Conferenza europea sulla certificazione di cibersicurezza, 15 aprile 2026

Il 15 aprile 2026 ENISA ha tenuto la sua Conferenza europea sulla certificazione di cibersicurezza ad Ayia Napa, Cipro, co-organizzata con la Presidenza cipriota e la Commissione europea. Una giornata, formato ibrido, sei sessioni: EUCC nel primo anno di operatività, la proposta CSA2 e il suo rinnovato European Cybersecurity Certification Framework (ECCF), il ruolo della certificazione nell'ambito del CRA, un nuovo percorso NIS2 attraverso lo schema di cyber posture, lo schema EU Digital Identity Wallet ora in consultazione pubblica e lo schema EU Managed Security Services (MSS) alla bozza v4.

La preoccupazione della platea che ha dominato la giornata, a giudicare dai voti ricevuti sul Q&A online, non riguardava un singolo schema. Riguardava la possibilità o l'opportunità di usare i risultati della certificazione per dedurre la conformità NIS2, dato che la vigilanza NIS2 ricade su autorità diverse. Cinque delle sette domande più votate ruotavano intorno a questa tensione. La trattiamo in una sezione dedicata più sotto.

Quello che segue è un resoconto strutturato di ciò che è stato effettivamente detto, con l'attribuzione ai relatori mantenuta dove programma e trascrizioni concordano.

Sintesi

• CSA2 è un regolamento proposto che rivede il Quadro europeo di certificazione della cibersicurezza e modifica la direttiva NIS2. Lunghezza della bozza: 271 pagine, secondo i panellisti.
• ECCF sostituisce l'attuale quadro di certificazione con disposizioni modello, meccanismi di manutenzione formalizzati e una tempistica di riferimento di 12 mesi per lo sviluppo di schemi candidati.
• Numeri EUCC in tempo reale (Juhan Lepassaar, direttore esecutivo, ENISA): 29 certificati emessi, 28 organismi di valutazione della conformità nell'UE, l'Europa pesa per oltre il 60% dei circa 350 certificati Common Criteria globali emessi ogni anno e tutti i certificati CC dell'UE sono al livello CC-1 da febbraio 2026.
• Infrastruttura di conformità CRA: è il traguardo di attuazione del CRA più importante di quest'anno, secondo Maika Fohrenbach (DG CONNECT). Gli Stati membri devono designare le autorità competenti entro giugno 2026 e un numero sufficiente di organismi notificati dovrebbe essere operativo entro dicembre 2026, con un anno di anticipo rispetto alla piena applicazione del CRA.
• Schema EUDI Wallet: consultazione pubblica avviata il 3 aprile 2026. Le prossime date cardine vanno dalla validazione della bozza AHWG del 16-17 aprile 2026 alla finalizzazione ECCG di settembre-ottobre 2026.
• Schema EU MSS: è alla bozza v4, inviata al gruppo di lavoro ad hoc il 9 aprile 2026. La bozza v3 (inviata il 20 marzo 2026) ha ricevuto 250 commenti su nove temi. La consultazione pubblica è prevista per l'inizio di luglio 2026.
• Reazione dell'industria sulla proliferazione: netta. Steffen Zimmermann (VDMA) ha dato i numeri: circa l'80% dei membri VDMA sono PMI, di cui circa il 90% è interessato da NIS2 e CRA.
• Priorità della platea nella giornata: non un singolo schema, ma la tensione fra usare i risultati della certificazione per dedurre la conformità NIS2 e il fatto che la vigilanza NIS2 è obbligatoria e spetta ad autorità diverse (cinque domande su sette tra le più votate).

29

Certificati rilasciati

sotto EUCC, primo anno

28

Organismi di conformità

accreditati nell'UE

60%+

Quota globale CC

su ~350 certificati l'anno

CC-1

Livello di garanzia

tutti i CC UE, feb. 2026

Fonte: Juhan Lepassaar, direttore esecutivo, ENISA, keynote di apertura.

