Regolamento di esecuzione (UE) 2024/482 / Certificato EUCC
ID 21322 | 07.02.2024
Regolamento di esecuzione (UE) 2024/482 della Commissione, del 31 gennaio 2024, recante modalità di applicazione del regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio per quanto riguarda l'adozione del sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC)
GU L 2024/482 del 07.02.2024
Entrata in vigore: 27.02.2024
Applicazione dal 27 febbraio 2025.
Il capo IV e l'allegato V si applicano a partire dal 27.02.2024.
________
Articolo 1 Oggetto e ambito di applicazione
Il presente regolamento istituisce il sistema europeo di certificazione della cibersicurezza basato sui criteri comuni (EUCC).
Il presente regolamento si applica a tutti i prodotti delle tecnologie dell'informazione e della comunicazione (TIC), compresa la relativa documentazione, che sono presentati ai fini della certificazione nel quadro dell'EUCC, nonché a tutti i profili di protezione che sono presentati ai fini della certificazione come parte del processo TIC alla base della certificazione dei prodotti TIC.
[...]
Articolo 3 Norme di valutazione
Alle valutazioni effettuate nell'ambito del sistema EUCC si applicano le norme seguenti:
(a) i criteri comuni;
(b) la metodologia comune di valutazione.
Articolo 4 Livelli di affidabilità
1. Gli organismi di certificazione rilasciano certificati EUCC con un livello di affidabilità «sostanziale» o «elevato».
2. I certificati EUCC al livello di affidabilità «sostanziale» corrispondono ai certificati relativi al livello AVA_VAN 1 o 2.
3. I certificati EUCC al livello di affidabilità «elevato» corrispondono ai certificati relativi al livello AVA_VAN 3, 4 o 5.
4. Il livello di affidabilità confermato in un certificato EUCC distingue tra l'uso conforme e l'uso aumentato dei componenti dell'affidabilità specificati nei criteri comuni in conformità dell'allegato VIII.
5. Gli organismi di valutazione della conformità applicano le componenti dell'affidabilità da cui dipende il livello AVA_VAN selezionato in conformità delle norme di cui all'articolo 3.
Articolo 5 Metodi di certificazione dei prodotti TIC
1. La certificazione di un prodotto TIC è effettuata rispetto al suo traguardo di sicurezza:
(a) come definito dal richiedente; oppure
(b) integrando un profilo di protezione certificato come parte del processo TIC, qualora il prodotto TIC rientri nella categoria di prodotti TIC contemplata da tale profilo di protezione.
2. I profili di protezione sono certificati al solo scopo di certificare i prodotti TIC che rientrano nella categoria specifica di prodotti TIC contemplata dal profilo di protezione.
Articolo 6 Autovalutazione della conformità
Non è consentita l'autovalutazione della conformità ai sensi dell'articolo 53 del regolamento (UE) 2019/881.
Articolo 7 Criteri e metodi di valutazione dei prodotti TIC
1. Un prodotto TIC presentato ai fini della certificazione è valutato almeno conformemente a quanto segue:
(a) gli elementi applicabili delle norme di cui all'articolo 3;
(b) le classi dei requisiti di garanzia della sicurezza per la valutazione della vulnerabilità e le prove funzionali indipendenti, come stabilito nelle norme di valutazione di cui all'articolo 3;
(c) il livello di rischio associato all'uso previsto dei prodotti TIC in questione a norma dell'articolo 52 del regolamento (UE) 2019/881 e le loro funzioni di sicurezza a sostegno degli obiettivi di sicurezza di cui all'articolo 51 del medesimo regolamento;
(d) i documenti sullo stato dell'arte applicabili di cui all'allegato I; e
(e) i profili di protezione certificati applicabili di cui all'allegato II.
