elementi valutabili secondo CC.
  • PA e centrali di committenza: possono usare i livelli EUCC come requisito o criterio di valutazione nelle procedure di gara, quando appropriato rispetto al rischio.
  • Integratori e fornitori di soluzioni: beneficiano di componenti certificati EUCC lungo la supply chain per semplificare la dimostrazione di sicurezza ai clienti.

Roadmap pratica di preparazione alla certificazione EUCC

  1. Definisci lo scopo (TOE) e il contesto d’uso: chiarisci il perimetro del prodotto, le dipendenze, le interfacce e l’ambiente operativo previsto. Una definizione accurata del Target of Evaluation è essenziale per evitare riesami successivi.
  2. Analisi del rischio e scelta del livello di assurance: valuta minacce e impatti attesi; seleziona un livello EUCC proporzionato. La scelta influenza profondità della valutazione, oneri documentali e tempistiche.
  3. Verifica di profili di protezione (PP): se esistono PP pertinenti, valutarne l’adozione può semplificare il percorso. In assenza, prepara una Security Target (ST) ben argomentata.
  4. Allinea il ciclo di sviluppo (SDLC) a CC: predisponi pratiche e prove di sviluppo sicuro (requisiti, design, implementazione, test, gestione configurazioni, rilascio) in linea con i pacchetti di assurance richiesti dal livello scelto.
  5. Progetta e raccogli le evidenze: documenti di design, guida all’amministratore/utente, analisi delle minacce, piani e risultati di test, gestione vulnerabilità, procedure di consegna e manutenzione.
  6. Valuta la crittografia: mappa gli algoritmi e i moduli crittografici usati; prepara evidenze relative alla loro idoneità nell’ambiente d’uso. Le richieste possono variare in funzione del livello e del profilo applicato.
  7. Gap assessment preliminare: un riesame interno o esterno rispetto ai requisiti di schema e CC riduce i rischi di non conformità in fase di valutazione.
  8. Seleziona CAB e laboratorio: scegli attori competenti nello schema e nel dominio tecnologico del prodotto. Verifica accreditamenti e condizioni contrattuali; chiarisci confidenzialità e gestione IP.
  9. Esecuzione valutazione: il laboratorio conduce test, analisi di vulnerabilità e revisione evidenze; il CAB supervisiona e decide sulla certificazione in base ai risultati.
  10. Chiusura, rilascio e manutenzione: a certificato rilasciato, implementa un piano di manutenzione per versioni, patch e gestione vulnerabilità, in coerenza con le regole di schema.

Dalla certificazione nazionale a EUCC: transizione e riuso delle evidenze

Molti prodotti dispongono già di valutazioni secondo regimi nazionali basati su Common Criteria. In tali casi:

  • Raccolta e mappatura delle evidenze: ST, rapporti di valutazione, risultati di test e artefatti di sviluppo possono essere mappati ai requisiti EUCC.
  • Verifica di equivalenza: l’eventuale riuso dipende dalla corrispondenza tra livello/ambito nazionali e requisiti EUCC, nonché dallo stato del prodotto (versione, patch, dipendenze).
  • Aggiornamenti mirati: potrebbero essere necessari integrazioni documentali o test integrativi per coprire differenze di schema o nuove minacce.

Le modalità precise di transizione e riuso sono stabilite nello schema e dalle parti coinvolte (CAB/laboratori). È consigliabile un confronto preliminare con l’organismo per evitare duplicazioni.

Requisiti documentali tipici (checklist di lavoro)

  • Security Target (ST) e, se applicabile, dichiarazione di conformità a un Profilo di Protezione (PP).
  • Descrizione del TOE: architettura, confini, funzioni di sicurezza, dipendenze e assunzioni ambientali.
  • Documentazione di design: specifiche, modelli, tracciabilità requisiti–controlli–test.
  • Guida all’installazione, configurazione e uso sicuro (admin/user guidance).
  • Piani e risultati di test: unitari, integrazione, sistema, penetrazione interna; ambiente di test riproducibile.
  • Gestione delle vulnerabilità: processo, strumenti, evidenze di triage e remediation.
  • Gestione della configurazione (CM): baseline, controllo modifiche, build riproducibili.
  • Consegna e mantenimento: procedure di rilascio, firma, distribuzione sicura, politiche di patching.
  • Componenti terze parti e SBOM: licenze, versioni, impatti sulla superficie d’attacco.
  • Crittografia: elenco algoritmi/moduli e relative evidenze.

I contenuti richiesti possono variare in funzione del livello di assurance scelto e dei documenti applicativi di schema.

