Glossario · Certificazione di cybersicurezza UE EUCC (Schema europeo di certificazione della cybersicurezza basato sui Common Criteria)
Il primo schema di certificazione della cybersicurezza a livello UE adottato nell'ambito del Cybersecurity Act. Adottato con il regolamento di esecuzione della Commissione 2024/482 nel febbraio 2024. Si applica ai prodotti ICT (hardware, software, componenti) ed è basato sullo standard internazionale Common Criteria, con livelli di affidabilità specifici per l'UE.
## Cosa è davvero l'EUCC
EUCC è lo **Schema europeo di certificazione della cybersicurezza basato sui Common Criteria**. È il primo schema di certificazione della cybersicurezza adottato a livello UE nel quadro stabilito dal Cybersecurity Act dell'UE (Regolamento 2019/881).
EUCC è stato adottato nel **febbraio 2024** con il Regolamento di esecuzione della Commissione 2024/482, dopo diversi anni di lavoro preparatorio guidato da [ENISA](/it/glossary/enisa/). Copre i prodotti ICT — hardware, software e componenti — ed è basato sullo standard internazionale Common Criteria (ISO/IEC 15408), che dagli anni Novanta è la base globale per la certificazione di cybersicurezza a livello di prodotto.
È importante sottolineare che EUCC **non è** lo stesso che [EUCS](/it/glossary/eucs/). EUCC riguarda i prodotti. EUCS è lo schema proposto (e contestato) per i servizi cloud. I due sono regolamenti gemelli che affrontano categorie diverse.
## Perché EUCC è importante
Prima di EUCC, la certificazione di cybersicurezza dei prodotti ICT in Europa era frammentata in schemi nazionali. La Francia aveva la CSPN (rilasciata da ANSSI). La Germania aveva la certificazione Common Criteria del BSI. Paesi Bassi, Italia, Spagna e i paesi nordici avevano le loro varianti. Un prodotto certificato in un paese non era automaticamente riconosciuto in un altro, anche quando entrambe le certificazioni si basavano sui Common Criteria.
EUCC colma questo divario creando un'unica certificazione a livello UE con riconoscimento reciproco in tutti gli Stati membri. Un dispositivo certificato al livello di affidabilità EUCC 'elevato' in Germania ha ora lo stesso valore legale in Francia, in Italia e in tutta l'UE.
## Cosa certifica EUCC
EUCC certifica i *Target of Evaluation* — tipicamente:
- **Hardware security module (HSM)** — per la gestione delle chiavi crittografiche
- **Smart card e secure element** — carte di pagamento, chip eID, SIM
- **Sistemi embedded** — per IoT, controllo industriale, automotive
- **Kernel di sistemi operativi e componenti critici per la sicurezza**
- **Apparecchiature di rete** — firewall, appliance di cifratura
- **Prodotti PKI / autorità di certificazione**
L'ambito della certificazione è il prodotto reale rispetto a un insieme definito di requisiti funzionali di sicurezza e a un livello di affidabilità.
## Livelli di affidabilità EUCC
EUCC definisce due livelli di affidabilità superiori alla soglia 'di base' del Cybersecurity Act:
### Sostanziale
Equivalente ai Common Criteria EAL 1 - EAL 4. Include la valutazione delle vulnerabilità basata su minacce pubblicamente note, test di penetrazione di base e requisiti di documentazione standard. Adatto a prodotti di sicurezza di uso generale.
### Elevato
Equivalente ai Common Criteria EAL 5 - EAL 7. Include valutazioni avanzate delle vulnerabilità, test di penetrazione sofisticati contro minacce di livello statale, modellazione formale della sicurezza per le funzioni critiche e una revisione approfondita della documentazione di progettazione. Richiesto per prodotti che gestiscono sicurezza nazionale, infrastrutture critiche o transazioni finanziarie rilevanti.
Entrambi i livelli di affidabilità prevedono una valutazione in laboratorio da parte di un organismo di valutazione della conformità accreditato. Le certificazioni al livello 'elevato' richiedono in aggiunta la supervisione dell'autorità nazionale di certificazione (NCA) — il che significa che l'agenzia nazionale di cybersicurezza (ANSSI in Francia, BSI in Germania) valida direttamente la valutazione.
## Come EUCC si rapporta agli schemi esistenti
EUCC sussume e sostituisce esplicitamente gli schemi nazionali esistenti basati sui Common Criteria:
| Schema pre-EUCC | Paese | Stato sotto EUCC |
|------------------|---------|---------------------|
| CSPN | Francia (ANSSI) | Resta attivo per ora; sovrapposizione con EUCC 'sostanziale' |
| BSI Common Criteria | Germania | Certificazioni EUCC pienamente riconosciute |
| OCSI | Italia | EUCC pienamente integrato |
| CCN | Spagna | Certificazioni EUCC riconosciute |
| NSCIB | Paesi Bassi | EUCC pienamente integrato |
Gli schemi nazionali continuano a esistere durante un periodo di transizione. Alla fine saranno o assorbiti in EUCC o mantenuti per casi d'uso molto specifici (ad esempio prodotti a classificazione nazionale).
