Introduzione e quadro giuridico
L'IoT (Internet of Things) ha conosciuto una diffusione incredibile nell'ultimo decennio grazie all'implementazione di tecnologie come Wi-Fi, Bluetooth e NFC, che hanno reso i prodotti interconnessi, comportandosi come apparecchiature radio e entrando nelle case e negli impianti industriali di tutto il mondo. Nel settore della sicurezza informatica, i dispositivi IoT sono comunemente considerati un rischio critico per la sicurezza. Proprio come gli endpoint nel settore della smart home sono ancora scarsamente protetti o non protetti affatto, gli impianti di produzione e industriali presentano talvolta gravi lacune nella sicurezza IT e OT. L'incredibile cifra di 5,5 trilioni di euro è il costo economico globale della criminalità informatica nel 2020, secondo una ricerca pubblicata dal Consiglio dell'Unione Europea, e secondo uno studio del 2022 di Trend Micro, il 90% delle aziende tedesche nei settori energetico, petrolifero e del gas e manifatturiero ha dichiarato di essere stato colpito da attacchi informatici entro 12 mesi, con un danno medio di circa 2,9 milioni di euro. Negli ultimi tempi, la diffusione dei dispositivi indossabili da un lato e la crescente importanza della protezione dei dati dall'altro, soprattutto con i sistemi basati sull'intelligenza artificiale che stanno acquisendo un ruolo primario nell'offerta di mercato di OEM e produttori, hanno rafforzato la necessità di andare oltre il GDPR (Regolamento (UE) 2016/679) e la Direttiva R&TTE (99/5/CE), che, data la tempistica in cui sono stati concepiti ed entrati in vigore, non hanno considerato molti aspetti delle minacce alla sicurezza informatica che ora sono molto reali e molto importanti da tenere in considerazione.
Nel quadro del mercato unico europeo, la direttiva RED stabilisce requisiti di compatibilità elettromagnetica (EMC), sicurezza elettrica e uso efficace ed efficiente dello spettro radio (RF), che dipendono principalmente dall'hardware e dal software di basso livello. Oltre a questi obblighi esistenti, a partire da agosto 2025, la direttiva introdurrà anche requisiti di sicurezza informatica, che saranno principalmente influenzati dal software di alto livello. La Direttiva Europea sulle Apparecchiature Radio (RED) 2014/53/UE è in vigore dal 13 giugno 2016, sostituendo la precedente Direttiva R&TTE 1999/5/CE e utilizzando la maggior parte delle definizioni contenute nel GDPR. Per migliorare la sicurezza informatica e la protezione dei dati, la Commissione Europea ha adottato il Regolamento Delegato (UE) 2022/30 il 29 ottobre 2021, integrando la RED attraverso obblighi di sicurezza informatica previsti dall'articolo 3(3), lettere d), e) e f).
Le categorie specifiche di apparecchiature radio interessate dal presente regolamento includono:
- Apparecchiature radio connesse a Internet: dispositivi in grado di comunicare tramite Internet, direttamente o tramite altre apparecchiature. Questo termine comprende un'ampia gamma di dispositivi elettronici di consumo come smartphone, tablet e dispositivi indossabili.
- Apparecchiature radio progettate o destinate esclusivamente all'assistenza all'infanzia: dispositivi specificamente progettati per monitorare o assistere nell'assistenza all'infanzia, compresi i baby monitor.
- Apparecchiature radio rientranti nella direttiva sulla sicurezza dei giocattoli 2009/48/CE: giocattoli che incorporano funzioni radio e sono in grado di registrare, memorizzare o condividere informazioni, interagire con gli utenti (in particolare i bambini) o integrare componenti quali altoparlanti, microfoni o sensori.
- Apparecchiature radio indossabili: dispositivi progettati per essere indossati, fissati o appesi a qualsiasi parte del corpo umano o agli indumenti. Alcuni esempi includono smartwatch, fitness tracker, cuffie, auricolari o occhiali intelligenti.