2. In casi eccezionali e debitamente giustificati, un organismo di valutazione della conformità può chiedere di non applicare il pertinente documento sullo stato dell'arte. In tali casi l'organismo di valutazione della conformità informa l'autorità nazionale di certificazione della cibersicurezza fornendo una giustificazione debitamente motivata della propria richiesta. L'autorità nazionale di certificazione della cibersicurezza valuta se l'eccezione sia giustificata e, in caso affermativo, la approva. In attesa della decisione dell'autorità nazionale di certificazione della cibersicurezza, l'organismo di valutazione della conformità non rilascia alcun certificato. L'autorità nazionale di certificazione della cibersicurezza notifica senza indebito ritardo l'eccezione approvata al gruppo europeo per la certificazione della cibersicurezza, che può formulare un parere. L'autorità nazionale di certificazione della cibersicurezza tiene nella massima considerazione il parere del gruppo europeo per la certificazione della cibersicurezza.
3. La certificazione dei prodotti TIC al livello AVA_VAN 4 o 5 è possibile solo negli scenari seguenti:
(a) se rientra in uno dei settori tecnici di cui all'allegato I, il prodotto TIC è valutato conformemente ai documenti sullo stato dell'arte applicabili di tali settori tecnici;
(b) se rientra in una categoria di prodotti TIC contemplati da un profilo di protezione certificato che comprende il livello AVA_VAN 4 o 5 e che figura nell'allegato II come profilo di protezione avanzato, il prodotto TIC è valutato conformemente alla metodologia di valutazione specificata per tale profilo di protezione;
(c) se le lettere a) e b) del presente paragrafo non sono applicabili e se l'inclusione di un settore tecnico nell'allegato I o di un profilo di protezione certificato nell'allegato II è improbabile nel prossimo futuro, e solo in casi eccezionali e debitamente giustificati, alle condizioni di cui al paragrafo 4.
4. Qualora ritenga di trovarsi di fronte a un caso eccezionale e debitamente giustificato di cui al paragrafo 3, lettera c), l'organismo di valutazione della conformità notifica la certificazione prevista all'autorità nazionale di certificazione della cibersicurezza fornendo una giustificazione e una proposta di metodologia di valutazione. L'autorità nazionale di certificazione della cibersicurezza valuta se l'eccezione sia giustificata e, in caso affermativo, approva o modifica la metodologia di valutazione che dovrà essere applicata dall'organismo di valutazione della conformità. In attesa della decisione dell'autorità nazionale di certificazione della cibersicurezza, l'organismo di valutazione della conformità non rilascia alcun certificato. L'autorità nazionale di certificazione della cibersicurezza segnala senza indebito ritardo la certificazione prevista al gruppo europeo per la certificazione della cibersicurezza, che può formulare un parere. L'autorità nazionale di certificazione della cibersicurezza tiene nella massima considerazione il parere del gruppo europeo per la certificazione della cibersicurezza.
5. Nel caso di un prodotto TIC sottoposto a una valutazione di prodotto composito conformemente ai pertinenti documenti sullo stato dell'arte, l'ITSEF che ha effettuato la valutazione del prodotto TIC sottostante condivide le informazioni pertinenti con l'ITSEF che effettua la valutazione del prodotto TIC composito.
Articolo 8 Informazioni necessarie per la certificazione
1. Il richiedente la certificazione nel quadro dell'EUCC fornisce o mette altrimenti a disposizione dell'organismo di certificazione e dell'ITSEF tutte le informazioni necessarie per le attività di certificazione.
2. Le informazioni di cui al paragrafo 1 comprendono tutti gli elementi di prova pertinenti in conformità delle sezioni relative alle «Azioni dello sviluppatore» nel formato appropriato, come indicato nelle sezioni «Contenuto e presentazione dell'elemento di prova» dei criteri comuni e della metodologia comune di valutazione per il livello di affidabilità selezionato e i requisiti di garanzia della sicurezza associati. Gli elementi di prova includono, se necessario, dettagli sul prodotto TIC e sul suo codice sorgente in conformità del presente regolamento, fatte salve le salvaguardie contro la divulgazione non autorizzata.
3. I richiedenti la certificazione possono fornire all'organismo di certificazione e all'ITSEF risultati della valutazione adeguati provenienti da una precedente certificazione a norma:
(a) del presente regolamento;
(b) di un altro sistema europeo di certificazione della cibersicurezza adottato a norma dell'articolo 49 del regolamento (UE) 2019/881;
(c) di un sistema nazionale di cui all'articolo 49 del presente regolamento.
