La direttiva RED dell’UE impone prescrizioni sulla cybersicurezza (EN 18031) per i dispositivi connessi. SECO supporta gli OEM con piattaforme sicure, protezione proattiva e conformità semplificata.
Oltre la burocrazia: la Direttiva RED dell'Unione Europea sarà ampliata il 1° agosto 2025 per includere nuovi requisiti di cybersicurezza, che richiederanno la conformità alla norma tecnica EN 18031. La EN 18031 è suddivisa in tre parti, allineate agli articoli 3.3 d, e ed f della direttiva RED, che coprono la protezione delle reti, dei dati e della privacy e la prevenzione delle frodi. Dal 1° agosto 2025, le aziende industriali che producono dispositivi compatibili con la rete per il mercato UE dovranno rispettare i nuovi requisiti della direttiva RED. La cybersicurezza non sarà più facoltativa, ma un obbligo normativo che influenzerà la progettazione del prodotto, i processi di certificazione e il time-to-market.
Con la Direttiva RED, l’UE vuole cambiare il panorama della sicurezza affinché tutti i dispositivi connessi a Internet operino allo stesso livello di sicurezza. Tuttavia, questo rappresenta una sfida importante per le aziende manifatturiere. Orientarsi da soli nella giungla dei requisiti per comprenderne tutte le implicazioni pratiche è estremamente complesso.
Questo blog traduce i nuovi requisiti RED in istruzioni pratiche e applicabili per tutti i settori industriali e spiega come le aziende possono rispettare questi requisiti estesi per i loro dispositivi.
Comprendere i requisiti di cybersicurezza della RED
La Direttiva RED (Direttiva 2014/53/UE) copre tutti i dispositivi che trasmettono o ricevono onde radio e sono immessi sul mercato UE. Ciò vale per un’ampia gamma di prodotti industriali che utilizzano Wi-Fi, LTE, BT o altri dispositivi IoT wireless. La direttiva sarà ampliata in tutta l’UE con i nuovi requisiti il 1° agosto 2025 e introdurrà obblighi di cybersicurezza per i dispositivi descritti. Tra le altre cose, i produttori di questi dispositivi dovranno garantire che:
- Le reti siano protette da accessi non autorizzati
- I dati personali degli utenti siano protetti
- Sia prevenuta la frode nella comunicazione digitale
Lo standard più importante all’interno della Direttiva RED è la EN 18031, suddivisa in tre parti e base tecnica per la conformità a questa direttiva. La norma disciplina anche il rispetto dei requisiti di conformità per la marcatura CE.
Gli OEM che producono dispositivi per il mercato UE devono essere consapevoli delle proprie responsabilità per garantire la conformità a tutti i livelli del prodotto finale, includendo l’intero prodotto e non solo un singolo modulo radio al suo interno. Ciò pone la responsabilità della conformità direttamente sulle spalle del produttore del dispositivo finale.
Impatto pratico sul settore industriale
Nell’industria, la non conformità non è solo un rischio legale, ma anche una minaccia diretta alla continuità operativa e alla sicurezza. Di seguito viene spiegato cosa significano gli articoli della EN 18031 per gli impianti industriali tipici e i dispositivi in essi utilizzati.
Protezione della rete (Art. 3.3d): Prendiamo, ad esempio, un HMI o un gateway connesso a Internet via Ethernet. Il dispositivo non deve rappresentare un punto debole nella rete aziendale attraverso cui un hacker possa ottenere accesso non autorizzato ai dati aziendali. Ciò richiede funzionalità come il secure boot per verificare l’autenticità del firmware, la validazione dell’integrità del firmware all’avvio e durante l’aggiornamento e l’uso di protocolli sicuri per impedire l’accesso non autorizzato.
Protezione dei dati e della privacy (Art. 3.3e): Qualsiasi dispositivo che elabora dati operativi o personali deve utilizzare la crittografia end-to-end (ad es. TLS, AES) per i dati in transito e a riposo, insieme a solidi meccanismi di autenticazione di utenti e dispositivi. Deve inoltre essere applicato il principio del “privacy by default”, che implica la raccolta minima di dati.
Prevenzione delle frodi (Art. 3.3f): Questo è fondamentale per evitare manomissioni. Per i macchinari industriali significa utilizzare firmware e aggiornamenti firmati digitalmente, implementare meccanismi antimanomissione come la protezione tramite fusibili e abilitare la protezione rollback per impedire la reinstallazione di versioni vulnerabili del software.
Le aziende che implementano in tempo le direttive riducono le violazioni della legge vigente e le elevate penali contrattuali e creano fiducia nei consumatori offrendo prodotti sicuri. Creano inoltre un vantaggio competitivo rispetto ai produttori che non implementano o implementano solo parzialmente le direttive.
Accelerare la conformità RED
Le aziende industriali devono sapere che soddisfare questi requisiti tecnici completi è un compito complesso e dispendioso in termini di risorse, che può ritardare il lancio sul mercato. La mancata conformità può comportare la perdita della marcatura CE, il ritiro dal mercato e multe significative.
SECO affronta queste sfide nel soddisfare i requisiti CRA offrendo piattaforme hardware e software progettate per la conformità, integrando funzionalità di sicurezza native dei produttori di chip e tecnologie avanzate di protezione come la validazione del firmware, il monitoraggio in tempo reale e la generazione automatica della distinta base del software (SBOM). L’azienda si avvale inoltre di solide partnership che consentono alle aziende industriali di rispettare i rigorosi requisiti della direttiva RED. Di seguito vi presentiamo alcune delle funzionalità con cui SECO garantisce la conformità ai requisiti di sicurezza.
Base con Clea OS: Clea OS di SECO fornisce le funzionalità essenziali per la conformità RED. È un sistema operativo indipendente dall’hardware, basato su Yocto Linux, che facilita il rispetto dei requisiti di cybersicurezza della EN 18031-1, gestendo funzioni critiche come il secure boot e la validazione del firmware. Clea OS integra nativamente le tecnologie di sicurezza dei produttori di chip, offrendo un’esperienza prodotto completamente sicura e conforme con una configurazione minima da parte del cliente.
Protezione critica a runtime con Exein: SECO ha scelto Exein come partner strategico per offrire protezione avanzata anti-intrusione a runtime. Sebbene la conformità RED sia essenziale, la difesa attiva è fondamentale. La tecnologia embedded di Exein offre analisi in tempo reale dell'attività del processore, rilevamento automatico delle vulnerabilità e protezione in memoria. Ciò significa che può rilevare e fermare gli attacchi mentre avvengono monitorando le deviazioni dal comportamento atteso a livello di sistema. Questo va oltre un controllo statico della conformità per fornire una sicurezza attiva e robusta ai dispositivi implementati.
Certificazione semplificata: SECO fornisce ai clienti supporto tecnico e la documentazione necessaria per tutte le parti dello standard EN 18031, riducendo significativamente la complessità e lo sforzo richiesto ai team interni per ottenere la certificazione finale del prodotto.
Conclusione
La scadenza RED di agosto 2025 sta trasformando il panorama normativo. Sebbene rappresenti una sfida, è anche un’opportunità per sviluppare prodotti intrinsecamente più sicuri. Collaborare con SECO permette alle aziende di delegare la complessità della conformità e, grazie alla tecnologia Exein, distribuire dispositivi con protezione attiva a runtime che va ben oltre i requisiti minimi.
Contatta oggi stesso un esperto SECO per rendere i tuoi prodotti a prova di futuro e garantire l'accesso al mercato UE.