Netgroup ottiene la ECSO Cyber Security Made in Europe Label
14 marzo 2023
In data 3 febbraio 2023, Netgroup S.p.a. ha conseguito l’ambita ‘Label ECSO’, nota anche come ‘Certificato Cybersecurity Made in Europe’.
Come nasce la Label ECSO? Qual è il suo fine concreto?
Per comprendere il valore e la natura stessa della Label, è necessario introdurre l’ECSO, l’organizzazione che l’ha ideata e promossa. La European Cyber Security Organisation è un’organizzazione di settore impegnata nella costruzione di un solido ecosistema europeo per la cybersecurity. Tra gli obiettivi principali dell’ECSO vi è il consolidamento della sovranità digitale e dell’autonomia strategica dell’Europa, assieme al rafforzamento della sua resilienza informatica. La Label ECSO rientra fra le iniziative a supporto di tali obiettivi, in quanto da un lato essa consente di identificare facilmente gli attori del settore che supportano, attraverso i propri investimenti in ricerca e sviluppo, il raggiungimento dei menzionati obiettivi di sovranità digitale e di autonomia strategica, dall’altro fornisce ai clienti delle aziende che conseguono la Label di ottenere una forma di garanzia – da parte di un soggetto terzo e autorevole – che i prodotti e i servizi offerti da tali aziende siano stati sviluppati in accordo ai criteri fondamentali di cyber-resilienza, coerenti con le linee guida emanate dall’Agenzia Europea per la Cybersicurezza (ENISA).
Qual è il processo di accreditamento? Quali requisiti bisogna rispettare?
Per rendere più efficace e capillare il processo di accreditamento, l’ECSO collabora con quei partner istituzionali in ciascun paese membro dell’UE in grado di eseguire, con la necessaria competenza e autorevolezza, la valutazione delle richieste pervenute. In Italia, il ruolo di valutatore per la Label ECSO è rivestito dall’Istituto di Informatica e Telematica del Consiglio Nazionale delle Ricerche (IIT-CNR). La richiesta di accreditamento avanzata da Netgroup è stata seguita dalla dott.sa Chiara Pratali, a cui vanno i nostri sentiti ringraziamenti per essere stata un’interlocutrice rigorosa ma sempre affabile e chiara nell’articolare le richieste di evidenze e di approfondimenti.
I requisiti da rispettare per l’ottenimento della Label sono di due ordini: il primo insieme di requisiti è di ordine prevalentemente amministrativo, volto ad appurare non solo l’origine e la proprietà dell’azienda ma anche la destinazione dei suoi investimenti in ricerca e sviluppo; il secondo set è più attinente alle pratiche e alle procedure volte a conferire il giusto livello di cyber-resilienza ai prodotti e ai servizi offerti ai propri clienti.
Nello specifico, i requisiti di tipo amministrativo soddisfatti da Netgroup sono i seguenti:
- base europea: Netgroup è un soggetto giuridico avente sede legale in un paese dell’Unione Europea;
- proprietà europea: Netgroup è una società interamente controllata e detenuta da persone fisiche o giuridiche europee;
- attività svolta in Europa: Netgroup svolge più del 50% delle proprie attività di R&S sulla cybersecurity e detiene più del 50% del personale in Europa, nello SEE o nel Regno Unito;
- prodotti e servizi di cybersecurity sicuri: l’offerta Netgroup risulta conforme ai requisiti di sicurezza fondamentali stabiliti dall’ENISA per il procurement di prodotti e servizi ICT sicuri;
- protezione dei dati: Netgroup si impegna a osservare i principi e gli obblighi sanciti dal Regolamento EU 679/2016 (GDPR) e dalle leggi nazionali sulla protezione dei dati personali.
Oltre al rispetto dei requisiti generali appena enunciati, le aziende che desiderano conseguire la Label devono essere in grado di dimostrare, analiticamente, la conformità della propria offerta rispetto ai requisiti specifici previsti dai precedenti punti 4. (cyber-resilienza) e 5. (data protection), sottoponendo all’esame dei valutatori dell’IIT-CNR un campione rappresentativo dei propri prodotti e servizi. Le aree poste sotto esame sono:
- applicazione del principio della Security by Design allo sviluppo di nuovi prodotti e servizi;
- rispetto del principio del Least Privilege nel disegno e nella configurazione di prodotti e servizi;
- impiego di un meccanismo di Strong Authentication per l’accesso ai propri prodotti o servizi;
- adozione di specifiche misure per la Asset Protection relativamente ai propri prodotti o servizi;
- adozione di apposite misure finalizzate alla Supply Chain Security, lungo l’intero service life-cycle;
- impegno nel garantire la Documentation Transparency, a beneficio del riuso e della manutenibilità;
- applicazione dimostrabile dei processi di Quality Management, per risultati controllati e misurabili;
- impegno nell’assicurare la Service Continuity, lungo tutto il ciclo di vita dei prodotti e dei servizi;
- applicazione di tutte le norme e i regolamenti vigenti nella EU Jurisdiction e nei diversi stati membri;
- rispetto del principio della Data Usage Restriction, con trattamento dati motivato e documentato.
Sia in fase di domanda, sia a seguito delle richieste di approfondimento pervenute dai valutatori dell’IIT-CNR, Netgroup ha fornito tutte le evidenze atte a dimostrare l’aderenza delle sue pratiche ai principi sopra esposti.
Qual è il ruolo della Label ECSO nella strategia Netgroup? Sono in corso iniziative simili?
Il valore della Label ECSO per Netgroup risiede nella costruzione della cosiddetta ‘Digital Trust’, ossia di quella fiducia che i clienti attuali e futuri possono riporre nei servizi erogati da Netgroup, confidenti che tali servizi opereranno a protezione del valore delle loro imprese (immagine, redditività, proprietà intellettuale, ecc.) e consentiranno, al contempo, di cogliere ulteriori opportunità di crescita nel mercato digitale, supportando la creazione di nuovo valore. La Label ECSO si inserisce nel solco di altre iniziative già intraprese da Netgroup al fine di dimostrare, ai propri interlocutori nel settore pubblico e privato, il possesso di una cultura della qualità, del servizio e della sicurezza – una cultura aziendale che viene virtuosamente proiettata nello sviluppo di nuovi servizi e nel miglioramento continuo (c.d. ‘continuous improvement’) dei servizi esistenti. A tale riguardo, Netgroup ha conseguito e rinnovato negli anni la certificazione formale dei propri Sistemi di Gestione della Qualità (SGQ/QMS), del Servizio (SGS/SMS) e della Sicurezza delle Informazioni (SGSI/ISMS), secondo le norme ISO 9001, ISO/IEC 20000-1 e ISO/IEC 27001 – quest’ultima estesa ai controlli integrativi per la gestione dei servizi in Cloud, secondo norma ISO/IEC 27017, e ai controlli integrativi per la protezione dei dati personali nel Cloud, secondo norma ISO/IEC 27018. Netgroup continuerà a investire nella certificazione dei propri sistemi di gestione, delle proprie pratiche professionali e del proprio personale specializzato, con lo scopo di consolidare ulteriormente la propria brand reputation e di raccogliere la fiducia di tutti quegli interlocutori – potenziali partner e clienti prospettici – che ancora non hanno avuto modo di conoscere l’impegno e la serietà di Netgroup e che ritengono necessario poter fare affidamento su attestazioni provenienti da soggetti terzi, autorevoli e qualificati, come gli enti valutatori RINA, AUDISO o, nel caso della Label ECSO, l’IIT-CNR.