ICT services, Supply Chain, Emergency Management – Scopri di più sul blog di Beta 80

Common Criteria: cosa cambierà per le infrastrutture critiche

Scritto da EMERGENCY & CRISIS MANAGEMENT | 29 gennaio 2024

La cybersecurity riveste un'importanza sempre crescente per le infrastrutture critiche, per le quali il Governo ha definito il PSCN – Perimetro di Sicurezza Cibernetica Nazionale. Di queste fanno parte gli enti e le agenzie da cui dipende l'esercizio di una funzione strategica essenziale, quali, ad esempio, l’interno, la difesa o l’energia. I sistemi informatici utilizzati da tali enti sono articolati e interconnessi, e vanno preservati con i più alti standard di sicurezza oggi disponibili. Tali sistemi, se compromessi, possono causare danni all’organizzazione che eroga il servizio, alla cittadinanza e alle imprese. Infatti, una ricerca dell’Osservatorio Digital Innovation del Politecnico di Milano evidenzia come tra i fattori che aumentano il rischio di attacchi cyber alle aziende, ci sia la partecipazione di queste a una filiera in cui siano presenti infrastrutture critiche. In questo contesto si collocano i Common Criteria, che per le infrastrutture critiche rappresentano lo standard di sicurezza più elevato oggi esistente.

Common Criteria: di cosa si tratta

Nell’ambito delle piattaforme informatiche hardware e software disponibili sul mercato, i Common Criteria sono lo standard internazionale per valutare e certificare la sicurezza e l'affidabilità delle soluzioni fornite. I Common Criteria si compongono, quindi, di una serie di linee guida, criteri e metodologie da seguire affinché un prodotto possa essere dichiarato conforme a uno o più specifici requisiti di sicurezza. Tale struttura è stata sviluppata per fornire un approccio condiviso e uniforme a livello mondiale per valutare la sicurezza dei sistemi IT. Ciò significa che i Paesi che aderiscono ai Common Criteria possono garantire alle proprie infrastrutture critiche elevati livelli di sicurezza per ciò che riguarda la protezione dei dati, ovvero la gestione dell'accesso, la riservatezza, l'integrità e altri aspetti critici relativi alla sicurezza delle informazioni.

Il framework dei Common Criteria si compone di 3 pillar:

  1. Protection Profile (PP). È la specifica tecnica che identifica e descrive i requisiti di sicurezza di un particolare prodotto o sistema informatico. Questi requisiti possono includere, ad esempio, criteri di autenticazione, controllo degli accessi, protezione dei dati, gestione delle chiavi di protezione, resistenza alle minacce, ecc.

  2. Evaluation Assurance Level (EAL). Definisce quanto accuratamente viene testato il prodotto. Gli EAL variano da 1 a 7, dove 1 rappresenta il livello di valutazione più basso e 7 il livello di valutazione più elevato. Una valutazione di livello superiore non significa che il prodotto abbia un livello di sicurezza più elevato, ma solo che il prodotto ha superato più test.

  3. Target of Evaluation (TOE). È il prodotto o sistema specifico che è oggetto di valutazione e certificazione. Il TOE può essere qualsiasi elemento del sistema (come un'applicazione software, un dispositivo hardware, un sistema operativo, etc.) che sia soggetto a valutazione.

Common Criteria: come cambia il mercato

La diffusione di uno standard internazionale, per un tema critico come la cybersecurity, offe notevoli garanzie per la protezione delle infrastrutture critiche. Basti pensare, ad esempio, alla possibilità di valutare prodotti e soluzioni con lo stesso metro di misura in tutto il mondo, oppure alla maggiore interoperabilità tra diversi sistemi e prodotti che adottano linee guida comuni. Parallelamente, per le aziende fornitrici, la certificazione Common Criteria può portare diversi benefici tangibili:

  • Accesso al mercato PA. Molte organizzazioni governative richiedono che le piattaforme siano conformi agli standard Common Criteria. Essere certificati può facilitare l'accesso a questi mercati, poiché la certificazione è sempre più spesso un requisito per partecipare a gare d'appalto pubbliche o per essere considerati come fornitori idonei.

  • Miglioramento della reputazione. Ottenere la certificazione Common Criteria può aumentare la fiducia dei clienti verso il fornitore, il quale dimostra un impegno per la sicurezza e la qualità del prodotto.

  • Riconoscimento a livello internazionale. Common Criteria è un framework riconosciuto globalmente per valutare e certificare la sicurezza dei prodotti IT. La certificazione secondo questo standard può rendere il software più accettabile a livello internazionale, creando maggiori opportunità di business.

  • Software più robusto. La rigorosità degli standard Common Criteria richiede che il software sviluppato sia particolarmente solido. Ciò rappresenta un vantaggio sia per il cliente che per il fornitore.

  • Competitività. Il prodotto certificato Common Criteria ha un vantaggio competitivo significativo rispetto alla concorrenza, specialmente in settori in cui la sicurezza è fondamentale.



Un’azienda che si impegna in un percorso di certificazione Common Criteria sta compiendo una scelta strategica, in quanto si tratta di un’attività strutturata in cui intervengono diverse componenti aziendali. La certificazione, pertanto, non può essere considerata come un’iniziativa una tantum, ma piuttosto come un processo strutturato e continuativo, che deve tener conto di diversi fattori:

  • Organizzazione. È fondamentale costituire un team altamente specializzato e competente nel dominio della sicurezza informatica. Il team dovrebbe essere responsabile della gestione del processo di certificazione e della preparazione della documentazione richiesta.

  • Tempi. Il percorso per ottenere la certificazione Common Criteria richiede, di solito, tra i 12 e i 18 mesi per completare tutto il processo.

  • Formazione. Le persone coinvolte nel processo devono acquisire competenze specifiche e approfondite in materia di sicurezza informatica e Common Criteria.

  • Tempi di risposta dei laboratori. La collaborazione con i laboratori che eseguono le valutazioni è essenziale. Tuttavia, i tempi di risposta dei laboratori possono variare e devono essere presi in considerazione nella pianificazione complessiva.

  • Release del prodotto e iter di certificazione. È importante pianificare attentamente le release dei prodotti in modo da integrare i requisiti di sicurezza necessari sin dall'inizio. Inoltre, è cruciale considerare che modifiche significative al prodotto potrebbero richiedere un nuovo iter di certificazione.

La costante evoluzione della tecnologia reca con sé il rischio di esporsi a nuove minacce per la sicurezza informatica. In un ecosistema digitale in rapido cambiamento, i decision-maker delle Istituzioni e delle imprese devono anticipare le sfide della cybersecurity. Ciò significa investire in modo strutturale per creare, tra le altre cose, team dedicati e processi stabili che mantengano alto il livello di protezione delle informazioni sensibili. In tale contesto, i Common Criteria si pongono come una risorsa preziosa che consente a Istituzioni, enti e imprese di tutto il mondo di scegliere o fornire piattaforme hardware e software testate contro tutti i rischi conosciuti. In una società sempre più interconnessa, ciò costituisce una base certa su cui costruire, da un lato, una comunità più sicura e, dall’altro uno sviluppo del business più solido.