Primo piano Politica industriale PNRR Incentivi Opinioni Interviste Robotica Automazione industriale Appuntamenti Podcast Innovation Books

cyber security

La norma ISO 17025 per la certificazione di sicurezza dei prodotti ICT

Home Tecnologie Industrial Security
Indirizzo copiato

La certificazione di sicurezza per i prodotti ICT è essenziale per garantire riservatezza e integrità dei dati, vista l’evoluzione tecnologica e l’esplosione delle minacce informatiche. Il ruolo dei laboratori accreditati secondo la ISO 17025, che stabilisce requisiti di competenza e imparzialità.

Pubblicato il 3 giu 2025
Convergenza IT-OT cybersecurity concept
Immagine di Kaspersky

La certificazione di sicurezza dei prodotti ICT è diventata negli ultimi anni sempre più rilevante. Da un lato vi è la necessità, quando si parla di tecnologie connesse che hanno accesso a dati importanti, di garantire il rispetto della riservatezza dei dati e l’integrità dei sistemi.

Dall’altro, l’evoluzione tecnologica – a cui si è accompagnata anche un’evoluzione delle minacce informatiche – ha spinto i legislatori a europei e nazionali a definire un quadro normativo a tutela dei dati, dei prodotti connessi e delle infrastrutture che impegna le aziende in uno sforzo per la conformità alle normative da non sottovalutare.

Si pensi, ad esempio, a iniziative quali il CSA (Cybersecurity Act) e il CRA (Cyber Resilience Act) in ambito europeo e il CVCN in ambito Perimetro di Sicurezza Nazionale.

Un ruolo rilevante è assunto dai laboratori di prova che sono accreditati in accordo alla norma ISO 17025 per garantire risultati obiettivi, confrontabili e ripetibili. Nell’ambito di un percorso formativo dedicato a cybersecurity e data protection Garibaldi Conte, membro del Comitato Scientifico di Clusit, ha illustrato le caratteristiche della norma ISO/IEC 17025 e l’evoluzione degli standard di sicurezza, approfondendo sui requisiti di compliance alla normativa.

Indice degli argomenti

Norma ISO/IEC 17025, che cos’è e quali sono gli obiettivi

La norma ISO/IEC 17025 è uno standard internazionale che definisce i requisiti generali per la competenza, l’imparzialità e il regolare e coerente funzionamento dei laboratori di prova.

L’ultima versione della norma è stata pubblicata nel dicembre 2017 e recepita in Italia nel gennaio 2018 dal Comitato Elettrotecnico Italiano (CEI).

L’applicazione di questa norma permette ai laboratori di dimostrare di operare in modo competente e di essere in grado di generare risultati validi.

È una norma ampiamente utilizzata per l’accreditamento di laboratori in svariati settori che spaziano dall’ambito medico-sanitario al tessile, dalla meccanica all’automotive, fino, e con crescente rilevanza, al settore ICT.

I laboratori che operano in conformità alla ISO 17025 operano generalmente anche in conformità alla norma ISO 9001 relativa al sistema di qualità. Tuttavia, soddisfare i requisiti della ISO 9001 non implica automaticamente la conformità alla ISO 17025, poiché i requisiti della 9001 sono solo un sottoinsieme di quelli della 17025.

Differenza tra accreditamento e certificazione

Sebbene i termini siano a volte confusi, l’accreditamento e la certificazione sono concetti distinti.

La certificazione è un’attestazione, rilasciata da un organismo di certificazione di terza parte, che una determinata attività o uno specifico prodotto rispetta i requisiti di una norma di riferimento. Esempi comuni sono le certificazioni ISO 27001 o ISO 9001.

L’accreditamento, invece, è un’attestazione rilasciata da un organismo nazionale di accreditamento che certifica che un determinato organismo di valutazione della conformità (come un laboratorio di prova) soddisfa i criteri stabiliti da norme armonizzate e altri requisiti supplementari.

Secondo il Regolamento (CE) N. 765/2008 (che definisce le norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti), ogni Stato membro nomina il proprio Ente Unico nazionale di accreditamento con uno status giuridico di pubblica autorità.

