Nuovi regolamenti per la sicurezza informatica dei dispositivi connessi
Negli ultimi anni, la crescente diffusione di soluzioni basate sull’Internet of Things ha rivoluzionato diversi settori. Tuttavia, l’espansione dei dispositivi connessi ha portato con sé nuove vulnerabilità e crescenti preoccupazioni riguardo la sicurezza informatica. Per affrontare questa complessa sfida, governi e organizzazioni internazionali stanno lavorando per sviluppare regolamenti e normative in grado di stabilire standard di cybersecurity universali, garantendo un equilibrio tra innovazione e protezione. L’obiettivo di questo articolo è fornire una panoramica generale della situazione attuale e delle prospettive future, analizzando alcune normative esistenti, le nuove regolamentazioni in arrivo e il loro impatto sull’ecosistema IoT.
Regolamenti e normative attuali in ambito IoT
Le normative attuali rappresentano un pilastro fondamentale per rafforzare la sicurezza informatica nell’ecosistema IoT, stabilendo regole e standard condivisi per mitigare le vulnerabilità legate a dispositivi connessi. Tra le normative di maggiore rilevanza spiccano il Cybersecurity Act dell’Unione Europea e la California and Oregon’s IoT Cybersecurity Law. L’impatto combinato di queste, e di altre, normative si traduce in un’elevata pressione sull’industria IoT per adottare pratiche di sicurezza informatica all’avanguardia, promuovendo al contempo un mercato più sicuro e competitivo.
Cybersecurity Act (CSA)
Regolamento dell’Unione Europea entrato in vigore nel 2019 con l’obiettivo di rafforzare la resistenza europea agli attacchi informatici e, allo stesso tempo, migliorare il livello di fiducia dei consumatori incentivando le aziende ad adottare misure preventive. Il Cybersecurity Act tratta principalmente due argomenti:
- rafforzare il mandato e aumentare le risorse a disposizione dell’ENISA (European Union Agency for Cybersecurity) in modo da accrescere la sicurezza delle reti e dell’informazione;
- definire un quadro europeo delle certificazioni in ambito sicurezza informatica con cui valutare se prodotti e servizi IT siano effettivamente sicuri e certificabili favorendo la cosiddetta “security-by-design”.
California and Oregon’s IoT Cybersecurity Law
Unione di due leggi sulla sicurezza informatica IoT entrate in vigore nel 2020, la SB-327 della California e la HB 2395 dell’Oregon, che stabiliscono i requisiti di sicurezza per i dispositivi connessi a Internet, comunemente noti come dispositivi IoT. Ecco alcuni dei punti chiave della legge:
- tutti i dispositivi IoT necessitano di password univoche. Le alternative consigliate sono: dotare i dispositivi di una password univoca al momento della loro realizzazione, oppure richiedere all’utente di impostare una password sicura al primo avvio;
- i negozi, i marketplace o altri soggetti che vendono dispositivi IoT non sono responsabili in caso di violazioni di sicurezza. Questo punto mette al centro il produttore del dispositivo IoT che deve assicurarsi della conformità dei propri prodotti alle leggi in vigore;
- la legge non si applica se un utente installa software di altre aziende. La logica è che il software di terze parti potrebbe introdurre vulnerabilità sulle quali il produttore del dispositivo IoT non avrebbe alcun controllo, di conseguenza non viene ritenuto responsabile di un eventuale attacco informatico.
Sicurezza informatica, cosa ci riserva il futuro?
Cosa ci riserverà il futuro della cybersecurity? Con il continuo aumento delle minacce informatiche legate all’Internet of Things, le istituzioni stanno introducendo nuovi regolamenti per affrontare le sfide emergenti e rafforzare la sicurezza informatica dell’ecosistema digitale. Tra i regolamenti di prossima adozione spiccano il Cyber Resilience Act e la nuova direttiva RED, un’opportunità per costruire ecosistemi digitali sicuri, resilienti e innovativi in grado di affrontare le sfide di domani.
Cyber Resilience Act (CRA)
Entrato in vigore nel 2024 (verrà interamente applicato entro il 2027), questo regolamento mira a rafforzare la sicurezza informatica dei prodotti con elementi digitali, sia hardware che software, commercializzati sul mercato unico europeo. L’obiettivo principale è quello di garantire che i dispositivi vengano progettati, sviluppati e mantenuti con adeguate misure di sicurezza. Inoltre, il Cyber Resilience Act prevede l’implementazione di standard a livello europeo per facilitare la conformità da parte dei produttori, creare condizioni di parità per le aziende e rafforzare la fiducia dei consumatori nei prodotti digitali.
Direttiva RED (Radio Equipment Directive)
Anche la direttiva RED è già entrata in vigore e dovrà essere recepita da tutti gli Stati membri dell’Unione Europea entro l’Agosto di quest’anno (2025). La direttiva ha come obiettivo quello di incrementare la cybersicurezza, la protezione dei dati personali e la protezione dalle frodi per i dispositivi wireless sul mercato UE. Particolarmente importante l’articolo 3, paragrafo 3 della direttiva RED che descrive i requisiti di cybersecurity per i produttori di dispositivi:
- le apparecchiature radio non danneggiano la rete o il suo funzionamento, né abusano delle risorse della rete arrecando quindi un deterioramento inaccettabile del servizio;
- le apparecchiature radio contengono elementi di salvaguardia per garantire la protezione dei dati personali e della vita privata dell’utente e dell’abbonato;
- le apparecchiature radio riducono il rischio di frode. I fabbricanti di dispositivi dovranno includere funzionalità quali un migliore controllo dell’autenticazione degli utenti per ridurre al minimo i pagamenti elettronici e i trasferimenti di denaro fraudolenti.
Come affrontiamo la sicurezza informatica?
Per noi la sicurezza rappresenta una parte fondamentale e imprescindibile delle nostre soluzioni IoT. Per questo motivo siamo sempre aggiornati sulle ultime normative e seguiamo gli approcci Security by design e Security by default per lo sviluppo di soluzioni IoT complete, sicure e affidabili.
Realizza il tuo progetto
Per IoTReady la sicurezza delle soluzioni IoT è una questione prioritaria all’interno dei nostri progetti.
Contattaci ora per realizzare il tuo progetto o per conoscere le potenzialità dell’IoT nel tuo settore.