La crescita degli obblighi di cybersecurity, l’aumento della pressione regolatoria e la maggiore dipendenza da prodotti, servizi e componenti digitali stanno trasformando le certificazioni in leva di politica industriale e di compliance. È una traiettoria che emerge con chiarezza dalla revisione del Cybersecurity Act, proposta dalla Commissione europea il 20 gennaio scorso. L’obiettivo dichiarato è rafforzare la resilienza cyber dell’Unione, prevenire nuove frammentazioni nel mercato unico, semplificare il processo di certificazione e aumentare la sicurezza della supply chain ICT. Il punto non è marginale. Con un quadro regolatorio composito – di cui fanno parte NIS2, CER, DORA, Cyber Resilience Act (CRA) e Cybersecurity Act (CSA) – la sicurezza digitale diventa progressivamente una condizione di accesso ai mercati, un fattore di selezione dei fornitori e uno strumento per ridurre l’incertezza di imprese, pubbliche amministrazioni e utenti finali.
L’IMPORTANZA DELLA CERTIFICAZIONE
In concreto, certificare un prodotto o un servizio cyber significa rispondere a tre domande essenziali: sicuro per quale funzione, in quale contesto di utilizzo e rispetto a quali verifiche. È questo il valore dei Common Criteria, da tempo standard internazionale di riferimento: trasformare la sicurezza in una valutazione strutturata, ripetibile e confrontabile. L’approccio è rilevante perché il mercato digitale si basa su catene del valore sempre più lunghe, dove ogni tassello è parte di ecosistemi più ampi, spesso distribuiti tra più fornitori e più giurisdizioni. In questo contesto, la certificazione non elimina il rischio, ma aiuta a renderlo leggibile e verificabile. Questo strumento può quindi diventare sempre più un linguaggio comune tra chi produce tecnologia, chi la valuta e chi la acquista.
I COMMON CRITERIA RESTANO IL RIFERIMENTO INTERNAZIONALE
I dati più recenti confermano che i Common Criteria (CC) continuano a rappresentare il principale riferimento internazionale per la valutazione della sicurezza dei prodotti ICT. Nel 2025 sono state registrate 420 certificazioni a livello globale: un valore superiore al 2024, quando erano 385, ma ancora inferiore al picco del 2023, pari a 470 certificazioni. Il dato segnala un ecosistema attivo, anche se non lineare, in una fase in cui il mercato europeo si sta confrontando con il passaggio allo schema EUCC.
La distribuzione per Paese mostra però un forte divario. Nel 2025 la Francia guida la classifica con 102 prodotti certificati, seguita dagli Stati Uniti con 101 e dai Paesi Bassi con 59. La Germania si colloca a quota 45, mentre Canada e Giappone seguono rispettivamente con 31 e 22 certificazioni. L’Italia, invece, scivola fuori dalla top 10 globale, fermandosi a 8 certificazioni, in calo rispetto alle 10 del 2024.
EUCC, IL PRIMO SCHEMA EUROPEO È OPERATIVO
Il passaggio europeo più importante è lo schema EUCC, il primo sistema europeo di certificazione della cybersicurezza basato sui Common Criteria. Adottato nel 2024 e operativo su base europea, lo schema consente di certificare prodotti ICT, inclusi hardware, software e componenti, secondo due livelli di garanzia: sostanziale ed elevato. L’obiettivo è duplice: evitare che ogni Stato membro sviluppi percorsi nazionali divergenti; creare un riconoscimento valido nell’intero mercato unico.
Al 21 maggio 2026 il portale ENISA mostra 34 certificati EUCC pubblicati. Il numero è ancora contenuto, ma indica che lo schema è entrato in una fase operativa. Allo stesso tempo, la mappa dei certificati resta fortemente concentrata. Le autorità nazionali responsabili presenti nel portale sono ANSSI, BSI, CCN e RDI, riconducibili rispettivamente a Francia, Germania, Spagna e Paesi Bassi.