In Italia questo ruolo è ricoperto da Accredia, ente unico di accreditamento designato dal governo. L’accreditamento per un laboratorio non è automatico per tutte le prove che offre, ma viene conseguito per ogni specifica prova o taratura a seguito del superamento di una visita ispettiva da parte dell’organismo competente, che verifica il soddisfacimento dei requisiti della norma.

L’accreditamento conferisce maggiore credibilità agli organismi di certificazione e ai laboratori di prova, assicurando la validità dei risultati.

Divergenze interpretative e implicazioni per il mutuo riconoscimento

L’ampia applicabilità della norma ISO/IEC 17025, pur essendo un punto di forza, ha generato delle sfide specifiche nel suo impiego per l’accreditamento dei laboratori di prova nel settore della sicurezza dei prodotti ICT.

Le prove condotte in questo ambito presentano peculiarità intrinseche che le distinguono significativamente, ad esempio, dalle analisi effettuate in un laboratorio medico. Questa diversità ha portato, nel tempo, a interpretazioni divergenti sull’applicabilità della norma da parte dei vari schemi nazionali di certificazione.

Tali discrepanze interpretative hanno sollevato potenziali problemi per gli accordi di mutuo riconoscimento delle certificazioni. La validità transnazionale delle certificazioni, elemento fondamentale per il commercio e la cooperazione internazionale, rischiava di essere compromessa da un’applicazione non uniforme dello standard di accreditamento.

Per ovviare a questa problematica e garantire una maggiore coerenza, l’Organizzazione internazionale per la normazione (ISO) ha emesso una specifica tecnica, la ISO/IEC TS 23532-1 del 2021.

Questo documento integra e specifica lo standard fornendo interpretazioni mirate per i requisiti applicabili ai laboratori che effettuano valutazioni di sicurezza ai sensi dello standard Common Criteria (recepito nella norma ISO/IEC 15408).

La specifica tecnica chiarisce come determinati requisiti della ISO 17025 debbano essere interpretati e applicati in contesti di valutazione della sicurezza ICT, risolvendo le ambiguità e promuovendo un’applicazione più uniforme a livello globale.

L’importanza del mutuo riconoscimento nella sicurezza informatica: cosa sono i Common Criteria e come si è arrivati all’EUCC

I Common Criteria (CC), formalmente noti come ISO/IEC 15408, rappresentano uno standard internazionale per la valutazione della sicurezza dei prodotti ICT. La loro genesi risale ai primi anni ’90, frutto di un’iniziativa congiunta tra Stati Uniti, Canada e diverse nazioni europee (Francia, Germania, Paesi Bassi, Regno Unito).

L’obiettivo primario era superare le disparità tra gli standard di sicurezza allora vigenti, come il Trusted Computer System Evaluation Criteria (TCSEC) statunitense e l’Information Technology Security Evaluation Criteria (ITSEC) europeo, per stabilire un insieme unico e condiviso di “criteri comuni” per la valutazione della sicurezza.

A seguito della loro emissione sono nati schemi nazionali di certificazione, come l’Organismo di certificazione della sicurezza informatica (OCSI) in Italia, che hanno adottato i Common Criteria e, soprattutto, hanno sottoscritto accordi di mutuo riconoscimento. Tra questi, il CCRA (Common Criteria Recognition Arrangement) e il SOG-IS (Senior Officials Group Information Systems Security) – quest’ultimo valido per circa 17 paesi europei -, sono stati fondamentali.

Il mutuo riconoscimento è un pilastro della sicurezza informatica internazionale, in quanto consente che una valutazione di sicurezza di un prodotto ICT, effettuata in un paese firmatario (ad esempio, Italia, Francia o Spagna), sia automaticamente riconosciuta anche in altri paesi, inclusi gli Stati Uniti.

Questo meccanismo è di importanza strategica, poiché non solo facilita il commercio internazionale di prodotti sicuri, ma contribuisce anche a stabilire un livello di sicurezza dei prodotti uniforme a livello globale, promuovendo la fiducia e la compatibilità tra diverse soluzioni tecnologiche.