Iter, tempi e fattori di costo

L’iter standard comprende pianificazione, raccolta evidenze, valutazione di laboratorio, decisione di certificazione e pubblicazione. I tempi dipendono in modo significativo da:

  • Livello di assurance selezionato e complessità del TOE.
  • Disponibilità e qualità delle evidenze di sviluppo.
  • Necessità di testing specializzato (ad es. per componenti crittografici).
  • Ciclo di remediation su vulnerabilità individuate.
  • Capacità e agenda di laboratorio/CAB.

I costi sono influenzati da:

  • Estensione della valutazione e profondità richiesta dal livello di assurance.
  • Numero di piattaforme/varianti coperte (hardware, OS, firmware).
  • Uso o meno di un PP e disponibilità di test riutilizzabili.
  • Traduzioni, gestione IP e riservatezza.
  • Eventuali cicli di retest e attività di manutenzione post-certificazione.

Per una stima realistica, è utile una pre-analisi del perimetro e un confronto strutturato con CAB/laboratorio. Evita impegni su tempi/costi senza aver valutato il livello di assurance e lo stato delle evidenze.

Errori da evitare

  • Perimetro incerto: un TOE mal definito genera rilavorazioni e ritardi.
  • Assurance non proporzionata: livelli troppo bassi o troppo alti rispetto al rischio causano problemi in appalti o extra-oneri.
  • Documentazione ex post: produrre evidenze a posteriori riduce qualità e coerenza.
  • Sottostima della crittografia: mancanza di evidenze adeguate sui moduli crittografici.
  • Baseline instabile: rilasci frequenti e non governati durante la valutazione complicano i test.
  • Guida utente/admin insufficiente: configurazioni di sicurezza non chiare rendono il prodotto non valutabile in modo oggettivo.
  • Vulnerability handling reattivo: serve un processo strutturato e dimostrabile, non solo fix ad hoc.

Implicazioni per appalti e supply chain

EUCC rende più chiaro per le stazioni appaltanti come esprimere esigenze di sicurezza nei capitolati, potendo fare riferimento a livelli di assurance e a prodotti certificati in UE. Per i fornitori, l’adozione di EUCC:

  • Riduce incertezze su equivalenze tra certificazioni nazionali.
  • Facilita la partecipazione a gare transfrontaliere.
  • Supporta politiche di supply chain security basate su evidenze verificabili.

La decisione di richiedere un livello EUCC specifico in gara deve essere proporzionata all’oggetto e al rischio; le modalità applicative dipendono dal singolo bando e dalle norme nazionali sugli appalti.

FAQ essenziali

EUCC è diverso dai Common Criteria?

EUCC è uno schema europeo che usa i metodi Common Criteria in un quadro UE armonizzato. CC è lo standard di valutazione; EUCC ne definisce l’applicazione e il riconoscimento in Europa.

Quali prodotti sono valutabili?

Prodotti ICT che si prestano alla valutazione CC (hardware, software, componenti di sicurezza, dispositivi embedded). L’idoneità va verificata caso per caso rispetto allo schema e al livello scelto.

Come scelgo il livello di assurance?

In base al rischio e all’uso previsto. Un’analisi delle minacce e un confronto iniziale con il laboratorio aiutano a selezionare un livello proporzionato.

Posso riutilizzare una certificazione nazionale?

È possibile riutilizzare parte delle evidenze se equivalenti ai requisiti EUCC e se il prodotto non è cambiato in modo sostanziale. La decisione dipende da schema, CAB e laboratorio.

Quanto dura una certificazione?

La durata e le condizioni di mantenimento sono definite nello schema e riportate nel certificato. Possono essere previste attività di sorveglianza in caso di modifiche rilevanti.

EUCC copre servizi cloud?

EUCC è focalizzato su prodotti valutabili con metodi CC. Per i servizi, occorre verificare lo schema più appropriato o future estensioni/atti settoriali.

Che ruolo hanno gli organismi di accreditamento?

Accreditano CAB e laboratori secondo gli standard pertinenti. A livello europeo, EA coordina e supporta l’armonizzazione. Vedi: EA Newsroom.

Documenti e aggiornamenti

Per aggiornamenti sul quadro di accreditamento e iniziative correlate al Reg. (UE) 2024/482, consulta le notizie di European Accreditation: EA Newsroom e EA Newsroom (scroll). Per dettagli operativi di schema, livelli e requisiti, fai sempre riferimento ai documenti ufficiali dello schema EUCC e alle indicazioni del tuo organismo di valutazione.

Nota importante: se i dettagli normativi puntuali non sono disponibili o variano tra organismi, pianifica con prudenza. Molti aspetti operativi (documentazione attesa, profondità dei test, riuso di evidenze) dipendono dal livello di assurance scelto e dalle regole applicative del CAB e del laboratorio coinvolti.