Il nostro Paese non compare ancora tra le autorità responsabili dei certificati pubblicati. Il dato non significa che il sistema Italia sia assente in questo processo: ACN e OCSI hanno un chiaro ruolo nel quadro nazionale, che deriva dalle linee guida per l’attuazione nazionale dello schema EUCC. La fotografia dei certificati pubblicati mostra, però, che la piena operatività dell’ecosistema nazionale deve ancora tradursi in risultati visibili sul mercato europeo. Dal portale pubblico di ACN emergono tuttavia 2 laboratori accreditati (per il livello sostanziale) e 2 certificati EUCC in corso di valutazione. Anche alla luce della tradizione maturata dal Paese nel contesto CC e del ruolo attribuito ad ACN/OCSI nel nuovo schema europeo, è quindi ragionevole attendersi un progressivo aumento dei certificati riconducibili all’ecosistema nazionale.
Note: Dati aggiornati al 21/05/2026
LA CERTIFICAZIONE COME STRUMENTO DI COMPLIANCE
La revisione del Cybersecurity Act rafforza proprio questa prospettiva. La certificazione non è più vista solo come un meccanismo volontario di garanzia tecnica (fra l’altro, rimane sempre possibile in prospettiva la mandatorietà di alcune categorie di prodotti/servizi ICT a norma della disciplina NIS2), ma come uno strumento per semplificare e rendere più coerente la conformità alle regole europee. Se un certificato riconosciuto può contribuire a dimostrare il rispetto di requisiti previsti da altri atti dell’Unione, le imprese hanno un incentivo concreto a investire prima e meglio in valutazioni strutturate.
In quest’ottica, il collegamento con il Cyber Resilience Act è particolarmente importante. I prodotti con elementi digitali dovranno rispettare requisiti di cybersicurezza lungo l’intero ciclo di vita, dalla progettazione alla gestione delle vulnerabilità. Le certificazioni europee possono diventare un vero e proprio strumento di semplificazione della compliance: non sostituiscono la responsabilità del produttore, ma possono ridurre incertezza, duplicazioni e costi di verifica, soprattutto quando gli standard tecnici saranno pienamente integrati nel sistema di conformità.
Lo stesso vale per la sicurezza della supply chain. La proposta di revisione del Cybersecurity Act lega la certificazione al più ampio tema delle catene di approvvigionamento ICT e dei fornitori ad alto rischio. È un passaggio delicato, perché coinvolge valutazioni tecniche, industriali e geopolitiche. Proprio per questo, la robustezza degli schemi di certificazione e la trasparenza dei criteri diventano essenziali per evitare frammentazioni, incertezze interpretative e oneri sproporzionati.
PERCHÉ IL NODO È ANCHE INDUSTRIALE
Per l’Italia la questione non è soltanto regolatoria, ma anche industriale. Se le certificazioni europee diventeranno uno degli strumenti attraverso cui dimostrare conformità, accedere ai mercati e partecipare alle catene del valore, allora il ritardo nella capacità di certificare rischia di trasformarsi in ritardo competitivo. Il rischio è infatti duplice. Da un lato, le imprese europee e nazionali potrebbero trovarsi a ricorrere in misura crescente a ecosistemi certificativi extra-UE, con costi, tempi e dipendenze aggiuntive. Dall’altro, il Paese potrebbe partecipare meno alla definizione pratica degli standard, subendo criteri, procedure e prassi operative costruite altrove. La sovranità digitale non si misura, infatti, solo nella capacità di regolare (in maniera efficace, nonché adeguata e proporzionata), ma anche nella capacità di validare, testare e rendere riconoscibile la sicurezza delle tecnologie utilizzate nei propri confini.
CONCLUSIONI
In definitiva, la certificazione in ambito cybersecurity – specialmente una volta portata a termine la revisione del CSA – diventerà una componente sempre più strategica della governance digitale europea. Non è più soltanto un bollino tecnico, né un adempimento accessorio. È un’infrastruttura di fiducia che può incidere su concorrenza, accesso al mercato, sicurezza della supply chain e capacità degli Stati membri di presidiare settori critici.
L’Europa sta accelerando, ma lo sta facendo con un ecosistema ancora disomogeneo. I dati sui Common Criteria mostrano una leadership consolidata di pochi Paesi, mentre lo schema EUCC, pur operativo, resta concentrato in quattro autorità nazionali.
Per l’Italia il punto non è rincorrere una classifica, ma costruire capacità: più laboratori, più competenze, più imprese pronte e una domanda – opportunamente stimolata anche con strumenti normativo-regolamentari – in grado di orientare il mercato.
Restare indietro non significherebbe soltanto certificare meno, bensì pesare meno nella costruzione delle regole e degli standard che guideranno il mercato della cybersecurity negli anni a venire.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Alessandro D’AMATO
Source link
