Salta al contenuto principale
 
Progetto
Study on “ICT Security Certification and labelling. Evidence gathering and impact assessment”
Concluso
Committenza
Commissione Europea (DG Connect)
Partner
PricewaterhouseCoopers (PWC)
Obiettivi

Raccolta di evidenze ed esecuzione di analisi d’impatto relativamente allo stato attuale della certificazione della sicurezza ICT in Europa e alle prevedibili evoluzioni nel caso di interventi di vario tipo da parte della Commissione europea.

Impatto

Lo studio ha fornito gli elementi necessari alla Commissione europea per decidere il tipo di intervento che è più utile adottare al fine di rendere possibile l’esecuzione di certificazioni nel settore della cybersecurity caratterizzate da favorevole rapporto costi/benefici e validità in tutti gli stati membri dell’Unione europea. Quest’ultima caratteristica permetterà ai fornitori di prodotti ICT destinati a vari paesi europei di sostenere il costo di un’unica certificazione.

Descrizione

Lo studio trae origine dalle Commission Better Regulation Guidelines che forniscono criteri miranti a migliorare le normative adottate dalla Commissione europea. Tali criteri stabiliscono che, prima dell’eventuale adozione di una specifica normativa, debba essere eseguita un’analisi d’impatto che, considerando i suoi effetti a distanza di alcuni anni dall’entrata in vigore, valuti il rapporto costi/benefici delle misure da essa previste e lo confronti con quelli di misure alternative che comunque siano in grado di migliorare la situazione attuale. I suddetti criteri prescrivono che debba anche essere valutato il rapporto costi/benefici qualora non venisse adottato nessun intervento da parte della Commissione, in modo tale da evidenziare la tendenza evolutiva spontanea della situazione attuale, che potrebbe rimanere sostanzialmente invariata a distanza di alcuni anni, oppure peggiorare o migliorare. Nell’ambito dello studio sono state ipotizzati tre possibili interventi da parte della Commissione europea. Il primo, di tipo non normativo, basato su varie forme di facilitazione di certificazioni della sicurezza ICT riconosciute in tutta l’Unione europea, quali ad esempio stimoli da parte della Commissione europea a sviluppare linee guida, metodologie o forme di autoregolamentazione o co-regolamentazione per la certificazione in specifici contesti. Gli altri due interventi ipotizzati sono stati invece di tipo normativo e di complessità alquanto diversa. Il primo infatti è stato definito in modo da prevedere esclusivamente la partecipazione obbligatoria di tutti gli stati membri agli attuali accordi di mutuo riconoscimento delle certificazioni. Il secondo, invece, è stato concepito come un intervento molto più articolato basato sulla creazione di un vero e proprio framework europeo nel quale è possibile includere una pluralità di schemi di certificazione che si differenziano per la tipologia di oggetto da certificare ma che sono accomunati dal riconoscimento delle certificazioni in tutti gli stati dell’Unione europea.

Competenze