Le normative europee in ambito di sicurezza informatica stanno evolvendo per affrontare le crescenti sfide poste dalla digitalizzazione e dalla connettività diffusa. Tra le regolamentazioni più rilevanti in questo contesto emergono la Direttiva NIS 2, il Cyber Resilience Act, il RED Delegated Regulation e lo standard ETSI EN 303 645: queste normative mirano a rafforzare la resilienza delle infrastrutture digitali e a garantire un elevato livello di sicurezza informatica per i dispositivi e le applicazioni che ne fanno parte.

È un motto piuttosto noto nell'ambito della sicurezza informatica (che andrebbe discusso meglio) ma lo voglio usare per tranquillizzarti: quando si parla di leggi e normative la preoccupazione è di non capirci nulla. In realtà trovo che questo insieme di norme sia strutturato piuttosto bene, provo a spiegarlo al meglio nei prossimi paragrafi.

Campo di applicazione e obiettivi

Le normative sopracitate sono tre strumenti che, pur avendo scopi specifici e campi di applicazione differenti, sono interconnessi e contribuiscono a rafforzare la sicurezza informatica complessiva delle reti, dei dispositivi connessi e dei servizi digitali nell'UE.

Direttiva NIS 2

• Campo di applicazione: La NIS 2 si applica a un'ampia gamma di settori considerati essenziali e importanti, come energia, sanità, trasporti, infrastrutture digitali, finanza, e anche alcuni fornitori di servizi digitali. È mirata a migliorare la sicurezza delle reti e dei sistemi informativi, elevando gli standard di sicurezza e rafforzando la cooperazione tra gli Stati membri.
• Obiettivo: La NIS 2 mira a garantire la resilienza delle infrastrutture critiche e dei servizi essenziali, imponendo misure di gestione del rischio di sicurezza informatica e obblighi di notifica degli incidenti.

Cyber Resilience Act

• Campo di applicazione: Il CRA riguarda tutti i prodotti con elementi digitali, compresi hardware, software e dispositivi connessi, indipendentemente dal settore. Include quindi una vasta gamma di dispositivi che non sono necessariamente coperti dalla NIS 2.
• Obiettivo: Il Cyber Resilience Act mira a migliorare la sicurezza di tutti i prodotti digitali immessi sul mercato dell'UE, imponendo obblighi di sicurezza informatica lungo tutto il ciclo di vita del prodotto, dalla progettazione all'uso finale, comprese le fasi di aggiornamento.

RED Delegated Regulation

• Campo di applicazione: Si applica specificamente alle apparecchiature radio, che comprendono molti dispositivi IoT connessi a Internet. La regolamentazione delegata impone requisiti di sicurezza per garantire che tali dispositivi proteggano la privacy degli utenti, prevengano le frodi e siano compatibili con i servizi di emergenza.
• Obiettivo: Il RED Delegated Regulation punta a garantire che le apparecchiature radio immesse sul mercato UE rispettino elevati standard di sicurezza informatica, proteggendo così le reti e gli utenti finali.

ETSI EN 303 645

L'ETSI EN 303 645 è uno standard tecnico sviluppato dall'Istituto Europeo per le Norme di Telecomunicazione (ETSI) che stabilisce requisiti di base per la sicurezza dei dispositivi IoT destinati ai consumatori.

Lo standard identifica pratiche di sicurezza fondamentali per prevenire le vulnerabilità nei dispositivi connessi e garantire una maggiore protezione contro gli attacchi informatici. Tra le principali aree coperte dallo standard ci sono:

• Gestione delle credenziali (es. evitare l'uso di password predefinite deboli).
• Protezione delle interfacce di rete.
• Sicurezza dei dati personali e della privacy.
• Aggiornamenti software sicuri.
• Minimi requisiti di sicurezza per la gestione delle informazioni e della comunicazione.

L'ETSI EN 303 645 serve come riferimento per i produttori di dispositivi IoT, guidandoli nell'implementazione di misure di sicurezza adeguate durante la fase di progettazione e produzione.

Le aziende che si conformano all'ETSI EN 303 645 e al RED Delegated Regulation saranno probabilmente già in buona parte conformi ai requisiti del Cyber Resilience Act, una volta che sarà pienamente implementato.

NIS 2 e Cyber Resilience Act si sovrappongono nella loro missione di migliorare la sicurezza informatica, ma operano su livelli differenti. Mentre la NIS 2 si concentra sulla sicurezza delle reti e dei servizi essenziali, il CRA si concentra sulla sicurezza dei prodotti digitali utilizzati all'interno di queste reti. Le due normative sono quindi complementari: la NIS 2 stabilisce requisiti di sicurezza per le infrastrutture critiche, e il CRA assicura che i dispositivi utilizzati in queste infrastrutture siano sicuri.

L'applicazione congiunta di questi regolamenti spinge i produttori a rispettare standard elevati non solo per la conformità, ma anche per proteggere l'intero ecosistema digitale europeo. I prodotti che rispettano il CRA e il RED sono quindi più adatti per essere utilizzati in ambienti regolamentati dalla NIS 2.

Da quando e entro quando bisogna adeguarsi alle norme?