L’evoluzione più recente di questo quadro normativo è l’introduzione dello schema europeo EUCC (European Common Criteria), entrato in vigore il 26 febbraio 2025, a seguito del Cyber Security Act.

L’EUCC ha recepito e di fatto superato il SOG-IS, stabilendo che un certificato emesso sotto il nuovo schema è automaticamente valido e riconosciuto in tutta Europa, semplificando ulteriormente i processi di certificazione e rafforzando il mercato unico digitale.

Con l’avvento dell’EUCC, le autorità nazionali di certificazione, come l’Agenzia per la cybersicurezza nazionale (ACN) in Italia, hanno assunto un ruolo centrale nell’accreditamento dei laboratori.

In questo contesto, l’Agenzia dell’Unione europea per la cybersicurezza (ENISA) ha predisposto specifiche linee guida (“Accreditation of ITSEFs for the EUCC Scheme – Version 1.1, October 2023”), che riprendono i requisiti della ISO/IEC 17025 e le integrazioni della ISO/IEC TS 23532-1, mappandoli sui requisiti del Regolamento europeo Cyber Security Act e integrandoli con ulteriori specifiche dello schema europeo.

Questo complesso intreccio normativo mira a garantire che i laboratori accreditati per l’EUCC operino secondo i più elevati standard di competenza e imparzialità, a beneficio della sicurezza informatica in tutta l’Unione.

ISO/IEC 17025, la struttura della norma

La norma ISO 17025 è strutturata in cinque parti principali che definiscono i requisiti per i laboratori di prova:

  • requisiti generali (Capitolo 4), che si concentrano in particolar modo sulla gestione dell’imparzialità e sulla riservatezza delle informazioni
  • requisiti strutturali (Capitolo 5). Riguardano la struttura organizzativa del laboratorio, i compiti del top management e i meccanismi per garantire l’imparzialità.
  • Requisiti sulle risorse (Capitolo 6). Coprono la gestione del personale, delle attrezzature/tool/dispositivi e infrastrutture, e la riferibilità metrologica.
  • Requisiti di processo (Capitolo 7). Descrivono l’intero ciclo operativo del laboratorio, dalla revisione dei contratti alla gestione dei reclami.
  • Requisiti di gestione (Capitolo 8), inerenti al sistema di gestione generale, inclusa la documentazione, il controllo, gli audit interni e i riesami della direzione.

Approfondiamo di seguito alcuni dei principi e degli elementi più importanti contenuti nella normativa.

Requisiti generali: il concetto di imparzialità e quello di riservatezza

L’imparzialità, definita come “presenza di obiettività” (intesa come l’assenza o la pronta risoluzione di conflitti di interesse che potrebbero influenzare negativamente le attività del laboratorio), è un concetto fondamentale all’interno della norma ISO/IEC 17025.

La norma richiede che le attività siano svolte in modo imparziale, che la struttura e la gestione salvaguardino l’imparzialità, che il Management sia impegnato in tal senso e che i rischi per l’imparzialità siano continuamente identificati, gestiti e minimizzati.

Nello specifico delle valutazioni Common Criteria, la TS 23532-1 specifica chiaramente che i valutatori non possono sviluppare e valutare lo stesso Protection Profile (PP), Security Target (ST) o prodotto ICT (TOE). I valutatori che hanno fornito consulenza a clienti per la preparazione di documenti, inoltre, non possono poi essere coinvolti nella valutazione dello stesso prodotto. Questo implica la necessità di segregare le attività di consulenza da quelle di valutazione.

Le linee guida ENISA per l’accreditamento EUCC rinforzano questo concetto, dettagliando ulteriormente i requisiti. Ad esempio, i laboratori devono essere indipendenti dall’organizzazione che sviluppa i prodotti. Se un laboratorio appartiene a un’associazione coinvolta nello sviluppo o distribuzione di un prodotto, può effettuare la valutazione solo se dimostra la sua indipendenza e l’assenza di conflitti di interesse.