CSA2 e il nuovo ECCF

Maika Fohrenbach (DG CONNECT) ha presentato la proposta della Commissione. È strutturata su quattro pilastri:

1. Un quadro armonizzato di gestione dei rischi della catena di fornitura ICT, per la prima volta a livello UE.
2. Un rinnovato Quadro europeo di certificazione della cibersicurezza (ECCF).
3. Misure di semplificazione NIS2, costruite attorno a un nuovo schema di cyber posture (sezione dedicata più sotto).
4. Rafforzamento del mandato di ENISA (supporto agli Stati membri, consapevolezza situazionale, leadership nella normazione, attestazione delle competenze).

Tre cambiamenti dell'ECCF contano per i fabbricanti:

Sulla manutenzione e sugli strumenti per gli stakeholder, CSA2 riconosce formalmente ENISA come gestore dello schema, con un sottogruppo ECCG dedicato a ciascuno schema. Sostituisce l'attuale Stakeholder Cybersecurity Certification Group (SCCG) e l'Union Rolling Work Programme con un'Assemblea europea di certificazione della cibersicurezza, più portali informativi della Commissione e di ENISA. La base giuridica per le specifiche tecniche redatte da ENISA, che si appoggia sui documenti «state of the art» dell'EUCC, è iscritta nella proposta.

Le reazioni del panel sono state candide. Helge Kreutzmann (BSI) ha indicato due lacune nella bozza. Primo, CSA2 mantiene il vecchio schema di autorizzazione più notifica invece di passare pienamente al meccanismo di notifica del New Legislative Framework. Secondo, l'ambito non è stato esteso con sufficiente coraggio: la bozza certifica i servizi ma non i fornitori, mentre diversi Stati membri già certificano fornitori e personale chiave, e il Cyber Solidarity Act lo richiede. Kreutzmann: "We think this should carry over on the European level, that we can actually certify the providers." (Riteniamo che questo debba estendersi al livello europeo, in modo da poter certificare effettivamente i fornitori.)

Suzana Pavlidou (NCCA Cipro) e Apostolos Malatras (capo unità per la certificazione di cibersicurezza, ENISA) si sono uniti a Philippe Blot come moderatori. Goran Gotov (Zscaler) ha sollevato una preoccupazione strutturale dalla platea: l'Assemblea si riunisce una volta l'anno e i gruppi ad hoc sono specifici per schema, il che rende il contributo industriale di livello macro più sottile rispetto a prima. Richard Skalt (TIC Council; cybersecurity advocacy manager presso TÜV SÜD) ha sollecitato un impegno di scadenza a 12 mesi sullo sviluppo degli schemi ENISA e ha chiesto se CSA2 integrerà ISO/IEC 27001 e lo schema belga «Cyber Fundamentals» nel percorso di semplificazione NIS2. Nessun impegno fermo su quell'integrazione è stato fornito sul palco.

Cyber posture e NIS2: cosa ha chiesto davvero la platea

Il flusso del Q&A ha reso la priorità della platea inequivocabile. Le sette domande più votate della giornata (da 14 a 19 voti ciascuna) non riguardavano la produttività EUCC né la capacità dei CAB. Riguardavano la stessa preoccupazione strutturale, espressa in sette modi: i risultati della certificazione possono legittimamente essere usati per dedurre la conformità NIS2, se la vigilanza NIS2 è obbligatoria ed è affidata ad autorità diverse?

La risposta di Fohrenbach si è distribuita fra la sua presentazione e il Q&A. Tre pezzi vale la pena separarli:

Sulle due domande della platea che non hanno ricevuto una risposta sul palco, non colmiamo i vuoti. Le segnaliamo:

Per chi pianifica intorno a NIS2, la lettura onesta è questa. Lo schema di cyber posture è la rotta preferita dalla Commissione. I meccanismi giuridici che renderebbero robusta quella rotta (il regolamento di esecuzione a massima armonizzazione, l'accordo con gli Stati membri sul collegamento) sono punti di negoziato aperti. Se oggi sta costruendo una strategia di conformità, non dia per scontato che «certificarsi nel cyber posture risolve NIS2» sia un fatto chiuso per la sua giurisdizione. Tenga d'occhio il trilogo.

Dove la certificazione incontra il CRA

Il collegamento al CRA tracciato da Fohrenbach è stato il segnale più chiaro della giornata per i fabbricanti. Titolo per il 2026: costruire l'infrastruttura di valutazione della conformità. Gli standard armonizzati arriveranno dopo, e in modo non uniforme.