Ecco i riferimenti temporali principali relativi all'approvazione, all'entrata in vigore e ai tempi di applicazione della Direttiva NIS 2, del Cyber Resilience Act e del RED Delegated Regulation:

1. Direttiva NIS 2

• Approvazione: La Direttiva NIS 2 è stata formalmente adottata dal Parlamento Europeo il 10 novembre 2022 e dal Consiglio dell'Unione Europea il 28 novembre 2022.
• Entrata in vigore: La direttiva è entrata in vigore il 16 gennaio 2023, venti giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell'Unione Europea (26 dicembre 2022).
• Tempi di applicazione: Gli Stati membri dell'UE hanno tempo fino al 17 ottobre 2024 per recepire la Direttiva NIS 2 nel diritto nazionale. Ciò significa che le norme dovranno essere applicate a livello nazionale a partire da questa data.

2. Cyber Resilience Act (CRA)

• Approvazione: Il Cyber Resilience Act è stato approvato dal Parlamento Europeo il 12 Marzo 2024.
• Entrata in vigore: Il CRA non ha ancora una data definitiva di entrata in vigore in quanto è attualmente in attesa di approvazione da parte del Consiglio Europeo affinché diventi legge; una volta approvata, la normativa entrerà in vigore entro 20 giorni dalla pubblicazione nella Gazzetta ufficiale dell'UE.
• Tempi di applicazione: Una volta entrato in vigore, il Cyber Resilience Act avrà un periodo di transizione, generalmente di 24 mesi, prima di diventare pienamente applicabile. Quindi, se il CRA venisse approvato e pubblicato nel 2024, potrebbe diventare applicabile tra il 2026 e il 2027.

3. RED Delegated Regulation

• Approvazione: Il regolamento delegato della RED (Radio Equipment Directive) è stato adottato dalla Commissione Europea il 29 ottobre 2021.
• Entrata in vigore: Il regolamento è entrato in vigore il 12 novembre 2021, venti giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell'UE.
• Tempi di applicazione: L'obbligo di conformarsi ai requisiti del RED Delegated Regulation è in vigore dal 1° agosto 2024. Questo significa che i dispositivi radio immessi sul mercato a partire da questa data dovranno essere conformi ai nuovi requisiti di sicurezza.

In sintesi:

• NIS 2: Applicabile a livello nazionale dal 17 ottobre 2024 (👉🏻 qui ulteriori dettagli).
• Cyber Resilience Act: Prevista l'applicazione tra il 2026 e il 2027, a seconda del progresso legislativo.
• RED Delegated Regulation: Applicabile dal 1° agosto 2024.

Impatto sulle app connesse agli oggetti

Le app connesse agli oggetti, che spaziano dagli elettrodomestici intelligenti ai sistemi di automazione industriale, sono particolarmente vulnerabili agli attacchi informatici a causa della loro natura distribuita e della connettività continua. L'introduzione di normative come il RED Delegated Regulation ha un impatto diretto su come queste applicazioni devono essere sviluppate e gestite.

1. Miglioramento della Sicurezza del Software: Le nuove normative spingono gli sviluppatori a integrare misure di sicurezza più avanzate nelle app connesse agli oggetti. Questo include l'adozione di protocolli di crittografia, l'implementazione di autenticazioni multifattoriali e l'uso di tecniche di protezione contro le intrusioni.
2. Conformità e Monitoraggio Continuo: Le aziende devono ora investire maggiormente in sistemi di monitoraggio continuo delle minacce e in soluzioni di gestione delle vulnerabilità. Questo è necessario per garantire che le applicazioni siano conformi alle normative e per rispondere rapidamente a eventuali incidenti di sicurezza.
3. Trasparenza e Responsabilità: Le normative europee impongono una maggiore trasparenza nella gestione degli incidenti di sicurezza. Le aziende sono ora obbligate a notificare rapidamente gli incidenti significativi e a collaborare con le autorità competenti. Ciò non solo migliora la risposta collettiva agli attacchi, ma aumenta anche la fiducia degli utenti nei confronti delle applicazioni connesse.
4. Aggiornamenti di Sicurezza: Per rispettare la norma è essenziale che i dispositivi ricevano aggiornamenti regolari per correggere vulnerabilità e rispondere a nuove minacce. I produttori devono prevedere meccanismi sicuri per l'aggiornamento del software - e spesso viene fatto tramite le app connesse -, evitando che aggiornamenti malevoli possano compromettere il dispositivo.
5. Compliance e certificazione: I dispositivi devono essere testati e certificati per dimostrare la conformità ai requisiti del RED DR. Questo può includere la valutazione anche lato app connessa della sicurezza dei dati personali, la verifica della robustezza contro le frodi e la compatibilità con i servizi di emergenza.

Nei progetti di app connesse agli oggetti che gestiamo ci rendiamo conto che molti aspetti di sicurezza sono già ben gestiti, perché è un aspetto che non sottovalutiamo e che ci piace approfondire; sicuramente per adeguarsi al meglio alle norme c'è bisogno di ulteriore approfondimento e di una società che effettui le verifiche necessarie non solo per l'app in sé ma per l'intera architettura software che ci sta attorno.