Cybersecurity dei prodotti connessi in rete: PSTI, RED DA e CRA a confronto

Tempo di Lettura: 6 minuti - Livello di Difficoltà: avanzato

Con il comune scopo di migliorare la sicurezza e la resilienza dei dispositivi dotati di connessione in rete, PSTI, RED DA e Cyber Resilience Act sono un compendio di istruzioni per l’adozione delle pratiche di cybersecurity in vigore su più mercati. Scopri quali sono le caratteristiche di questi regolamenti, e come rapportarti con i diversi requisiti di conformità.

Info principali sul regolamento PSTI

PSTI (Product Security and Telecommunication Infrastructure) è un regolamento rivolto al mercato britannico in vigore da aprile 2024, che impone la conformità ai requisiti di cybersecurity per i prodotti di consumo collegabili ad internet, definiti dal regolamento stesso “prodotti collegabili rilevanti”, fra cui rientrano smartphone, laptop e dispositivi domestici o indossabili.

I requisiti minimi di sicurezza a tutela dei consumatori, ai quali produttori, importatori e distributori dovranno attenersi, riguardano la sicurezza delle password, la segnalazione delle vulnerabilità rilevate, l’accessibilità delle informazioni messe a disposizione degli utilizzatori circa gli aggiornamenti di sicurezza dei prodotti.

Le norme armonizzate a cui fare riferimento per l’applicazione del regolamento PSTI sono la ETSI EN 303 645 e la ISO/IEC 29147.

 

Maggiori informazioni:

 

Sei un produttore di dispositivi dotati di connessione wireless che lavora nel mercato UK?

 

Richiedi una consulenza sul PSTI

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Info principali sull’atto RED DA

Il RED DA (Radio Equipment Directive Delegated Act) è l’atto legislativo che integra la Direttiva 2014/53/UE, e che fa il suo ingresso nell’Unione Europea ad agosto 2025. Similmente al regolamento PSTI, il RED DA ha lo scopo di migliorare la sicurezza e la protezione dei dati personali dei consumatori che utilizzano apparecchiature radio connesse a internet. Fra queste rientrano telefoni, tablet, dispositivi che usano tecnologie IoT, dispositivi indossabili, ai quali si aggiungono però i dispositivi di controllo industriale connessi in rete.

I requisiti minimi di sicurezza si concentrano sulla progettazione sicura dei dispositivi, sulla resistenza agli attacchi cyber e sulla prevenzione delle frodi. Gli specifici requisiti per la cybersecurity indetti dal RED DA sono descritti nell’articolo 3.3 lettera d), e), f).

La norma armonizzata per l’applicazione dell’atto RED DA è la prEN 18031, ma resta considerevole anche la IEC 62443, in quanto punto di riferimento universale.

 

Maggiori informazioni:

 

Sei un produttore di apparecchiature radio connesse in rete che lavora nel mercato UE?

 

Richiedi una consulenza sul RED DA

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Info principali sul regolamento CRA

Il CRA (Cyber Resilience Act) è il regolamento europeo sui requisiti orizzontali di cybersecurity per i prodotti contenenti elementi digitali, al voto a marzo 2024, e con entrata in vigore prevista entro la metà del 2024.

Anche per il CRA il chiaro scopo è quello di migliorare la sicurezza e la resilienza dei dispositivi dotati di connessione in rete, ma ciò è rivolto in questo caso ai prodotti industriali: sistemi operativi per server, desktop e dispositivi mobili, firewall, dispositivi IoT, VPN, PLC, SCADA. I prodotti sono suddivisi su due livelli di rischiosità, che il regolamento definisce di Classe I e di Classe II.

Similmente agli altri atti legislativi citati, il Cyber Resilience Act mira a garantire che gli utilizzatori siano adeguatamente informati in merito alla sicurezza dei prodotti che acquistano, e lo fa attraverso l’obbligo per i produttori di attuare misure di cybersecurity adeguate durante l’intero ciclo di vita del dispositivo.

Il Cyber Resilience Act è collegato al Nuovo Regolamento MacchineMachinery Regulation (UE) 2023/1230 -, ma anche alle best practices della norma internazionale IEC 62443.

 

Maggiori informazioni:

 

Sei un produttore di dispositivi industriali digitali che lavora nel mercato UE?

 

Richiedi una consulenza sul CRA

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Riepilogo sui regolamenti per la cybersecurity dei prodotti connessi in rete

 

Regolamento PSTI RED DA CRA
Mercato UK UE UE
Campo di applicazione Prodotti di consumo dotati di connessione internet Prodotti di consumo dotati di connessione internet Prodotti industriali contenenti elementi digitali
Entrata in vigore Aprile 2024 (definitiva) Agosto 2025 (definitiva) Metà 2024 (da confermare)
Requisiti specifici Sicurezza delle password, segnalazione delle vulnerabilità, accessibilità delle informazioni Protezione della rete, protezione dei dati personali, riduzione del rischio di frode Riservatezza, integrità, disponibilità dei dati, mitigazione delle vulnerabilità
Norme collegate ETSI EN 303 645, ISO/IEC 29147 prEN 18031, IEC 62443 Regolamento Macchine 2023/1230, IEC 62443

 

Consigli per una soluzione comune ai regolamenti di cybersecurity

Il nostro consiglio è quello di iniziare sempre dalla verifica dell’applicabilità dei regolamenti di sicurezza informatica attraverso una GAP Analysis.

Per prima cosa determiniamo in quale ambito ricade il vostro prodotto; da qui è possibile procedere in maniera ordinata ad analizzare quali sue caratteristiche rispondono ai requisiti del/i regolamento/i ai quali il dispositivo è soggetto. Appurato il punto di partenza, è possibile decretare quali misure integrative dovrete apportare per dichiararne la conformità.

La GAP Analysis è un’attività che può essere applicata in modo trasversale nel mondo degli standard normativi, e, nella nostra proposta, è la chiave di volta perché vi risulti chiaro cosa funziona e cosa non funziona dei vostri prodotti, parlando in termini di conformità ai requisiti di cybersecurity.

Seguendo i nostri consigli avrete tempo e modo per mettere in atto le strategie di contrasto più adeguate per mitigare i rischi cyber, e, qualora l’ambito normativo lo preveda, certificare il prodotto. Richiedi una consulenza.

 

Maggiori informazioni:

 

Domande? Commenti?

 

Inviaci il tuo feedback

Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin

 

Torna all'elenco degli articoli
Send this to a friend