Il Cybersecurity Act (Regolamento UE 2019/881) ha due obiettivi: rafforzare il mandato dell'ENISA (Agenzia dell'UE per la Cybersicurezza) e creare un framework europeo di certificazione per prodotti, servizi e processi ICT. Per le aziende NIS2, comprendere questo framework puo offrire vantaggi significativi nella dimostrazione della compliance.
Gli schemi di certificazione EUCC
Il primo schema adottato e l'EUCC (EU Common Criteria), basato sullo standard internazionale Common Criteria (ISO 15408). Certificare un prodotto secondo l'EUCC significa che la sua sicurezza e stata valutata da un organismo accreditato. Per le aziende NIS2, scegliere prodotti certificati EUCC e un elemento positivo in caso di ispezione ACN.
Il ruolo dell'ENISA
L'ENISA supporta gli Stati membri nell'implementazione della NIS2, pubblica linee guida, analisi delle minacce e raccomandazioni. Il suo Threat Landscape annuale e una lettura obbligatoria per chi si occupa di cybersecurity. Per le aziende italiane, le pubblicazioni ENISA integrano le linee guida dell'ACN.
Certificazione volontaria vs obbligatoria
Al momento, la certificazione e volontaria. Ma la NIS2 e il CRA prevedono che in futuro certi prodotti o servizi possano richiedere certificazione obbligatoria, specialmente nei settori critici. Anticipare questo trend certificando i propri prodotti o richiedendo certificazioni ai fornitori e una mossa strategica.