In particolare, i dispositivi medici sono esclusi dalle disposizioni contenute nel Regolamento Delegato (UE) 2022/30, in quanto soggetti a specifiche disposizioni in materia di sicurezza informatica ai sensi dei Regolamenti (UE) 2017/745 e (UE) 2017/746. Lo stesso vale per altri dispositivi già coperti da normative UE vigenti, esclusi dall'ambito di applicazione della direttiva RED, come quelli destinati all'aviazione civile (Regolamento (UE) 2018/1139), ai sistemi di telepedaggio stradale (Direttiva 2019/520) e altri ancora.
Inizialmente, la normativa sulla conformità alla Direttiva sulle Apparecchiature Radio avrebbe dovuto applicarsi a partire dal 1° agosto 2024. Tuttavia, per concedere ai produttori ulteriore tempo per conformarsi, la Commissione Europea ha prorogato la data di applicazione di un anno. La nuova data di conformità obbligatoria per il Regolamento Delegato (UE) 2022/30 è ora il 1° agosto 2025, una scadenza ormai imminente per i Produttori, che dovrebbero valutare l'accelerazione dell'implementazione di misure tecniche per conformarsi ai requisiti aggiuntivi, per i Distributori di dispositivi dei Produttori contenenti moduli di connettività e per gli Integratori/OEM, che dovrebbero tenere conto dei nuovi requisiti nello sviluppo dei loro prodotti integrati e connessi utilizzando Apparecchiature Radio prodotte dai Produttori.
Caratteristiche tecniche per la protezione della privacy, dei dati personali e contro le frodi
Il regolamento delegato (UE) 2022/30 integra la direttiva sulle apparecchiature radio (RED) attraverso tre articoli fondamentali, ciascuno dei quali affronta specifici obblighi in materia di sicurezza informatica per le apparecchiature radio.
- L'articolo 3(3)(d)affronta tutti i requisiti comuni di sicurezza informatica specificamente per le apparecchiature radio connesse a Internet. Questa disposizione stabilisce che le apparecchiature radio devono essere progettate in modo da non danneggiare la rete o le sue funzioni, utilizzare impropriamente le risorse di rete o causare un degrado inaccettabile del servizio, impedendo al dispositivo di interrompere la funzionalità del sito web o dei servizi.
- L'articolo 3(3)(e)include requisiti di sicurezza comuni specificamente destinati alle apparecchiature radio che trattano dati personali. Ai sensi di tale articolo, le apparecchiature radio devono integrare misure di sicurezza che garantiscano la protezione dei dati personali e della privacy degli utenti e degli abbonati, prescrivendo misure volte a impedire l'accesso o la trasmissione non autorizzati dei dati personali dei consumatori.
- L'articolo 3(3)(f)introduce requisiti volti a prevenire le frodi. Nello specifico, riguarda le apparecchiature radio in grado di elaborare denaro virtuale o valori monetari, richiedendo che tali dispositivi supportino specifiche funzionalità di sicurezza, come un migliore controllo dell'autenticazione dell'utente, che proteggano dalle attività fraudolente.
Inoltre, la Direttiva RED riconosce i potenziali rischi associati alla combinazione di apparecchiature radio e software, in particolare per quanto riguarda la conformità dopo le modifiche. L'articolo 4 impone ai produttori di fornire informazioni sulla conformità delle combinazioni previste di apparecchiature radio e software. Ciò garantisce che, dopo l'installazione di software nuovo o modificato, l'apparecchiatura radio rimanga conforme ai requisiti essenziali della direttiva.
Come conformarsi?
A partire dal 28 gennaio 2025, la Commissione Europea ha armonizzato tre norme EN 18031 nell'ambito della direttiva RED, definendo un percorso più chiaro per i produttori per dimostrare la conformità in materia di sicurezza informatica. Tuttavia, è fondamentale notare che alcune clausole di queste norme comportano restrizioni specifiche. Ciò significa che i produttori non possono automaticamente presumere la piena conformità semplicemente aderendo a queste norme armonizzate. Ad esempio, i prodotti che consentono l'utilizzo da parte dell'utente senza la protezione obbligatoria tramite password, o i prodotti privi dei necessari controlli di accesso parentale, potrebbero richiedere ulteriori misure di conformità oltre a quelle previste dalle norme stesse.