Il CRA copre prodotti software, prodotti hardware e componenti immessi separatamente sul mercato. La distribuzione indicata da Fohrenbach:

Ai sensi dell'Allegato VIII del CRA, i moduli del New Legislative Framework disponibili sono Modulo B + C (esame UE del tipo) e Modulo H (certificazione del sistema di qualità). L'intenzione dichiarata della Commissione è specificare, entro la fine del 2026, come l'EUCC possa essere utilizzato per dimostrare la conformità al CRA; ENISA sta conducendo 18 progetti pilota sulla presunzione di conformità EUCC-CRA, con un workshop in programma ad Atene.

La fase di avvicinamento alla piena applicazione del CRA, in una visione d'insieme:

Il lavoro di armonizzazione avviene in un gruppo di lavoro informale a livello di Commissione composto dalle autorità notificanti, dove una delle principali questioni aperte è come notificare quando gli standard armonizzati non sono ancora disponibili. Fohrenbach ha indicato CENELEC come motore del lavoro sugli standard armonizzati. L'ipotesi di lavoro condivisa fra gli Stati membri: valorizzare i CAB già accreditati nell'ambito dell'atto delegato della Radio Equipment Directive (RED DA) e dell'ecosistema EUCC, e accelerarli per la notifica CRA.

Per lo stato attuale della scelta dei moduli mentre gli schemi CSA sono ancora in corso, consulti la nostra guida alla valutazione della conformità.

Il divario di capacità dei CAB

Il panel sulla capacità dei CAB è stato la sessione più carica sul piano operativo della giornata. Moderato da Eric Vetillard; nel panel: Christin Hartung-Kümmerling (BSI, in remoto), Xenia Kyriakidou (responsabile NCCA Cipro, autorità cipriota di notifica e vigilanza del mercato per il CRA, nonché vicepresidente del comitato ADCO CRA), Richard Skalt (TIC Council / TÜV SÜD) e Nikolaos Soumelidis (Q-CERT).

Alcuni fatti dal panel da portare in primo piano:

• Due terzi dei paesi europei non dispongono ancora di un organismo nazionale di accreditamento eIDAS, secondo Soumelidis. La Grecia stessa non ne ha uno.
• BSI sta preparando la notifica del Modulo H come via più scalabile per il CRA, secondo Hartung-Kümmerling. BSI non sta dando priorità al Modulo B per il CRA; ha riconosciuto che altri Stati membri percorrono la via del Modulo B, ma non li ha nominati.
• Cipro, Germania e la maggior parte degli altri Stati membri faranno affidamento sui propri organismi nazionali di accreditamento per l'accreditamento CRA. L'accelerazione via RED DA o accreditamento EUCC è sul tavolo.
• Sondaggio interno del TIC Council (Skalt): due terzi dei membri del TIC Council prevedono di avere più di 50 esperti dedicati alla cibersicurezza entro la fine del 2026, e il 40% dei membri è già notificato per EUCC.
• ADCO CRA è il gruppo di cooperazione amministrativa delle autorità di vigilanza del mercato degli Stati membri per il CRA; Kyriakidou ne è la vicepresidente.

Stefan Zimmermann (VDMA) ha chiesto dal pubblico a Hartung-Kümmerling quali Stati membri stessero preparando la notifica del Modulo B. Lei ha rifiutato di nominarli sul palco. La domanda è viva perché incide sulla disponibilità, per un fabbricante che vuole la via dell'esame UE del tipo, di un organismo notificato nel proprio mercato domestico all'11 dicembre 2027.

Dal punto di vista di un fabbricante, tre cose seguono. Primo: se la categoria del suo prodotto la spinge verso la valutazione di terza parte, verifichi ora il piano del suo Stato membro. «Organismi notificati sufficienti entro dicembre 2026» è un'aspirazione di policy, non una garanzia per giurisdizione. Secondo: la via rapida RED DA / CAB EUCC è la via di espansione di capacità più plausibile, ma significa che il bacino di CAB probabile è modellato da quali organismi servono già i mercati delle apparecchiature radio o dei Common Criteria. Terzo: il Modulo H (sistema di qualità) sta scalando più velocemente del Modulo B (esame del tipo) in almeno un grande Stato membro, con implicazioni su come preparare le evidenze.