## Obbligatorio vs volontario
Nel quadro del Cybersecurity Act, le certificazioni di cybersicurezza UE sono per impostazione predefinita *volontarie*. I fornitori possono certificare i propri prodotti per ottenere un vantaggio commerciale, ma non sono obbligati a farlo.
Gli Stati membri possono tuttavia rendere la certificazione EUCC *obbligatoria* per specifiche categorie di prodotti tramite norme nazionali. Diversi lo stanno facendo:
- **Francia**: ANSSI sta rendendo EUCC di fatto obbligatoria per i prodotti destinati ad appalti pubblici e operatori di servizi essenziali
- **Germania**: BSI sta integrando la certificazione EUCC nella regolamentazione delle infrastrutture critiche
- **Estonia, Finlandia, Paesi Bassi**: stanno allineando i quadri nazionali degli appalti verso la preferenza per EUCC
Il [Cyber Resilience Act](/it/glossary/cyber-resilience-act/), che impone requisiti di cybersicurezza a livello di prodotto in tutta l'UE, riconosce EUCC come percorso di valutazione di conformità. I prodotti con certificazione EUCC beneficiano di una presunzione di conformità ai sensi del CRA. Questa è la principale leva di adozione.
## EUCC e i fornitori con sede negli Stati Uniti
A differenza di [SecNumCloud](/it/glossary/secnumcloud/) e dei contestati criteri di sovranità dell'EUCS, EUCC non impone requisiti di struttura societaria o di giurisdizione al *fornitore*. Un produttore hardware con sede negli Stati Uniti può ottenere la certificazione EUCC per un prodotto progettato e fabbricato in conformità allo standard.
Ciò che EUCC richiede è che la *valutazione* sia eseguita da un laboratorio accreditato con sede nell'UE sotto supervisione UE. Il prodotto può essere fabbricato ovunque; la valutazione deve avvenire all'interno del perimetro regolatorio dell'Unione.
Questo è coerente con la tradizione dei Common Criteria — riconosciuti a livello globale, valutati a livello locale.
## Cosa significa EUCC nella pratica
### Per i produttori di prodotti ICT
Se vendete moduli di sicurezza hardware, smart card, sistemi embedded sicuri o appliance di sicurezza di rete sul mercato UE, la certificazione EUCC sta diventando un'aspettativa di base anziché un elemento di differenziazione. Gli acquirenti del settore pubblico e dei settori regolamentati non accetteranno sempre più prodotti non certificati EUCC per i casi d'uso sensibili.
### Per gli acquirenti europei
La certificazione EUCC è una prova significativa della sicurezza di un prodotto. Un prodotto con certificazione EUCC 'elevato' ha superato la valutazione di un laboratorio accreditato UE sotto supervisione dell'autorità nazionale di cybersicurezza. È sostanzialmente diverso dalle dichiarazioni di sicurezza autocertificate.
### Per i fornitori statunitensi e globali
La partecipazione a EUCC richiede investimento — tipicamente da 200.000 a 500.000 euro per una certificazione di livello 'sostanziale' di un prodotto di moderata complessità; molto di più per il livello 'elevato'. Questa barriera è intenzionale. I fornitori disposti a investire nella certificazione EUCC segnalano un impegno serio verso i mercati UE.
### Per i ricercatori di cybersicurezza
I report di certificazione EUCC pubblicati diventano documentazione pubblica di alta qualità sulle caratteristiche di sicurezza dei prodotti. I report sono ricercabili attraverso il database di certificazioni di ENISA.
## Cosa porteranno il 2026 e il 2027
- **Più prodotti certificati al livello EUCC 'elevato'** man mano che lo schema matura
- **Finalizzazione di EUCS** — lo schema gemello per i servizi cloud, ancora politicamente contestato sui criteri di sovranità
- **Schema UE di certificazione 5G** sul modello di EUCC, probabilmente nel 2027
- **Certificazione UE per l'IA** in discussione come possibile terzo schema a livello UE
- **Negoziati di riconoscimento reciproco** con regimi di certificazione extra-UE (in particolare FIPS statunitense e i nascenti schemi britannici)
## Implicazioni pratiche
- **Per le imprese europee che scelgono prodotti ICT**: la certificazione EUCC è significativa e sempre più rilevante negli appalti
- **Per i produttori ICT europei**: l'investimento nella certificazione sta diventando necessario per un posizionamento serio nel settore pubblico UE
- **Per i produttori statunitensi/globali**: la partecipazione a EUCC è la via di accesso al settore pubblico UE per i prodotti critici per la sicurezza
- **Per i regolatori UE**: EUCC è la base; ci si aspettano schemi paralleli per il cloud (EUCS), il 5G, l'IA e altri ambiti tecnologici
EUCC stabilisce il precedente per una certificazione di cybersicurezza a livello UE che funzioni oltre i confini senza pregiudicare la sovranità. EUCS — per il cloud — pone la stessa domanda con risposte molto più politicamente contestate.
Ti è stato utile?
Grazie per il tuo feedback!