4. Se i risultati della valutazione sono pertinenti ai suoi compiti, l'ITSEF può riutilizzarli, a condizione che siano conformi ai requisiti applicabili e che la loro autenticità sia confermata.
5. Se l'organismo di certificazione consente di sottoporre il prodotto a una certificazione di prodotto composito, il richiedente la certificazione mette a disposizione dell'organismo di certificazione e dell'ITSEF tutti gli elementi necessari, se del caso, in conformità del documento sullo stato dell'arte.
6. I richiedenti la certificazione forniscono inoltre all'organismo di certificazione e all'ITSEF le informazioni seguenti:
(a) il link al proprio sito web contenente le informazioni supplementari sulla cibersicurezza di cui all'articolo 55 del regolamento (UE) 2019/881;
(b) una descrizione delle procedure di gestione e divulgazione delle vulnerabilità del richiedente.
7. Tutta la documentazione pertinente di cui al presente articolo è conservata dall'organismo di certificazione, dall'ITSEF e dal richiedente per un periodo di cinque anni dopo la scadenza del certificato.
Articolo 9 Condizioni per il rilascio di un certificato EUCC
1. Gli organismi di certificazione rilasciano un certificato EUCC se sono soddisfatte tutte le condizioni seguenti:
(a) la categoria di prodotto TIC rientra nell'ambito di applicazione dell'accreditamento, ed eventualmente dell'autorizzazione, dell'organismo di certificazione e dell'ITSEF coinvolti nella certificazione;
(b) il richiedente la certificazione ha firmato una dichiarazione con cui si assume tutti gli impegni di cui al paragrafo 2;
(c) l'ITSEF ha concluso la valutazione senza obiezioni in conformità delle norme, dei criteri e dei metodi di valutazione di cui agli articoli 3 e 7;
(d) l'organismo di certificazione ha concluso il riesame dei risultati della valutazione senza obiezioni;
(e) l'organismo di certificazione ha verificato che le relazioni tecniche di valutazione fornite dall'ITSEF siano coerenti con gli elementi di prova forniti e che le norme, i criteri e i metodi di valutazione di cui agli articoli 3 e 7 siano stati applicati correttamente.
2. Il richiedente la certificazione si assume gli impegni seguenti:
(a) presentazione all'organismo di certificazione e all'ITSEF di tutte le informazioni necessarie, complete e corrette, e di ulteriori informazioni necessarie, se richiesto;
(b) astensione dalla promozione del prodotto TIC come certificato nel quadro dell'EUCC prima che il certificato EUCC sia stato rilasciato;
(c) promozione del prodotto TIC come certificato solo in relazione all'ambito di applicazione stabilito nel certificato EUCC;
(d) cessazione immediata della promozione del prodotto TIC come certificato in caso di sospensione, revoca o scadenza del certificato EUCC;
(e) garanzia che i prodotti TIC venduti facendo riferimento al certificato EUCC siano esattamente identici al prodotto TIC oggetto della certificazione;
(f) rispetto delle norme di utilizzo del marchio e dell'etichetta stabilite per il certificato EUCC in conformità dell'articolo 11.
3. Nel caso di un prodotto TIC sottoposto a una certificazione di prodotto composito conformemente ai pertinenti documenti sullo stato dell'arte, l'organismo di certificazione che ha effettuato la certificazione del prodotto TIC sottostante condivide le informazioni pertinenti con l'organismo di certificazione che effettua la certificazione del prodotto TIC composito.
Articolo 10 Contenuto e formato del certificato EUCC
1. Il certificato EUCC contiene almeno le informazioni di cui all'allegato VII.
2. Nel certificato EUCC o nella relazione di certificazione sono specificati in modo inequivocabile l'ambito e i limiti del prodotto TIC certificato, ed è indicato se la certificazione riguarda l'intero prodotto TIC o solo alcune sue parti.
3. L'organismo di certificazione fornisce al richiedente il certificato EUCC almeno in formato elettronico.
4. L'organismo di certificazione elabora una relazione di certificazione in conformità dell'allegato V per ciascun certificato EUCC rilasciato. La relazione di certificazione si basa sulla relazione tecnica di valutazione redatta dall'ITSEF. La relazione tecnica di valutazione e la relazione di certificazione indicano i criteri e i metodi di valutazione specifici di cui all'articolo 7 utilizzati per la valutazione.