La sessione mattutina di Steffen Zimmermann (VDMA) ha affinato il punto di vista dell'industria. Circa l'80% dei membri VDMA sono PMI con meno di 250 dipendenti, e circa il 90% di queste è interessato da NIS2 e dal CRA. La sua critica in cinque punti alla certificazione è stata netta:

1. Not invented here. IEC 62443, ISO/IEC 27001 e TISAX esistenti vengono scartati a favore di schemi tutti europei.
2. Non abbastanza. Lo stesso IEC 62443 viene poi considerato insufficiente una volta che entra in gioco il CRA.
3. Certificato non affidabile. La metodologia proprietaria spinge gli stakeholder a chiedere nuovi schemi con lo stesso difetto di trasparenza.
4. «Creiamo domanda di mercato». Schemi volontari con scarsa adozione vengono resi obbligatori tramite appalti pubblici invece di essere ripensati.
5. Illusione di conformità. Il certificato resta valido mentre la sicurezza si deteriora.

Sugli standard armonizzati nell'ambito del CRA, la sua frase citabile: "Harmonised standards do not cover all functionalities. They are developed to address the core functionality listed in the annexes. So a product may be in conformance for the core functionality, but the CRA demands conformity for the entire product." (Gli standard armonizzati non coprono tutte le funzionalità. Sono sviluppati per affrontare la funzionalità principale elencata negli allegati. Quindi un prodotto può essere conforme per la funzionalità principale, ma il CRA richiede conformità per l'intero prodotto.)

Certificazione EUDI Wallet

Evgenia Nikolouzou (ENISA) ha ripercorso il cammino dello schema EUDI Wallet. La richiesta della Commissione è arrivata a maggio 2024; è seguita una call per manifestazioni di interesse a ottobre 2024, con 26 esperti selezionati per il gruppo di lavoro ad hoc; l'AHWG è partito a gennaio 2025 e ha condotto 7 riunioni plenarie e 4 gruppi tematici fino a febbraio 2026; lo schema è stato sottoposto a revisione ad aprile 2026 e la consultazione pubblica è aperta dal 3 aprile 2026.

Lo schema copre il wallet e il sottostante schema eID, e deve coprire prodotti, servizi e processi per come eIDAS è strutturato. La valutazione è a due stadi: lo stadio 1 è la revisione di architettura e dipendenze, lo stadio 2 è test e analisi delle vulnerabilità, seguiti da rilascio del certificato e sorveglianza. Si usano due livelli di assicurazione: lo strato hardware tamper-resistant è gestito dall'EUCC a AVA_VAN.4 / .5, e lo strato applicativo è gestito dagli schemi nazionali a AVA_VAN.3.

Il cronoprogramma, dalla slide presentata da Nikolouzou, si ancora a queste tappe: validazione AHWG della bozza v0.4 il 16-17 aprile 2026; chiusura del periodo commenti ECCG il 1 giugno 2026; consultazione pubblica all'inizio di luglio 2026; finalizzazione ECCG a settembre-ottobre 2026. Per un'analisi dettagliata di cosa lo schema wallet richiede ai richiedenti e cosa questo segnala per i futuri schemi collegati al CRA, consulti il nostro approfondimento sullo schema EUDI Wallet.

Schema Managed Security Services

Vicente Gonzalez Pedros (ENISA) ha aperto la sessione pomeridiana sullo schema EU MSS, seguito da un panel moderato da Georgia Bafoutsou (ENISA) con Paloma Llaneza (Digital Trust Scheme Manager, CerteIDAS), Adrian Pauna (Oracle), Marios Ioannou (Columbia Group), Oscar Boizard (ANSSI) e Pablo Fernandez (Security Operations Centers Manager, CCN-CNI).

La richiesta della Commissione è arrivata a ENISA alla fine di aprile 2025. La richiesta originaria copriva la verticale del ciclo di vita della gestione degli incidenti; ENISA l'ha suddivisa in profili di servizio e ha scelto la risposta agli incidenti come primo profilo da costruire. Nell'ambito del Cyber Solidarity Act, una volta che uno schema europeo copra un servizio contrattualizzato tramite l'Act, i fornitori devono essere certificati due anni dopo l'entrata in vigore dello schema.

