L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha lanciato The Methodology for Sectoral Cybersecurity Assessments (SCSA Methodology) per consentire la preparazione di schemi di certificazione della sicurezza informatica dell’UE per le infrastrutture e gli ecosistemi ICT settoriali. SCSA mira all’accettazione da parte del mercato delle implementazioni della certificazione della sicurezza informatica e supporta i requisiti delle parti interessate del mercato e la legge sulla sicurezza informatica dell’UE (CSA). In particolare, SCSA sostiene l’identificazione dei requisiti di sicurezza e certificazione basati sui rischi associati all’“uso previsto” di specifici prodotti, servizi e processi ICT.
La metodologia SCSA mette a disposizione delle parti interessate dell’ENISA uno strumento completo di valutazione della sicurezza ICT che include tutti gli aspetti pertinenti ai sistemi ICT settoriali e fornisce contenuti approfonditi per l’implementazione della sicurezza ICT e della certificazione della cybersecurity.
Sebbene SCSA attinga a standard ampiamente accettati, in particolare la serie ISO/IEC 27000 e la serie ISO/IEC 15408, i miglioramenti proposti riguardano i sistemi multi-stakeholder e i requisiti specifici del livello di sicurezza e garanzia relativi a prodotti ICT, processi e schemi di certificazione della sicurezza informatica.
Ciò si ottiene introducendo le seguenti caratteristiche e capacità:
- I processi aziendali, i ruoli degli stakeholder settoriali e gli obiettivi aziendali sono documentati a livello di ecosistema, sovrastante i sottosistemi ICT dei singoli stakeholder. Gli stakeholder sono invitati a contribuire attivamente all’identificazione e alla valutazione dei rischi per la sicurezza ICT che potrebbero influenzare i loro obiettivi di business.
- Un metodo dedicato associa le valutazioni dei rischi delle parti interessate ai requisiti del livello di sicurezza e garanzia a sottosistemi, componenti o processi ICT dedicati del sistema ICT settoriale.
- SCSA specifica un approccio coerente per implementare i livelli di sicurezza e garanzia in tutte le parti del sistema ICT settoriale e fornisce tutte le informazioni richieste dagli schemi di certificazione settoriale della sicurezza informatica.
Vantaggi della metodologia SCSA per le parti interessate
La valutazione della sicurezza informatica settoriale fornisce un approccio completo agli aspetti multiformi presentati da complessi sistemi ICT multi-stakeholder e presenta i seguenti vantaggi:
- La sicurezza di un sistema settoriale richiede la sincronizzazione tra tutte le parti interessate partecipanti. SCSA introduce la comparabilità dei livelli di sicurezza e garanzia tra i diversi sistemi e componenti di sistema delle parti interessate. SCSA consente di costruire ecosistemi aperti multi-stakeholder anche tra concorrenti a vantaggio di fornitori e clienti.
- L’approccio basato sul rischio supporta la trasparenza e un sano equilibrio tra il costo per la sicurezza e la certificazione e il vantaggio di mitigare i rischi aziendali legati alla sicurezza delle TIC per ciascuna delle parti interessate.
- Le misure di sicurezza possono concentrarsi sui componenti critici, ottimizzando l’architettura di sicurezza del sistema settoriale, riducendo quindi al minimo i costi della sicurezza.
- SCSA genera informazioni accurate e coerenti sui requisiti di sicurezza e livello di certificazione per tutti i sottosistemi, componenti o processi ICT rilevanti. Su questa base, i fornitori possono abbinare i loro prodotti alle esigenze dei loro clienti.
- SCSA supporta l’integrazione degli strumenti di gestione dei rischi esistenti e dei sistemi di gestione della sicurezza delle informazioni (ISMS).
- Grazie a una definizione coerente dei livelli di garanzia, è supportato il riutilizzo di certificati di altri schemi di certificazione della sicurezza informatica.
Target: a chi è rivolto?
SCSA si rivolge a un pubblico di livello esperto, in particolare esperti ICT, esperti di sicurezza ICT e responsabili di sistemi multi-stakeholder settoriali, nonché fornitori. Esempi di settori di mercato rilevanti includono reti mobili/5G, identità elettronica (eID), eHealth, pagamenti, Mobility as a Service (MaaS) e automotive.