Avviato l’accreditamento per lo schema EUCC sulla certificazione dei prodotti ICT
Accredia presenta le procedure e i riferimenti normativi per gli organismi di certificazione di prodotti ICT, come prodotti e componenti hardware e software, completando un percorso armonizzato di conformità per la cybersicurezza in Europa.
Con la Circolare tecnica DC N° 32/2025, Accredia definisce il percorso di accreditamento per lo schema di certificazione EUCC, a fronte del Regolamento di esecuzione UE 2024/482, sulla cybersicurezza di hardware, software, tecnologie e servizi ICT.
Accredia e l’Agenzia per la Cybersicurezza Nazionale (ACN) collaborano per dare attuazione in Italia al Cybersecurity Act.
In questo contesto, l’Organismo di Certificazione della Sicurezza Informatica (OCSI) dell’ACN ha ottenuto l’accreditamento per rilasciare i certificati europei EUCC, a conferma della piena operatività del sistema a livello nazionale.
Uno schema di certificazione europeo
L’accreditamento degli organismi di certificazione per lo schema EUCC si basa su standard internazionali riconosciuti e su un framework europeo definito dal Cybersecurity Act (Regolamento UE 2019/881) in vigore dal 27 giugno 2019.
La normativa stabilisce il percorso di certificazione dei prodotti ICT in accordo a quello che è il primo schema europeo in materia di cybersicurezza che si fonda su regole condivise a livello comunitario.
Lo schema EUCC, in particolare, si struttura sulla serie di norme tecniche ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation) che definisce criteri comuni, requisiti per i laboratori e livelli di garanzia (Evaluation Assurance Levels – EAL) che attestano la qualità delle valutazioni.
Gli organismi di certificazione dispongono così di un quadro strutturato per qualificarsi secondo i requisiti europei, garantendo uniformità di applicazione in tutta l’Unione europea.
Il valore del percorso accreditato
Il Cybersecurity Act (Regolamento UE 2019/881) stabilisce che i prodotti ICT vengano classificati secondo tre livelli di garanzia:
- Elevato
- Sostanziale
- Di base.
Per il livello di affidabilità “Elevato”, la certificazione spetta esclusivamente alla NCCA (National Cybersecurity Certification Authority) il cui ruolo in Italia è svolto da ACN attraverso l’OCSI (Organismo di Certificazione della Sicurezza Informatica).
E’ certificabile anche il livello “Sostanziale” dei prodotti, la cui conformità può essere attestata da organismi accreditati dall’Ente designato ai sensi del Regolamento CE 765/2008, Accredia in Italia.
L’accreditamento per certificare i prodotti ICT in accordo allo schema EUCC significa dunque garantire alle imprese un percorso riconosciuto e affidabile sul piano internazionale, per essere competitive sul mercato assicurando la protezione dei consumatori.
Anche OCSI ha scelto questo percorso, ottenendo l’accreditamento Accredia secondo la norma UNI CEI EN ISO/IEC 17065.
Il ruolo strategico dei laboratori di prova
Tre gli attori chiave del nuovo percorso:
- gli organismi di certificazione, accreditati secondo la UNI CEI EN ISO/IEC 17065 e nel rispetto dei requisiti del Regolamento di Esecuzione UE 2024/482 e del Regolamento UE 2019/881
- i laboratori di prova di cui si avvalgono gli organismi, accreditati secondo la UNI CEI EN ISO/IEC 17025 nel rispetto degli stessi Regolamenti
- ACN, che in Italia ricopre il ruolo di autorità notificante e la cui autorizzazione è necessaria per il rilascio dei certificati.
In particolare, i laboratori di prova (ITSEF – Information Technology Security Evaluation Facility) hanno un ruolo decisivo per garantire la qualità e la solidità del sistema, poiché realizzano il rapporto tecnico di valutazione (ETR – Evaluation Technical Report) sui prodotti ICT, preliminare alla certificazione accreditata.
La conformità al Cyber Resilience Act
La certificazione secondo lo schema EUCC assume un valore strategico nel quadro del Cyber Resilience Act – CRA (Regolamento EU 2024/2847).
I prodotti certificati, infatti, possono beneficiare della presunzione di conformità ai requisiti essenziali di cybersicurezza previsti dal Regolamento: la certificazione accreditata diventa così uno strumento che semplifica la compliance normativa, riducendo tempi e costi per i fabbricanti.
L’integrazione tra schema EUCC e CRA contribuisce a rafforzare la fiducia di imprese, Istituzioni e cittadini nei prodotti digitali presenti sul mercato europeo, creando un circolo virtuoso di trasparenza, responsabilità e innovazione.
L’iter di accreditamento degli organismi
Come spiega la Circolare tecnica Accredia DC N° 32/2025, le certificazioni EUCC devono essere rilasciate da organismi accreditati secondo la norma UNI CEI EN ISO/IEC 17065:2012, che rispettino le prescrizioni aggiuntive dei Regolamenti di Esecuzione UE 2024/482 e 2024/3144, oltre ai Regolamenti Generali Accredia.
A seconda degli accreditamenti posseduti, l’organismo affronterà un diverso numero di giornate di verifica secondo tre casistiche.
Organismo già accreditato secondo la UNI CEI EN ISO/IEC 17065:2012
- 1 giornata di esame documentale
- mezza giornata di verifica in accompagnamento simulata (ricostruzione del processo di valutazione).
Organismo accreditato per schemi diversi dalla UNI CEI EN ISO/IEC 17065:2012
- 1 giornata di esame documentale
- 3 giornate di verifica ispettiva in sede
- mezza giornata di verifica in accompagnamento simulata che può essere accorpata alla verifica in sede.
Organismo non accreditato in nessuno schema
- 1 giornata di esame documentale da svolgersi, se possibile, in parte in modalità sincrona da remoto
- 4 giornate di verifica ispettiva in sede
- mezza giornata di verifica in accompagnamento simulata che può essere accorpata alla verifica in sede.
Per il mantenimento dell’accreditamento, Accredia condurrà ogni anno 1 verifica in sede.
Cybersecurity: il ruolo dell’accreditamento per lo schema di certificazione EUCC
Il sistema europeo di certificazione della cibersicurezza basato sui Common Criteria (CC) e denominato EUCC è stato introdotto dal Regolamento di Esecuzione UE 2024/482. La collaborazione tra Accredia e ACN.
09 dicembre 2024
UE, relazione della Commissione sull’accreditamento e sul Regolamento CE 765/2008
La Commissione europea tira le somme sull’attuazione del Regolamento CE 765/2008 che fissa le norme in materia di accreditamento. E lo fa in una Relazione pubblicata lo scorso 5 dicembre, che copre il periodo tra il 2018 e il 2022. E’ l’art. 40 dello stesso Regolamento a richiedere che la Commissione europea, in cooperazione con…
23 dicembre 2022
La certificazione accreditata per la cybersecurity: il nuovo Osservatorio Accredia
E’ stato presentato all’Università Sapienza di Roma l’Osservatorio Accredia “Cybersecurity e protezione dei dati: il ruolo della certificazione accreditata”,realizzato insieme al Cybersecurity National Lab del CINI, nell’ambito dell’Osservatorio congiunto “Cybersecurity e Certificazione”. Il Convegno “Come gestire il rischio informatico? Il contributo dell’accreditamento e della certificazione alla cybersecurity nazionale” è stato aperto dai saluti istituzionali della…
14 novembre 2022