5. L'organismo di certificazione fornisce all'autorità nazionale di certificazione della cibersicurezza e all'ENISA tutti i certificati EUCC e tutte le relazioni di certificazione in formato elettronico.
Articolo 11 Marchio ed etichetta
1. Il titolare di un certificato può apporre un marchio e un'etichetta su un prodotto TIC certificato. Il marchio e l'etichetta dimostrano che il prodotto TIC è stato certificato in conformità del presente regolamento. Essi sono apposti in conformità del presente articolo e dell'allegato IX.
2. Il marchio e l'etichetta sono apposti in modo visibile, leggibile e indelebile sul prodotto TIC certificato o sulla sua targhetta identificativa. Qualora ciò sia impossibile o difficilmente realizzabile a causa della natura del prodotto, essi sono apposti sull'imballaggio o sui documenti di accompagnamento. Se il prodotto TIC certificato è fornito sotto forma di software, il marchio e l'etichetta figurano in modo visibile, leggibile e indelebile sui documenti di accompagnamento, o tali documenti sono resi facilmente e direttamente accessibili agli utenti attraverso un sito web.
3. Il marchio e l'etichetta sono conformi al quanto disposto nell'allegato IX e contengono:
(a) il livello di affidabilità e il livello AVA_VAN del prodotto TIC certificato;
(b) l'identificatore unico del certificato, costituito dagli elementi seguenti:
(1) denominazione del sistema;
(2) denominazione e numero di riferimento dell'accreditamento dell'organismo di certificazione che ha rilasciato il certificato;
(3) anno e mese di rilascio;
(4) numero di identificazione assegnato dall'organismo di certificazione che ha rilasciato il certificato.
4. Il marchio e l'etichetta sono accompagnati da un codice QR con un link a un sito web contenente almeno:
(a) le informazioni sulla validità del certificato;
(b) le informazioni necessarie sulla certificazione, di cui agli allegati V e VII;
(c) le informazioni che il titolare del certificato deve rendere pubblicamente disponibili conformemente all'articolo 55 del regolamento (UE) 2019/881; nonché
(d) se del caso, le informazioni storiche relative alla certificazione o alle certificazioni specifiche del prodotto TIC per consentire la tracciabilità.
Articolo 12 Periodo di validità del certificato EUC
1. L'organismo di certificazione stabilisce un periodo di validità per ciascun certificato EUCC rilasciato tenendo conto delle caratteristiche del prodotto TIC certificato.
2. Il periodo di validità del certificato EUCC non supera i cinque anni.
3. In deroga al paragrafo 2 tale periodo può superare i cinque anni, previa approvazione da parte dell'autorità nazionale di certificazione della cibersicurezza. L'autorità nazionale di certificazione della cibersicurezza notifica al gruppo europeo per la certificazione della cibersicurezza l'approvazione concessa senza indebito ritardo.
Articolo 13 Riesame del certificato EUCC
1. Su richiesta del titolare del certificato o per altri motivi giustificati, l'organismo di certificazione può decidere di riesaminare il certificato EUCC per un prodotto TIC. Il riesame è effettuato conformemente all'allegato IV. L'organismo di certificazione determina la portata del riesame. Se necessario per il riesame, l'organismo di certificazione chiede all'ITSEF di effettuare una nuova valutazione del prodotto TIC certificato.
2. A seguito dei risultati del riesame e, se del caso, della nuova valutazione, l'organismo di certificazione:
(a) conferma il certificato EUCC;
(b) revoca il certificato EUCC in conformità dell'articolo 14;
(c) revoca il certificato EUCC in conformità dell'articolo 14 e rilascia un nuovo certificato EUCC con un ambito di applicazione identico e un periodo di validità prorogato; oppure
(d) revoca il certificato EUCC in conformità dell'articolo 14 e rilascia un nuovo certificato EUCC con un ambito di applicazione diverso.
3. L'organismo di certificazione può decidere di sospendere, senza indebito ritardo, il certificato EUCC in conformità dell'articolo 30, in attesa di una misura correttiva da parte del titolare del certificato EUCC.
