La direttiva RED sulla cybersecurity dei dispositivi connessi
L’Unione europea annuncia la direttiva RED per definire la cybersecurity in relazione ai dispositivi connessi a Internet
La direttiva sulle apparecchiature radio della Commissione europea (CE) 2014/53/UE (RED) istituisce un quadro normativo per le apparecchiature radio, stabilendo i requisiti essenziali per la sicurezza e la salute, la compatibilità elettromagnetica (EMC) e l’efficienza dello spettro radio. La direttiva include ora l’articolo 3, paragrafo 3, allo scopo di definire i requisiti dei dispositivi in relazione alla cybersecurity.
Perché è importante l’articolo 3, paragrafo 3, della direttiva RED
Il 12 gennaio 2022 la Gazzetta ufficiale dell’Unione europea ha pubblicato il regolamento delegato (UE) 2022/30, che applica i requisiti di conformità di cui all’articolo 3, paragrafo 3, lettere d), e) ed f) della direttiva RED. Il regolamento è volto a incrementare la cybersecurity, la protezione dei dati personali e la protezione dalle frodi per i dispositivi wireless applicabili disponibili sul mercato dell’UE. In vigore dal 1° febbraio 2022, il regolamento diventerà obbligatorio il 1° agosto 2024, offrendo ai fabbricanti di dispositivi un periodo di transizione di 30 mesi per conformarsi ai requisiti di cybersecurity di cui all’articolo 3, paragrafo 3.
Che cos’è l’articolo 3, paragrafo 3, della direttiva RED relativo alla cybersecurity
- Articolo 3, paragrafo 3, lettera d): le apparecchiature radio non danneggiano la rete o il suo funzionamento, né abusano delle risorse della rete arrecando quindi un deterioramento inaccettabile del servizio;
- Articolo 3, paragrafo 3, lettera e): le apparecchiature radio contengono elementi di salvaguardia per garantire la protezione dei dati personali e della vita privata dell’utente e dell’abbonato;
- Articolo 3, paragrafo 3, lettera f): le apparecchiature radio riducono il rischio di frode. I fabbricanti di dispositivi dovranno includere funzionalità quali un migliore controllo dell’autenticazione degli utenti per ridurre al minimo i pagamenti elettronici e i trasferimenti di denaro fraudolenti.
Ambito di applicazione del nuovo regolamento
Il nuovo regolamento riguarda i dispositivi connessi a Internet in grado di comunicare tramite Internet, direttamente o tramite altre apparecchiature. Alcuni esempi includono:
- apparecchiature radio connesse a Internet, come dispositivi connessi;
- apparecchiature radio per la cura dei bambini, come giocattoli;
- apparecchiature radio destinate ad essere indossate, oppure assicurate o appese a qualsiasi parte del corpo umano o indumento.
Dall’ambito di applicazione della direttiva RED sono esclusi i dispositivi già rientranti nell’ambito di applicazione delle normative CE:
- 2019/21446: esame del tipo per i veicoli;
- 2018/11397: aviazione civile;
- direttiva 2019/520: sistemi di telepedaggio;
- direttiva (UE) 2018/1972: apparecchiature G e contatori intelligenti;
- regolamento (UE) 2017/745 e regolamento (UE) 2017/746: norme sui dispositivi medici.
Questi regolamenti prevedono requisiti di sicurezza simili ma non rientrano nel nuovo regolamento in merito all’articolo 3, paragrafo 3.
Norme armonizzate in fase di sviluppo
Attualmente nessuna norma armonizzata (HEN) interessa l’ambito di applicazione dell’articolo 3, paragrafo 3, della direttiva RED. Sebbene l’UE non abbia ancora incaricato gli organismi di normalizzazione europei (ESO) di istituire tali norme, gli ESO e la Commissione europea starebbero pianificando di introdurre una HEN prima della data applicabile.
Considerando che la norma armonizzata è ancora in sospeso, nel frattempo si raccomanda ai clienti di conformarsi al regolamento e utilizzare EN 303 645 o IEC 62443 come riferimento per ottenere una certificazione formale da parte di un organismo di certificazione.
Cosa dovranno fare i fabbricanti?
In qualità di fabbricante è importante capire se il tuo prodotto sia interessato dal nuovo articolo 3, paragrafo 3 della direttiva RED relativo alla cybersecurity e, se desideri superare i requisiti in anticipo, puoi ottenere la conformità all’articolo 3, paragrafo 3, lettera d) e/o e) e/o f) sin da ora, ma essa dovrebbe basarsi su norme non armonizzate e dovresti pertanto rivolgerti al tuo organismo notificato (come UL).
Non è troppo presto per verificare come utilizzare queste norme di riferimento per valutare le specifiche del tuo prodotto connesso a Internet. Potresti anche testare i prodotti che verranno spediti in Europa nel 2024 secondo queste norme, oppure ottenere una certificazione da parte di terzi in linea con la norma EN 303 645 fornendo la prova della conformità ai requisiti della direttiva RED.