EU Cloud Certification Scheme

Enisa ha avviato la consultazione pubblica per lo schema di certificazione di sicurezza informatica per i servizi cloud (ringrazio Giovanni Francescutti di DNV GL Business Assurance e Giancarlo Caroti di Neumus per avermelo segnalato):
- https://www.enisa.europa.eu/news/enisa-news/cloud-certification-scheme.

Ricordo brevemente che questo schema nasce per le certificazioni promosse dal Cybersecurity act europeo. Questo Regolamento prevede quindi che ENISA proponga degli schemi di certificazione per la sicurezza dei prodotti e servizi informatici. Alcuni schemi sono già attivi (il più celebre è quello noto come Common Criteria, ISO/IEC 15408), ma non sotto il cappello del Cybersecurity act. Ad ora l'unico schema candidato e ufficiale e proprio questo per i servizi cloud.

Va detto che lo schema non necessariamente si baserà sul modello già noto per le certificazioni dei sistemi di gestione (ISO/IEC 27001, per intenderci), ma richiede che ogni Stato membro indichi una NCCA (National cybersecurity certification authority). Non mi risulta che in Italia sia stata ancora indicata. Se però qualcuno ha notizie più aggiornate, gli chiedo di farmele avere.

Per quanto riguarda questa bozza, ho analizzato soprattutto l'Annex A, con i requisiti che devono rispettare i CSP (cloud service provider) che intendono certificarsi. In generale mi sembra scritto male, con molte imprecisioni, ripetizioni e anche cose decisamente discutibili. Vale comunque la pena leggerselo e studiarselo per avere una buona idea dei requisiti che dovrebbero rispettare i CSP.

Spero poi che la versione finale del documento sarà molto migliore di questa bozza.

A questo proposito rimango perplesso su una consultazione pubblica di un documento che ha molti punti dichiaratamente ancora in fase di elaborazione (vedi Annex E e G).

Per quanto riguarda le modalità di verifica, ho letto le appendici senza la dovuta attenzione e quindi è meglio che mi astengo dal commentarle.