L'architettura dello schema ha due livelli:

• Un livello orizzontale di requisiti di base comuni, agnostico rispetto agli standard e ai servizi, applicabile a tutti gli MSS.
• Un livello verticale di requisiti tecnici specifici del servizio (gestione del ciclo di vita, competenza, scenari di risposta agli incidenti, collaborazione fra stakeholder, requisiti di risorse).

Due punti di Gonzalez Pedros vale la pena portarli in primo piano. Il livello orizzontale non viene mai certificato da solo: il certificato è sempre per il servizio, mai per il fornitore. E il livello orizzontale si allinea con NIS2 ma non certifica la conformità NIS2. La copertura NIS2 appartiene allo schema di cyber posture, non all'MSS.

Sull'AHWG: più di 200 proposte sono arrivate tramite la call aperta. Il gruppo di lavoro sulla risposta agli incidenti è stato formato con 30 esperti, e una lista di riserva di altri 70 è stata mantenuta per futuri profili di servizio. L'AHWG è stato ufficialmente nominato il 29 settembre 2025.

Progressione delle bozze (dalla slide AHWG):

• Main Scheme Draft v3 inviata all'AHWG il 20 marzo 2026.
• 250 commenti ricevuti, raggruppati in nove temi: relazione con NIS2, livelli di assicurazione per profili multipli, standard e metodologie di valutazione, vigilanza transfrontaliera, allineamento terminologico, ambito di certificazione (specifico per cliente vs generale), costi di ripetizione delle valutazioni, dialoghi fra NCCA e CAB e riservatezza nei rapporti di certificazione.
• Main Scheme Draft v4 inviata all'AHWG il 9 aprile 2026.

Un chiarimento strutturale di Gonzalez Pedros: lo schema MSS non ha ITSEF (a differenza dell'EUCC). CAB e CB saranno riconciliati in un unico termine nella prossima bozza. L'accreditamento dei CAB è rispetto a ISO/IEC 17065, e lo schema si costruisce sulla stessa metodologia di valutazione che ENISA sta usando per l'European Wallet.

Il cronoprogramma dello schema che ha delineato: validare la bozza v4 il 16-17 aprile 2026; prima bozza all'ECCG per commenti con un mese per la revisione degli Stati membri; recepire i commenti in circa due settimane; consultazione pubblica dall'inizio di luglio 2026 per 1,5 mesi; incontro a metà settembre 2026 per gestire i commenti della consultazione; approvazione dello schema in ECCG entro ottobre 2026.

Cosa hanno aggiunto i panellisti

Paloma Llaneza (CerteIDAS) ha sostenuto la tesi centrale di uno schema a livello UE: senza, i fornitori si certificano separatamente in 27 Stati membri, e solo le grandi aziende possono permetterselo. Il suo riferimento era eIDAS-2, dove un regolamento più un atto di esecuzione hanno sostituito 27 standard nazionali con un unico standard europeo. Llaneza è redattrice di ETSI EN 319 401 (Policy and security requirements for Trust Service Providers), che ha posizionato come modello di proporzionalità funzionante: il livello orizzontale è una base unica, i verticali si impilano modularmente sopra.

Adrian Pauna (Oracle) ha argomentato il caso multinazionale: uno schema UE standardizza la conformità fra giurisdizioni, e le metodologie di penetration testing richiedono una definizione chiara dentro lo schema. Ha notato una questione strutturale specifica del pen testing: oggi è certificato a livello personale (OSCP, OSCE), il che rende la certificazione a livello di servizio strutturalmente difficile finché il mercato non cambia. La sua raccomandazione per i prossimi verticali: prima detection, poi pen testing.

Marios Ioannou (Columbia Group, Cipro) ha inquadrato la credenziale UE come apri-porta: riconoscimento su tutto il territorio e partecipazione alla EU Cybersecurity Reserve. Sugli incidenti transfrontalieri ha fatto notare che una risposta Spagna-Cipro-Malta è molto più facile quando tutte le parti condividono le stesse capacità di base.