La Direzione e i valutatori del laboratorio non possono essere stati coinvolti nella progettazione, sviluppo, installazione, marketing o manutenzione dei prodotti valutati, né avere partecipazioni o cariche rappresentative nelle società produttrici.

Devono evitare attività che possano ledere la loro indipendenza di giudizio, con particolare attenzione alla consulenza. L’imparzialità è considerata l’aspetto più importante della ISO 17025 per garantire risultati corretti e affidabili, ed è ancor più rilevante per le certificazioni EUCC valide in tutta l’Unione Europea.

Un altro requisito rilevante è la riservatezza (confidenzialità) delle informazioni acquisite o prodotte dal laboratorio. Il laboratorio è responsabile di tale riservatezza, anche tramite impegni legalmente vincolanti.

È prassi comune che i valutatori firmino Non Disclosure Agreement (NDA) con il laboratorio, così come il laboratorio li sottoscrive con il cliente. Generalmente, tutte le informazioni sono considerate proprietarie e riservate, salvo quelle rese pubbliche dal cliente, quelle per cui il laboratorio è autorizzato a divulgarle contrattualmente, o quelle richieste per legge.

La riservatezza è cruciale nelle valutazioni Common Criteria poiché i valutatori accedono a informazioni riservate sul prodotto e i rapporti di prova sono ad uso esclusivo dell’ente di certificazione che emette il certificato.

La ISO TS 23532-1 elenca esempi di informazioni che potrebbero essere escluse dagli output delle valutazioni CC perché riservate, come il codice sorgente, i dettagli specifici su campionamento e test, la stima dell’effort e informazioni commercialmente sensibili.

Il laboratorio deve implementare le necessarie misure di sicurezza fisiche e logiche (es. accessi strong, tracciamento, cifratura) per proteggere la riservatezza e garantire una separazione logica e fisica tra i valutatori e altre figure (es. consulenti, sviluppatori, system integrator) che potrebbero avere interessi o influenzare i risultati. Le linee guida ENISA confermano e dettagliano questi requisiti.

Requisiti strutturali

I requisiti strutturali, descritti nel capitolo 5 della normativa, definiscono le regole organizzative e gestionali per garantire competenza, imparzialità e coerenza.

Nello specifico, viene indicato che il laboratorio deve:

  • essere un’entità giuridicamente identificabile (es. società, divisione) responsabile delle proprie attività e dei risultati
  • identificare e documentare il team di gestione con responsabilità e autorità chiare
  • definire e documentare l’ambito delle proprie attività, specificando le prove e tarature per cui è accreditato
  • soddisfare i requisiti della norma, dei clienti, delle autorità regolatorie e degli enti di accreditamento
  • definire una struttura organizzativa documentata con un organigramma che mostri le linee di responsabilità.

In aggiunta, il personale deve avere autorità e risorse adeguate per implementare e migliorare il sistema di gestione, identificare deviazioni e intraprendere azioni correttive. La Direzione deve invece garantire una comunicazione efficace interna per soddisfare i requisiti dei clienti e mantenere l’integrità del sistema di gestione.

Requisiti delle risorse

Il capitolo 6 della ISO/IEC 17025, dedicato ai requisiti sulle risorse, si articola in diverse sezioni che coprono personale, strutture, attrezzature, riferibilità metrologica e controllo dei fornitori esterni.

In termini generali, il laboratorio deve disporre di risorse adeguate, inclusi personale competente, strutture idonee, attrezzature calibrate e sistemi di gestione documentati, per eseguire correttamente le attività di prova e taratura.

Il personale, in particolare, deve essere competente, con criteri ben definiti di istruzione, formazione, esperienza e abilità.

Le strutture e le condizioni ambientali devono essere tali da non compromettere la validità dei risultati, un aspetto particolarmente rilevante per laboratori che non si occupano esclusivamente di valutazioni software.

Le attrezzature devono essere censite, sottoposte a programmi di manutenzione e calibrazione documentati, e mantenute in condizioni operative ottimali.

La riferibilità metrologica, ovvero la proprietà di un risultato di misura di essere collegato a un riferimento attraverso una catena ininterrotta di tarature, è richiesta, ma per le valutazioni CC è interpretata come il collegamento delle attività ai requisiti Common Criteria e alla Common Evaluation Methodology (CEM), dimostrando che gli strumenti e la metodologia sono allineati per fornire prova credibile di conformità.

