20-set-2022
Dal 1° febbraio 2022, la Cyber Security è stata inclusa nella Direttiva sulle apparecchiature radio (RED) e diventerà così un requisito obbligatorio per i prodotti marcati CE e con funzionalità wireless.
I requisiti saranno obbligatori dal 1° agosto 2024 e avranno tre principali aree d’interesse:
- Protezione dell'uso della rete
- Tutela della privacy
- Protezione contro le frodi
I termini utilizzati all’interno della Direttiva RED sono molto generici, pertanto, dalla pubblicazione dell’annuncio ufficiale, abbiamo ricevuto numerose richieste da parte di clienti e aziende interessate. Di seguito elenchiamo le risposte alle 10 domande più comuni che abbiamo ricevuto:
1. Quali saranno gli standard di Cyber Security?
Questo non è ancora stato definito, ma si prevede che la norma ETSI EN 303 645 sarà piuttosto simile agli standard ufficiali; è pertanto raccomandata per una valutazione di pre-compliance.
2. Quando verranno pubblicati gli standards di Cyber Security?
ETSI prevede che la pubblicazione degli standards ufficiali avverrà per la fine del 2023.
3. I requisiti si applicano solo ai nuovi prodotti?
No, tutti i prodotti venduti dopo il 1° agosto 2024 dovranno essere conformi.
4. Che impatto avrà questo cambiamento sui dispositivi Industrial Internet of Things (IIoT)?
I requisiti sopra menzionati sono inerenti a tutti i prodotti che ricadono nello scopo della Direttiva RED. Attualmente non ci sono eccezioni espresse per i dispositivi Industrial Internet of Things. A seconda del prodotto, la norma IEC 62443 può, tuttavia, essere più rilevante dello standard ETSI.
5. Dal momento che non esiste ancora una norma armonizzata, non sarà richiesta la conformità fino a quando tale norma non sarà disponibile?
Il 1° agosto 2024 la conformità sarà obbligatoria ed entro tale data verrà pubblicata una o più norme inerenti. Tuttavia, non è ancora chiaro quanto tempo prima di questa data avverrà questa pubblicazione e pertanto i produttori potrebbero avere una tempistica molto breve per conformarsi alle nuove legislazioni. Questo è il motivo per cui consigliamo di adottare misure immediate, prima della pubblicazione dello standard finale.
6. Esistono deviazioni e/o requisiti nazionali specifici all'interno dell'UE?
No, ma potrebbero esserci altri requisiti al di fuori dell'UE.
7. E’ necessario un Organismo Notificato per ottenere la marcatura CE o è possibile emettere un'autodichiarazione?
Per la Radio Equipment Directive (RED) è sufficiente una Dichiarazione di Conformità redatta dal fabbricante purché faccia riferimento alle norme armonizzate. Questo rimarrà valido anche dopo l'introduzione dei requisiti di Cyber Security.
8. È limitato alle apparecchiature radio/wireless?
Si.
9. Quando sarebbe il caso d’iniziare a fare una valutazione dei prodotti?
La raccomandazione di Nemko è di iniziare ora! Tutti i prodotti venduti dopo il 1° agosto 2024 dovranno essere conformi ai requisiti di sicurezza informatica. Attendere uno standard che non dovrebbe essere pubblicato e/o armonizzato fino alla fine del 2023, è molto rischioso. Inoltre, è bene considerare che i dispositivi progettati e messi in produzione prima della pubblicazione degli standard europei per la Cyber Security, con tutta probabilità verranno venduti anche successivamente al 1^ agosto 2024. A quel punto e in così poco tempo, risulterebbe veramente complesso effettuare modifiche e adattare la produzione al fine di conformare il prodotto ai nuovi requisiti legislativi.
10. Come e da dove iniziare?
Una buona strategia potrebbe essere quella di partire con le seguenti attività:
- Valutazione del prodotto attuale secondo lo standard attualmente disponibile (ETSI/EN 303 645)
- Identificare le aree in cui sono necessari miglioramenti
- Valutare se è il caso di rendere conforme il prodotto corrente oppure prendere nota dei miglioramenti al fine di ridurre le possibilità di eventuali non conformità per il prodotto successivo.
Nemko può fornire un supporto
Nemko offre una gamma di servizi a supporto della valutazione di conformità ai nuovi requisiti di sicurezza informatica. In particolare offriamo servizi di Product Attestation e Certification (in accordo allo standard ETSI/EN 303 645). Inoltre, Nemko è Organismo Notificato per la alla Direttiva sulle apparecchiature radio.
Contattaci per maggiori informazioni e per approfondire i nostri servizi di Cyber Security a supporto della valutazione dei dispositivi IoT e Wireless.
Per ulteriori informazioni sulla Cyber Security e sullo standard ETSI/EN 303 645 ai fini della Marcatura CE, iscriviti al nostro Webinar dedicato.