Accredia presenta le procedure e i riferimenti normativi per gli organismi di certificazione di prodotti ICT, come prodotti e componenti hardware e software, completando un percorso armonizzato di conformità per la cybersicurezza in Europa.
Con la Circolare tecnica DC N° 32/2025, Accredia definisce il percorso di accreditamento per lo schema di certificazione EUCC, a fronte del Regolamento di esecuzione UE 2024/482 sulla cybersicurezza di hardware, software, tecnologie e servizi ICT.
Accredia e l’Agenzia per la Cybersicurezza Nazionale (ACN) collaborano per dare attuazione in Italia al Cybersecurity Act: l’Organismo di Certificazione della Sicurezza Informatica (OCSI) dell’ACN ha ottenuto infatti l’accreditamento per rilasciare i certificati europei EUCC, a conferma della piena operatività del sistema a livello nazionale.
Uno schema di certificazione europeo
L’accreditamento degli organismi di certificazione per lo schema EUCC si basa su standard internazionali riconosciuti e su un framework europeo definito dal Cybersecurity Act (Regolamento UE 2019/881), in vigore dal 27 giugno 2019, che stabilisce il percorso di certificazione dei prodotti ICT in accordo a quello che è il primo schema europeo in materia di cybersicurezza che si fonda su regole condivise a livello comunitario.
Lo schema EUCC, in particolare, si struttura sulla serie di norme tecniche ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation) che definisce criteri comuni, requisiti per i laboratori e livelli di garanzia (Evaluation Assurance Levels – EAL) che attestano la qualità delle valutazioni.
Gli organismi di certificazione dispongono così di un quadro strutturato per qualificarsi secondo i requisiti europei, garantendo uniformità di applicazione in tutta l’Unione europea.
Il valore del percorso accreditato
Il Cybersecurity Act (Regolamento UE 2019/881) stabilisce che i prodotti ICT vengano classificati secondo tre livelli di garanzia:
- Elevato
- Sostanziale
- Di base.
Per il livello di affidabilità “Elevato”, la certificazione spetta esclusivamente alla NCCA (National Cybersecurity Certification Authority) il cui ruolo in Italia è svolto da ACN attraverso l’OCSI (Organismo di Certificazione della Sicurezza Informatica).
E’ certificabile anche il livello “Sostanziale” dei prodotti, la cui conformità può essere attestata da organismi accreditati dall’Ente designato ai sensi del Regolamento CE 765/2008 (Accredia in Italia).
L’accreditamento per certificare i prodotti ICT in accordo allo schema EUCC significa dunque garantire alle imprese un percorso riconosciuto e affidabile sul piano internazionale, per essere competitive sul mercato assicurando la protezione dei consumatori.
Anche OCSI ha scelto questo percorso, ottenendo l’accreditamento Accredia secondo la norma UNI CEI EN ISO/IEC 17065.
Il ruolo strategico dei laboratori di prova
Tre gli attori chiave del nuovo percorso:
- gli organismi di certificazione, accreditati secondo la UNI CEI EN ISO/IEC 17065 e nel rispetto dei requisiti del Regolamento di Esecuzione UE 2024/482 e del Regolamento UE 2019/881
- i laboratori di prova di cui si avvalgono gli organismi, accreditati secondo la UNI CEI EN ISO/IEC 17025 nel rispetto degli stessi Regolamenti
- ACN, che in Italia ricopre il ruolo di autorità notificante e la cui autorizzazione è necessaria per il rilascio dei certificati.
In particolare, i laboratori di prova (ITSEF – Information Technology Security Evaluation Facility) hanno un ruolo decisivo per garantire la qualità e la solidità del sistema, poiché realizzano il rapporto tecnico di valutazione (ETR – Evaluation Technical Report) sui prodotti ICT, preliminare alla certificazione accreditata.
La conformità al Cyber Resilience Act
La certificazione secondo lo schema EUCC assume un valore strategico nel quadro del Cyber Resilience Act – CRA (Regolamento EU 2024/2847).
I prodotti certificati, infatti, possono beneficiare della presunzione di conformità ai requisiti essenziali di cybersicurezza previsti dal Regolamento: la certificazione accreditata diventa così uno strumento che semplifica la compliance normativa, riducendo tempi e costi per i fabbricanti, integrando schema EUCC e CRA.
L’iter di accreditamento degli organismi
Gli organismi affronterà un diverso numero di giornate di verifica secondo tre casistiche:
Organismo già accreditato secondo la UNI CEI EN ISO/IEC 17065:2012
- 1 giornata di esame documentale
- mezza giornata di verifica in accompagnamento simulata (ricostruzione del processo di valutazione).
Organismo accreditato per schemi diversi dalla UNI CEI EN ISO/IEC 17065:2012
- 1 giornata di esame documentale
- 3 giornate di verifica ispettiva in sede
- mezza giornata di verifica in accompagnamento simulata che può essere accorpata alla verifica in sede.
Organismo non accreditato in nessuno schema
- 1 giornata di esame documentale da svolgersi, se possibile, in parte in modalità sincrona da remoto
- 4 giornate di verifica ispettiva in sede
- mezza giornata di verifica in accompagnamento simulata che può essere accorpata alla verifica in sede.
Per il mantenimento dell’accreditamento, Accredia condurrà ogni anno 1 verifica in sede.