Con il comune scopo di migliorare la sicurezza e la resilienza dei dispositivi dotati di connessione in rete, PSTI, RED DA e Cyber Resilience Act sono un compendio di istruzioni per l’adozione delle pratiche di cybersecurity in vigore su più mercati. Scopri quali sono le caratteristiche di questi regolamenti, e come rapportarti con i diversi requisiti di conformità.
Info principali sul regolamento PSTI
PSTI (Product Security and Telecommunication Infrastructure) è un regolamento rivolto al mercato britannico in vigore da aprile 2024, che impone la conformità ai requisiti di cybersecurity per i prodotti di consumo collegabili ad internet, definiti dal regolamento stesso “prodotti collegabili rilevanti”, fra cui rientrano smartphone, laptop e dispositivi domestici o indossabili.
I requisiti minimi di sicurezza a tutela dei consumatori, ai quali produttori, importatori e distributori dovranno attenersi, riguardano la sicurezza delle password, la segnalazione delle vulnerabilità rilevate, l’accessibilità delle informazioni messe a disposizione degli utilizzatori circa gli aggiornamenti di sicurezza dei prodotti.
Le norme armonizzate a cui fare riferimento per l’applicazione del regolamento PSTI sono la ETSI EN 303 645 e la ISO/IEC 29147.
Vuoi saperne di più? Leggi l’articolo dedicato al PSTI
Info principali sull’atto RED DA
Il RED DA (Radio Equipment Directive Delegated Act) è l’atto legislativo che integra la Direttiva 2014/53/UE, e che fa il suo ingresso nell’Unione Europea ad agosto 2025. Similmente al regolamento PSTI, il RED DA ha lo scopo di migliorare la sicurezza e la protezione dei dati personali dei consumatori che utilizzano apparecchiature radio connesse a internet. Fra queste rientrano telefoni, tablet, dispositivi che usano tecnologie IoT, dispositivi indossabili, ai quali si aggiungono però i dispositivi di controllo industriale connessi in rete.
I requisiti minimi di sicurezza si concentrano sulla progettazione sicura dei dispositivi, sulla resistenza agli attacchi cyber e sulla prevenzione delle frodi. Gli specifici requisiti per la cybersecurity indetti dal RED DA sono descritti nell’articolo 3.3 lettera d), e), f).
La norma armonizzata per l’applicazione dell’atto RED DA è la prEN 18031, ma resta considerevole anche la IEC 62443, in quanto punto di riferimento universale. Il gruppo TÜV Rheinland rappresenta la massima specializzazione in ambito RED DA. Scopri i servizi.
Vuoi saperne di più? Leggi l’articolo dedicato al RED DA
Info principali sul regolamento CRA
Il CRA (Cyber Resilience Act) è il regolamento europeo sui requisiti orizzontali di cybersecurity per i prodotti contenenti elementi digitali, al voto a marzo 2024, e con entrata in vigore prevista entro la metà del 2024.
Anche per il CRA il chiaro scopo è quello di migliorare la sicurezza e la resilienza dei dispositivi dotati di connessione in rete, ma ciò è rivolto in questo caso ai prodotti industriali: sistemi operativi per server, desktop e dispositivi mobili, firewall, dispositivi IoT, VPN, PLC, SCADA. I prodotti sono suddivisi su due livelli di rischiosità, che il regolamento definisce di Classe I e di Classe II.
Similmente agli altri atti legislativi citati, il Cyber Resilience Act mira a garantire che gli utilizzatori siano adeguatamente informati in merito alla sicurezza dei prodotti che acquistano, e lo fa attraverso l’obbligo per i produttori di attuare misure di cybersecurity adeguate durante l’intero ciclo di vita del dispositivo.
Il Cyber Resilience Act è collegato al Nuovo Regolamento Macchine – Machinery Regulation (UE) 2023/1230 -, ma anche alle best practices della norma internazionale IEC 62443.
Vuoi saperne di più? Leggi l’articolo dedicato al Cyber Resilience Act
Riepilogo sui regolamenti per la cybersecurity dei prodotti connessi in rete
| Regolamento | PSTI | RED DA | CRA |
|---|---|---|---|
| Mercato | UK | UE | UE |
| Campo di applicazione | Prodotti di consumo dotati di connessione internet | Prodotti di consumo dotati di connessione internet | Prodotti industriali contenenti elementi digitali |
| Entrata in vigore | Aprile 2024 (definitiva) | Agosto 2025 (definitiva) | Metà 2024 (da confermare) |
| Requisiti specifici | Sicurezza delle password, segnalazione delle vulnerabilità, accessibilità delle informazioni | Protezione della rete, protezione dei dati personali, riduzione del rischio di frode | Riservatezza, integrità, disponibilità dei dati, mitigazione delle vulnerabilità |
| Norme collegate | ETSI EN 303 645, ISO/IEC 29147 | prEN 18031, IEC 62443 | Regolamento Macchine 2023/1230, IEC 62443 |
Consigli per una soluzione comune ai regolamenti di cybersecurity
Il nostro consiglio è quello di iniziare sempre dalla verifica dell’applicabilità dei regolamenti di sicurezza informatica attraverso una GAP Analysis.
Per prima cosa determiniamo in quale ambito ricade il vostro prodotto; da qui è possibile procedere in maniera ordinata ad analizzare quali sue caratteristiche rispondono ai requisiti del/i regolamento/i ai quali il dispositivo è soggetto. Appurato il punto di partenza, è possibile decretare quali misure integrative dovrete apportare per dichiararne la conformità.
La GAP Analysis è un’attività che può essere applicata in modo trasversale nel mondo degli standard normativi, e, nella nostra proposta, è la chiave di volta perché vi risulti chiaro cosa funziona e cosa non funziona dei vostri prodotti, parlando in termini di conformità ai requisiti di cybersecurity.
Seguendo i nostri consigli avrete tempo e modo per mettere in atto le strategie di contrasto più adeguate per mitigare i rischi cyber, e, qualora l’ambito normativo lo preveda, certificare il prodotto.
Vuoi capire meglio come iniziare un percorso di conformità?
Torna all'elenco degli articoli
