14-set-2022
Dopo anni di discussioni, la Commissione Europea ha deciso di implementare il requisito di sicurezza informatica all’interno della RED (Radio Equipment Directive), la Direttiva Europea dedicata alle apparecchiature radio e che copre la maggior parte dei prodotti IoT e wireless.
Il termine ultimo per commenti e/o modifiche è scaduto a dicembre 2021, pertanto dal 1° gennaio 2022 è iniziato il conto alla rovescia che durerà 30 mesi, fino ad agosto 2024, quando la sicurezza informatica sarà formalmente un requisito obbligatorio per la marcatura CE delle apparecchiature radio.
Background dei nuovi requisiti
I requisiti di sicurezza informatica sono sempre stati parte della Direttiva RED, tuttavia, a causa delle incertezze sui metodi necessari per dimostrare l’effettiva conformità, questa parte del testo non è mai stata implementata, fino ad ora.
I requisiti pertinenti si trovano all’interno della Direttiva e più precisamente all'articolo 3, paragrafo 3, lettere d), e) ed f). Riassumendo, le apparecchiature radio di determinate categorie o classi devono essere progettate in modo da:
(d) non recare danni o utilizzare impropriamente le reti evitando così riduzioni inaccettabili del servizio
(e) proteggere i dati personali e la privacy dell’utente
(f) fornire protezione dalle frodi
Al momento non esistono standard specifici per questi requisiti, pertanto la Commissione Europea ha richiesto che le organizzazioni europee di normazione (ETSI, CEN, and CENELEC) stabiliscano standard pertinenti in modo che i produttori possano valutare i loro prodotti secondo metodi ben precisi.
Questo non vuol dire che non esistano standard per la sicurezza informatica. Infatti, nel 2020 ETSI ha pubblicato il "Cyber Security for Consumer Internet of Things", considerato lo standard più vicino ai requisiti imminenti.
Quali sono i prodotti all’interno dello scopo?
Lo scopo della Direttiva RED, così come l'articolo sulla sicurezza informatica, è ampio, pertanto è possibile affermare che la maggior parte dei prodotti connessi che utilizziamo nella nostra vita quotidiana sono inclusi nei nuovi requisiti.
Utilizzando i riferimenti menzionati sopra, gli ambiti corrispondenti sono:
(d) Qualsiasi apparecchiatura radio che comunica su Internet, direttamente o indirettamente.
(e) Tutte le apparecchiature radio che trattano dati personali, sul traffico e sulla posizione, ad es.
- Apparecchiature radio connesse a Internet
- Apparecchiature radio per l'infanzia*
- Apparecchiature radio conformi alla direttiva sui giocattoli*
- Apparecchiature radio indossabili
(f) Qualsiasi apparecchiatura radio connessa a Internet che consenta il trasferimento di denaro
* S’intendono incluse tutte le apparecchiature per bambini con modulo radio, comprese quelle non connesse a Internet.
E’ importante specificare che, in accordo al Delegated Act on Cybersecurity 2022/30/EU, si ritengono esclude dagli obblighi in materia di protezione dei dati personali (Art. 3.3 e) – direttiva RED) e di protezione dalle frodi (Art. 3.3 f) – direttiva RED) gli autoveicoli (solamente per specifiche categorie), i sistemi di pedaggio stradale, le apparecchiature per il telecontrollo di UAV e le apparecchiature radio specifiche non aerotrasportate eventualmente installabili a bordo degli aeromobili; inoltre nessuno dei requisiti si applica ai dispositivi medici e per diagnostica in vitro.Tuttavia, è bene tener presente che i sopracitati dispositivi ricadono in regolamentazioni dedicate e che fornisco requisiti specifici per la protezione dei dati personali.
Come e quando prepararsi
Attendere la pubblicazione degli standard definitivi non è una buona strategia di product compliance. Infatti, se da una parte lo sviluppo e la definizione degli standard potrebbe subire dei ritardi, l'attuazione del regolamento non seguirà le stesse tempistiche, sarà implementato lo stesso.
A tal proposito è bene considerare che, il tempo che intercorre tra la data di pubblicazione degli standards e quella di entrata in vigore dei requisiti di Cyber Security potrebbe essere molto breve, rendendo molto complessa l'implementazione di requisiti e modifiche sui prodotti.
Al fine di prepararsi al meglio per gli standard che verranno pubblicati è certamente consigliato familiarizzare con la "Cyber Security for Consumer Internet of Things",di ETSI, poiché è percepita come una buona linea guida per gli standard imminenti. Valutare la sicurezza informatica del prodotto il prima possibile, senza attendere la pubblicazione degli standard ufficiali, offre un grande vantaggio: la possibilità di fare esperienza, colmare carenze e/o dubbi al fine di evitare errori nei prodotti che dovranno essere immessi sul mercato dopo il 1° agosto 2024, quando i requisiti di Cyber Security saranno effettivamente obbligatori.
Come iniziare
In base alla nostra esperienza, molti produttori ritardano l'inizio dell'implementazione e del rispetto degli standard di sicurezza informatica, principalmente per due motivi:
- Conoscenza limitata delle normative sulla cyber security. Soprattutto aziende che storicamente hanno prodotto dispositivi non connessi, naturalmente presentano difficoltà maggiori in quanto hanno una esperienza piuttosto limitata con la sicurezza informatica
- Conoscenza limitata degli standard formali; produttori che hanno una vasta esperienza nella realizzazione di prodotti connessi ma potrebbero non avere la stessa familiarità con le norme di cyber security, che spesso includono requisiti che sono al di fuori di ciò che è tradizionalmente considerato sicurezza informatica.
Entrambi i gruppi potrebbero certamente iniziare con una valutazione tecnica in accordo allo standard ETSI EN 303 645.
Contattaci per maggiori informazioni e per approfondire i nostri servizi di Cyber Security a supporto della valutazione dei dispositivi IoT e Wireless.