Il controllo dei fornitori esterni è un altro aspetto essenziale: il laboratorio deve selezionare, valutare e monitorare i fornitori secondo criteri prestabiliti, verificando i prodotti e servizi acquisiti prima del loro utilizzo e documentando tutte le attività di gestione.

Un focus particolare è posto sulla competenza dei valutatori, un elemento che incide direttamente sull’accuratezza dei risultati delle prove. La norma richiede che le competenze dei valutatori siano sistematicamente valutate, registrate, revisionate e che sia previsto un percorso di formazione continua per mantenerle e migliorarle.

Sia la ISO/IEC TS 23532-1 che le linee guida ENISA per l’accreditamento dei laboratori in ambito Common Criteria fanno riferimento alla norma ISO 19896, che dettaglia i requisiti di competenza per i tester e i valutatori della sicurezza delle informazioni.

Le conoscenze e gli skill devono essere principalmente orientati allo standard Common Criteria e alla CEM, oltre a una solida comprensione delle tematiche di sicurezza delle informazioni e delle tecnologie da valutare.

La norma richiede anche la valutazione dell’efficacia dei valutatori, intesa come la loro capacità di utilizzare conoscenze e abilità in modo costruttivo, dimostrando attitudine, iniziativa, entusiasmo, disponibilità, capacità di comunicazione, impegno nel team e leadership.

Ulteriori indicazioni in questo ambito provengono dalle linee guida ENISA per l’accreditamento dei laboratori EUCC che forniscono una tassonomia dei tipi di tecnologie e tecniche di valutazione.

Questa tassonomia dovrebbe essere impiegata sia per la gestione interna delle competenze del laboratorio sia per la sua valutazione da parte degli organismi nazionali di accreditamento (NAB), come Accredia.

I requisiti di processo indicati dalla norma

Il capitolo 7 della ISO/IEC 17025, relativo ai requisiti di processo, fornisce indicazioni relative all’intero ciclo delle attività di un laboratorio di prova e taratura attraverso 11 sottosezioni.

Il primo punto riguarda il riesame delle richieste, offerte e contratti. Il laboratorio deve avere una procedura documentata per esaminare le richieste dei clienti, le offerte presentate e i contratti stipulati, assicurando che i requisiti siano chiari, compresi e che il laboratorio disponga delle risorse e delle competenze necessarie per soddisfarli, selezionando i metodi più appropriati.

La selezione, verifica e validazione dei metodi è un altro aspetto cruciale. La norma specifica che il laboratorio deve utilizzare metodi adeguati e aggiornati, verificandone l’idoneità prima dell’uso e validandoli quando necessario, soprattutto se non standard o sviluppati internamente. Per le valutazioni Common Criteria, i metodi devono essere conformi allo standard CC, alla CEM (Common Evaluation Methodology) e ai Protection Profile (PP). Eventuali metodologie sviluppate dal laboratorio devono essere preventivamente concordate e approvate dall’Organismo di Certificazione.

Il campionamento, sebbene meno rilevante per le valutazioni di sicurezza ICT rispetto ad altri settori (es. medico o chimico), quando eseguito, richiede piani e metodi documentati che descrivano la selezione dei campioni, il piano di campionamento, la preparazione e il trattamento. Le registrazioni appropriate devono includere data, ora, identificazione del campione e condizioni ambientali. Nelle valutazioni CC, la scelta delle prove da campionare è sempre definita dalla CEM, e i rapporti di valutazione devono specificare i criteri utilizzati.

Un’altra sottosezione è dedicata alla gestione degli oggetti da sottoporre a prova o taratura (il cosiddetto Target of Evaluation, TOE, nelle valutazioni CC). Il laboratorio deve avere procedure per il trasporto, la ricezione, la manipolazione, la protezione, la conservazione e l’eliminazione o restituzione degli oggetti, garantendone l’integrità durante tutto il processo.