Oscar Boizard (ANSSI) ha tracciato la linea più netta della sessione, fra certificazione e qualificazione:

Kreutzmann (BSI) ha sostenuto che CSA2 dovrebbe abilitare la qualificazione a livello di fornitore a livello UE, oltre l'attuale certificazione a livello di servizio.

La Francia gestisce quattro schemi di qualificazione ANSSI allineati alle categorie EU MSS (consulenza, audit, detection, risposta), più PAMS per l'amministrazione. PASSI è il più vecchio e ha la più ampia base di fornitori qualificati. L'introduzione di un livello sostanziale ha cambiato materialmente il mix dei fornitori: PMI con sei o sette persone competenti sono rientrate. La raccomandazione di Boizard per il prossimo verticale: audit, come vittoria rapida, perché gli standard esistono già.

Pablo Fernandez (CCN-CNI) ha portato numeri concreti dall'approccio spagnolo. Lo schema MSS spagnolo è partito circa quattro anni fa, costruito sull'ENS (Esquema Nacional de Seguridad), che a sua volta ha circa 16 anni di storia. Il modello MSS è la Guía CCN-STIC 896 sovrapposta all'ENS, allineata con NIS2, le modifiche del Cyber Solidarity Act e i futuri CSA2 ed EU MSS. La slide CCN ha pubblicato le cifre: 3.578 entità certificate sotto ENS, 25 servizi MSS certificati erogati da 5 MSSP e 304 SOC integrati nella rete nazionale di SOC. Fernandez ha osservato che la CCN-STIC 896 sarà disponibile in inglese «fra un paio di settimane», un elemento direttamente sfruttabile da lettori fuori dalla Spagna.

Dove i panellisti si sono collocati sul prossimo verticale MSS da costruire:

Un dettaglio utile dalla platea: una domanda ha sollevato la sovranità come fattore (fornitori MSS che sono entità nazionali sovrane vs multinazionali). La risposta di Llaneza: serve regolamentazione a livello UE per sostituire 27 schemi nazionali, seguendo il precedente di eIDAS-2. La risposta di Ioannou: una base condivisa fra Stati membri è ciò che permette alle aziende di lavorare insieme durante un incidente transfrontaliero.

Cosa significa per i fabbricanti che spediscono sotto CRA

Il traguardo CRA su cui concentrarsi da qui all'11 dicembre 2027 è la capacità di valutazione della conformità, non gli standard armonizzati. Gli standard armonizzati arriveranno tardi e in modo non uniforme. La designazione dell'autorità competente è una scadenza di giugno 2026. La disponibilità degli organismi notificati è un'aspirazione di dicembre 2026. Se il suo prodotto ricade in Important Class II, il bacino dei CAB è fortemente modellato dagli organismi già notificati per EUCC o accreditati nell'ambito della RED DA.

Per i fabbricanti Default e Important Class I, l'implicazione pratica è che quest'anno la scelta del modulo conta più del solito. Il Modulo H (sistema di qualità) ha segnali di scalabilità più chiari da almeno un grande Stato membro; la disponibilità del Modulo B (esame del tipo) è irregolare e non pubblicamente mappata. Se può legittimamente qualificarsi sotto standard armonizzati quando saranno disponibili, quella via elimina una dipendenza dall'offerta di CAB.

La presunzione di conformità EUCC-CRA tramite atto delegato non è ancora percorribile, ma è il pezzo di infrastruttura più specifico in costruzione. I 18 pilot e l'obiettivo dichiarato dalla Commissione di fine 2026 per specificare come l'EUCC sostenga la conformità CRA sono le cose da monitorare nei prossimi due trimestri.

Lo schema MSS non è direttamente una preoccupazione di prodotto CRA. Conta perché è il secondo schema CSA in drafting attivo, dopo l'EUDI Wallet, e verrà rilasciato prima del primo schema specifico per il CRA. Le scelte metodologiche che ENISA consolida qui (accreditamento CAB ISO/IEC 17065, la metodologia di valutazione allineata al Wallet) si riverseranno negli schemi collegati al CRA più avanti.

Prossimi passi

Questo articolo ha fini esclusivamente informativi e non costituisce consulenza legale. Per indicazioni di conformità specifiche, consulti un legale qualificato.