In tali scenari, i produttori dovrebbero interagire direttamente con un Organismo Notificato, un'organizzazione designata da un paese dell'UE responsabile della valutazione della conformità del prodotto prima dell'immissione sul mercato. Gli Organismi Notificati svolgono compiti relativi alle procedure di valutazione della conformità definite dalla legislazione applicabile ogniqualvolta sia richiesta una valutazione di terze parti. La Commissione Europea tiene un elenco ufficiale di tali organismi. Il coinvolgimento di un Organismo Notificato garantisce che i prodotti dei produttori soddisfino tutti i requisiti specifici di sicurezza informatica delineati dalla Direttiva RED, tenendo conto di eventuali limitazioni previste dalle norme armonizzate.
Inoltre, i produttori dovrebbero implementare proattivamente solide misure di sicurezza informatica, inclusi meccanismi di avvio sicuro, autenticazione reciproca e pratiche di aggiornamento di sicurezza coerenti. Tali pratiche non solo soddisfano gli obiettivi essenziali di RED di tutelare i dati personali e prevenire le frodi, ma rafforzano anche la sicurezza complessiva dei dispositivi.
Dato il dinamico panorama normativo, i produttori devono rimanere costantemente informati sugli aggiornamenti degli standard armonizzati e sui più ampi requisiti di sicurezza informatica previsti dalla Direttiva RED. Il dialogo regolare con esperti del settore come SECO e la partecipazione a sessioni di formazione o workshop pertinenti possono contribuire in modo significativo alla preparazione alla conformità.
Il ruolo di SECO e di Clea
SECO vanta una solida esperienza in ambito di ricerca e sviluppo e garanzia della qualità, posizionandosi come partner affidabile impegnato a gestire quadri normativi in continua evoluzione, come la Direttiva sulle apparecchiature radio (RED). SECO monitora costantemente l'evoluzione degli standard normativi per i dispositivi IoT, collaborando attivamente con i laboratori di certificazione e mantenendo un dialogo aperto con i clienti per garantire la preparazione e il supporto necessari per i futuri requisiti di conformità.
La suite software completa per l'IoT di SECO, Clea, offre un valore significativo ai produttori che desiderano allinearsi ai prossimi obblighi di sicurezza informatica RED. Clea fornisce potenti strumenti per l'orchestrazione sicura dei dati, la gestione dei dispositivi e le applicazioni basate sull'intelligenza artificiale, rendendola una soluzione strategica per i produttori che lavorano in modo proattivo per la conformità RED. Con funzionalità come l'autenticazione SSL reciproca, la rotazione dei certificati e gli aggiornamenti OTA (Over-the-Air) sicuri, Clea migliora la gestione della sicurezza degli endpoint e l'integrità della rete, aiutando i produttori a creare solidi framework di sicurezza informatica che rispondano alle future esigenze normative. Inoltre, grazie all'integrazione della piattaforma premium Exein per la sicurezza informatica dei dispositivi IoT, e in particolare all'integrazione di Runtime Security e Analyzer, la flotta connessa è protetta in tempo reale e le vulnerabilità vengono rilevate automaticamente prima e dopo l'implementazione.
Inoltre, Clea funge da piattaforma abilitante per i produttori che stanno transitando verso la servitizzazione, offrendo funzionalità come la monetizzazione dei dati, modelli di abbonamento e pipeline AI/ML integrate tramite il Clea Portal. Attraverso questo approccio proattivo, SECO dimostra il suo impegno nell'aiutare i clienti ad affrontare le sfide della conformità normativa, aprendo al contempo nuove opportunità di crescita e innovazione.
Visita SECO.com per scoprire come SECO può aiutare le aziende a sviluppare prodotti intelligenti conformi allo standard RED con sicurezza IoT all'avanguardia, funzionalità di servitizzazione e connettività fluida.