L’etichetta, si legge sul sito, “permetterà alle aziende di entrare in una lista di fornitori di alta qualità e garantirà loro riconoscibilità verso clienti, partner commerciali e potenziali investitori”.
Il servizio è già attivo e si rivolge alle aziende che hanno la sede legale e il loro mercato principale sul territorio europeo e in Gran Bretagna.
Per ottenere il bollino “Cybersecurity Made in Europe Label” i requisiti per le aziende interessate a riceverlo sono i seguenti:
- avere sede in Europa;
- fornire una ragionevole garanzia che non vi siano responsabilità o autorità extraeuropee coinvolte;
- lavorare principalmente in Europa e dimostrare di avere più del 50% delle attività di ricerca e sviluppo e del personale situati nei 27 paesi UE e nel Regno Unito;
- fornire prodotti e servizi di sicurezza informatica affidabili secondo i requisiti di sicurezza di base fondamentali dell’ENISA per l’acquisizione di prodotti e servizi ICT sicuri.
Quest’ultimo punto è assai importante. In base a tali requisiti ogni fornitore di cybersecurity che vuole l’etichetta di qualità deve:
- progettare i propri prodotti secondo le pratiche di sicurezza più diffuse;
- garantire la genuinità e l’integrità del prodotto per tutto il suo ciclo di vita;
- predisporre una documentazione comprensiva e comprensibile della progettazione del prodotto che descriva architettura, funzionalità e protocolli della sua realizzazione a livello hardware e software;
- dimostrare di avere scelto un approccio gestionale fondato sulla security by design;
- garantire supporto per tutto il ciclo di vita del prodotto;
- porre i contratti sotto le leggi e la giurisdizione europei;
- dichiarare, giustificare e documentare il contesto, lo scopo e il trattamento dei dati effettuati.
Inoltre ogni prodotto deve essere progettato secondo la logica del least privilege principle, per cui un processo, un utente o un programma, deve poter accedere solo alle informazioni e alle risorse necessarie per il suo scopo legittimo. In aggiunta deve supportare l’autenticazione forte e fornire un adeguato livello di protezione sia nella trasmissione che nella memorizzazione di informazioni critiche. Per finire, l’azienda deve dichiarare di aderire al Regolamento generale sulla protezione dei dati (GDPR).
Il costo per la registrazione del marchio è di 600 euro e il Label ha una validità di 12 mesi.
Al progetto partecipano sia il Consiglio nazionale delle ricerche (Cnr-Iit), che il Consorzio interuniversitario nazionale per l’informatica (Cini) e il Consorzio nazionale interuniversitario per le telecomunicazioni (Cnit), cioè i tre componenti del Comitato nazionale per la ricerca in cybersecurity il cui scopo statutario è quello di progettare un ecosistema nazionale che possa essere più resiliente agli attacchi cyber. Forse c’è da fidarsi.