Le registrazioni tecniche devono essere mantenute in modo da includere risultati, rapporti e informazioni sufficienti a identificare i fattori che influenzano i risultati delle misurazioni e la loro incertezza. Nelle valutazioni CC, la struttura e le informazioni dei report sono definite dalla CEM. Le registrazioni devono essere così dettagliate da consentire a un organismo indipendente di verificare il lavoro di valutazione svolto per ciascuna unità di lavoro e attività di garanzia, e di concordare con il verdetto.

La valutazione dell’incertezza di misura richiede che il laboratorio identifichi e valuti le incertezze associate alle attività di prova e taratura, considerando tutti i contributi significativi. Tuttavia, per alcune valutazioni (es. software), questo requisito può essere non rilevante.

L‘assicurazione della validità dei risultati prevede l’implementazione di procedure per monitorare la validità, utilizzando materiali di riferimento, controlli interni, prove inter-laboratorio e riesami dei risultati da parte di personale competente. Nelle valutazioni CC, una buona prassi è l’implementazione di un processo di Quality Assurance condotto da valutatori diversi da quelli che hanno effettuato la valutazione. Le prove inter-laboratorio, che consentono di confrontare le modalità operative dei diversi laboratori, sono un aspetto su cui si attendono indicazioni da ENISA per l’EUCC.

La norma contiene indicazioni anche per quanto riguarda la presentazione dei risultati, che deve avvenire in modo chiaro, conciso e accurato, includendo tutte le informazioni necessarie per la loro interpretazione e conformi ai requisiti specifici (standard CC e CEM).

Una sottosezione del capitolo è dedicata alla gestione dei reclami. Il laboratorio deve adottare una procedura documentata per ricevere, valutare e decidere in merito ai reclami, assicurando imparzialità e tempestività. Il lavoro non conforme deve essere gestito con procedure che includano la documentazione delle non conformità, l’analisi delle cause e l’attuazione di azioni correttive.

Ultimo punto di questo capitolo riguarda il controllo dei dati e la gestione delle informazioni. Su questo fronte il laboratorio deve garantire che i sistemi di gestione delle informazioni utilizzati per la raccolta, elaborazione, registrazione, segnalazione, conservazione o recupero dei dati siano validati per la funzionalità prevista e che le informazioni siano protette da accessi non autorizzati. Per le valutazioni CC, devono essere applicati eventuali requisiti aggiuntivi e specifici definiti dagli Organismi di Certificazione o dagli Schemi di certificazione applicabili.

Requisiti del sistema di gestione (ISO/IEC 17025, capitolo 8)

Il capitolo 8 della norma ISO/IEC 17025 si concentra sui requisiti del sistema di gestione, delineando come un laboratorio debba strutturare e mantenere un sistema per garantire la qualità e la competenza tecnica delle proprie attività.

La norma offre due opzioni per l’implementazione di tale sistema (A e B). L’opzione A (pensata per i laboratori che costruiscono il proprio sistema di gestione specificamente per la conformità alla ISO/IEC 17025) richiede che il laboratorio sviluppi un sistema di gestione che soddisfi specifici requisiti dettagliati nei paragrafi da 8.2 a 8.9 della norma, che includono la documentazione del sistema di gestione, il controllo dei documenti e delle registrazioni, le azioni per affrontare rischi e opportunità, il miglioramento continuo, le azioni correttive, gli audit interni e i riesami della direzione.

L’opzione B è concepita per i laboratori che hanno già implementato un sistema di gestione conforme alla norma ISO 9001:2015. In questo caso il sistema di gestione può essere utilizzato per soddisfare i requisiti del Capitolo 8 della ISO 17025. È necessario dimostrare la conformità ai requisiti dei capitoli da 4 a 7 della ISO 17025 e soddisfare i requisiti specifici relativi alla documentazione (8.2) e al riesame della direzione (8.9).

Nella pratica, anche se un laboratorio sceglie l’Opzione B e ha la certificazione ISO 9001, gli auditor per l’accreditamento verificano comunque l’applicazione dei requisiti ISO 17025 da 8.2 a 8.9 per assicurarsi che vengano effettivamente applicati. Per questo motivo, l’Opzione B è meno frequentemente utilizzata.