Articolo 14 Revoca del certificato EUCC
1. Fatto salvo l'articolo 58, paragrafo 8, lettera e), del regolamento (UE) 2019/881, un certificato EUCC è revocato dall'organismo di certificazione che lo ha rilasciato.
2. L'organismo di certificazione di cui al paragrafo 1 notifica la revoca del certificato all'autorità nazionale di certificazione della cibersicurezza. Tale notifica è trasmessa anche all'ENISA al fine di facilitare l'esecuzione dei suoi compiti a norma dell'articolo 50 del regolamento (UE) 2019/881. L'autorità nazionale di certificazione della cibersicurezza informa le altre autorità di vigilanza del mercato competenti.
3. Il titolare di un certificato EUCC può richiedere la revoca del certificato.
[...]
ALLEGATO VII Contenuto del certificato EUCC
Il certificato EUCC deve contenere almeno i seguenti elementi:
(a) identificatore unico stabilito dall'organismo di certificazione che rilascia il certificato;
(b) informazioni relative al prodotto TIC o al profilo di protezione certificato e al titolare del certificato, tra cui:
(1) nome del prodotto TIC o del profilo di protezione e, se del caso, dell'oggetto della valutazione;
(2) tipo del prodotto TIC o del profilo di protezione e, se del caso, dell'oggetto della valutazione;
(3) versione del prodotto TIC o del profilo di protezione;
(4) nome, indirizzo e informazioni di contatto del titolare del certificato;
(5) link al sito web del titolare del certificato contenente le informazioni supplementari sulla cibersicurezza di cui all'articolo 55 del regolamento (UE) 2019/881;
(c) informazioni relative alla valutazione e alla certificazione del prodotto TIC o del profilo di protezione, tra cui:
(1) nome, indirizzo e informazioni di contatto dell'organismo di certificazione che ha rilasciato il certificato;
(2) se differente dall'organismo di certificazione, nome dell'ITSEF che ha effettuato la valutazione;
(3) nome dell'autorità nazionale di certificazione della cibersicurezza responsabile;
(4) riferimento al presente regolamento;
(5) riferimento alla relazione di certificazione associata al certificato di cui all'allegato V;
(6) livello di affidabilità applicabile in conformità dell'articolo 4;
(7) riferimento alla versione delle norme utilizzate per la valutazione di cui all'articolo 3;
(8) identificazione del livello o del pacchetto di affidabilità specificato nelle norme di cui all'articolo 3 e in conformità dell'allegato VIII, compresi i componenti dell'affidabilità utilizzati e il livello AVA_VAN coperto;
(9) se del caso, riferimento a uno o più profili di protezione che il prodotto TIC o il profilo di protezione rispettano;
(10) data di rilascio;
(11) periodo di validità del certificato;
(d) il marchio e l'etichetta associati al certificato in conformità dell'articolo 11.
ALLEGATO VIII Dichiarazione del pacchetto di affidabilità
1. Contrariamente alle definizioni di cui ai criteri comuni, un incremento:
(a) non è identificato con l'abbreviazione «+»;
(b) è indicato in dettaglio con un elenco di tutti i componenti interessati;
(c) è descritto dettagliatamente nella relazione di certificazione.
2. Il livello di affidabilità confermato in un certificato EUCC può essere integrato dal livello di garanzia della valutazione di cui all'articolo 3 del presente regolamento.
3. Se il livello di affidabilità confermato in un certificato EUCC non si riferisce a un incremento, il certificato EUCC indica uno dei pacchetti seguenti:
(a) «il pacchetto di affidabilità specifico»;
(b) «il pacchetto di affidabilità conforme a un profilo di protezione» nel caso in cui si faccia riferimento a un profilo di protezione senza un livello di garanzia della valutazione.
ALLEGATO IX Marchio ed etichetta
1. Formato del marchio e dell'etichetta
2. In caso di riduzione o di ingrandimento del marchio e dell'etichetta, sono rispettate le proporzioni indicate nel disegno sopra riportato.
3. Se fisicamente presenti, il marchio e l'etichetta hanno un'altezza minima di 5 mm.
...
Collegati