La sicurezza informatica è un requisito necessario all’ottenimento della marcatura CE per le apparecchiature radio, grazie alle disposizioni della Commissione Europea in materia. Il Regolamento delegato (UE) 2022/30 – entrato in vigore il 11/02/2022 – trova la sua applicazione a partire dal 1/08/2024, conferendo ai fabbricanti un periodo di transizione necessario per adeguare i dispositivi ai nuovi requisiti.
Il Regolamento in questione applica i requisiti di conformità di cui all’articolo 3, paragrafo 3, lettere d), e) ed f) della Direttiva RED, allo scopo di incrementare la cybersecurity, la protezione dei dati personali e la protezione dalle frodi per i dispositivi coinvolti e disponibili sul mercato dell’UE.
I prodotti soggetti all’aggiornamento in tema cybersecurity
La Direttiva RED (Radio Equipment Directive) dedicata alle apparecchiature radio – e dunque ad apparecchi IoT e a strumenti con tecnologia wireless d’uso comune – definisce gli ambiti a cui si applicano i nuovi requisiti, includendo la stragrande maggioranza dei device connessi che si utilizzano nel quotidiano.
Il nuovo quadro normativo si applica a tutte le apparecchiature radio – che possano comunicare tramite Internet, sia direttamente sia tramite altre apparecchiature – che trattino dati personali, sul traffico e sulla posizione. Si applica ai device dedicati all’infanzia; alle apparecchiature radio destinate ad essere indossate, oppure assicurate o appese a qualsiasi parte del corpo umano o indumento; ai device radio conformi alla direttiva sui giocattoli; alle apparecchiature radio connesse a Internet che consentano il trasferimento di denaro.
Dall’ambito di applicazione della direttiva RED sono esclusi vari dispositivi, come i veicoli interessati dal Regolamento (UE) 2019/2144 e i dispositivi connessi all’Aviazione Civile, di cui tratta il Regolamento (UE) 2018/1139. Tra gli altri, inoltre, sono esclusi i sistemi di tele-pedaggio disciplinati dalla Direttiva (UE) 2019/520 e i dispositivi medici a cui si applicano il Regolamento (UE) 2017/745 e il Regolamento (UE) 2017/746.
I requisiti essenziali per la sicurezza informatica
Come reso noto dall’Articolo 3 della Direttiva RED 2014/53/EU, per essere conformi al quadro normativo, le apparecchiature radio di cui sopra devono rispondere ad alcuni requisiti, tra cui:
- non danneggiare la rete o il suo funzionamento, né abusare delle risorse della rete arrecando quindi un deterioramento inaccettabile del servizio;
- contenere elementi di salvaguardia per garantire la protezione dei dati personali e della vita privata dell’utente e dell’abbonato;
- supportare caratteristiche speciali che consentano di tutelarsi dalle frodi.
Gli standard necessari a specificare le disposizioni di sicurezza, tutela e protezione dei dati per i dispositivi radio, IoT e wireless e le loro interazioni sono lo Standard ETSI EN 303 645 “CYBER; cybersecurity for Consumer Internet of Things: Baseline Requirements” e la serie di Standard IEC 62443 “Industrial communication networks – Network and system security”.
Sicurezza informatica e obblighi del fabbricante
I fabbricanti di device relati all’articolo 3 della direttiva RED sono tenuti a valutare la conformità dei prodotti in tema di cybersecurity. Oltre alla valutazione della sicurezza informatica di un prodotto – secondo gli standard disponibili – si può puntare a identificare gli aspetti del device preso in esame che necessitino di miglioramenti, per decidere se rendere conforme il prodotto corrente oppure modificare caratteristiche del prodotto successivo.
Data la relativa brevità del periodo di transizione – considerando la grande mole di prodotti che devono essere messi in regola – i fabbricanti dovrebbero adeguare i dispositivi alle norme in tema di cybersecurity in modo celere, come già fatto da tante aziende del settore, per evitare il rischio di ritardi o sanzioni a ridosso della data di entrata in vigore.
Per chiedere ulteriori informazioni su questo argomento, scrivere a info@sicomtesting.com
o chiamare il numero +39 0481 778931.