Le novità dell’EUCC: un passo avanti per la certificazione di sicurezza

L’introduzione dello schema europeo EUCC, sebbene basato sulla norma ISO 17025 per le valutazioni di sicurezza Common Criteria, porta con sé cambiamenti significativi che rendono il processo di accreditamento dei laboratori più articolato.

Tra le novità principali, l’EUCC richiede un monitoraggio costante della compliance, garantendo che i laboratori mantengano i requisiti di accreditamento e certificazione.

Altro aspetto fondamentale riguarda la gestione di valutazioni composite, che facilita l’analisi di prodotti complessi composti da componenti già certificati. Lo schema introduce anche processi per il patch management e la manutenzione dei certificati, superando il limite dei vecchi schemi nazionali che imponevano una nuova certificazione per ogni aggiornamento del prodotto.

Questo permette di mantenere validi i certificati anche in caso di nuove versioni o vulnerabilità, previa un’analisi di impatto. L’EUCC promuove anche il riutilizzo di documentazione e valutazioni precedenti, accelerando e semplificando le certificazioni successive.

L’accreditamento ISO 17025 nell’ambito EUCC consente ai laboratori di effettuare valutazioni a livello di assurance “substantial”. Per le valutazioni a livello “high”, è richiesto un accreditamento aggiuntivo e integrativo da parte dei Conformity Assessment Body (CAB) governativi autorizzati, con requisiti supplementari per i domini tecnici specifici.

Tuttavia, l’EUCC presenta una limitazione: avendo recepito in gran parte lo schema SOG-IS, è maggiormente focalizzato sulla certificazione di smart card, hardware e sistemi di firma, risultando meno adatto, per il momento, ad altri prodotti ICT complessi come sistemi operativi o software articolati.

Nonostante ciò, è stata individuata una soluzione temporanea per assicurare il mutuo riconoscimento dei certificati EUCC anche nell’ambito del CCRA, valido a livello internazionale e in particolare con gli Stati Uniti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

C
Michelle Crisantemi

Giornalista bilingue laureata presso la Kingston University di Londra. Da sempre appassionata di politica internazionale, ho vissuto, lavorato e studiato in Spagna, Regno Unito e Belgio, dove ho avuto diverse esperienze nella gestione di redazioni multimediali e nella correzione di contenuti per il Web. Nel 2018 ho lavorato come addetta stampa presso il Parlamento europeo, occupandomi di diritti umani e affari esteri. Rientrata in Italia nel 2019, ora scrivo prevalentemente di tecnologia e innovazione.

Seguimi su

Argomenti

Canali

Articoli correlati

  • Aggiornata la ISO 10218: ecco come cambiano gli standard di sicurezza dei robot

  • ROBOTICA SICURA

    Aggiornata la ISO 10218: ecco come cambiano gli standard di sicurezza dei robot

    22 Apr 2025

    di Roberta Nelson Shea

    Condividi
  • Transizione 5.0, ecco il testo ufficiale del decreto attuativo da leggere e da scaricare (PDF bollinato)

  • IL DOCUMENTO

    Transizione 5.0, ecco il testo ufficiale del decreto attuativo da leggere e da scaricare (PDF bollinato)

    26 Lug 2024

    di Redazione

    Condividi
  • Certificazione dei crediti d'imposta R&S, arriva il decreto con il modello per i certificatori (e a breve anche le linee guida)

  • RICERCA E SVILUPPO

    Certificazione dei crediti d'imposta R&S, arriva il decreto con il modello per i certificatori (e a breve anche le linee guida)

    07 Giu 2024

    di Franco Canna

    Condividi
  • Cyber Resilience Act, via libera dal Consiglio dell'UE: nuovi standard per la sicurezza informatica dei prodotti connessi

  • cyber security

    Cyber Resilience Act, via libera dal Consiglio dell'UE: nuovi standard per la sicurezza informatica dei prodotti connessi

    10 Ott 2024

    di Michelle Crisantemi

    Condividi

Articolo 1 di 5