Direttiva europea RED, focus sulla sicurezza dei dispositivi radio connessi via Internet

Direttiva europea RED

Vediamo nel dettaglio la descrizione della normativa:

• Articolo 3.3: Le apparecchiature radio di determinate categorie o classi sono fabbricate in modo tale da garantire la conformità ai seguenti requisiti essenziali;
• Art. 3.3 d) non danneggiano la rete o il suo funzionamento, né abusano delle risorse della rete arrecando quindi un deterioramento inaccettabile del servizio;
• Art. 3.3 e): contengono elementi di salvaguardia per garantire la protezione dei dati personali e della vita privata dell’utente e dell’abbonato;
• Art. 3.3 f) supportano caratteristiche speciali che consentano di tutelarsi dalle frodi.

L’articolo d) impatta la cyber security intesa principalmente come resilienza di rete. La parte e) riguarda invece la Privacy degli utenti/consumatori, infine la f) riguarda la necessità di ridurre il rischio di frodi monetarie.
Nel seguito ci concentreremo sulla parte d) che è il requisito di cyber security per tutti gli “oggetti Radio digitali aventi connettività Internet”.

Ambito di applicazione della Direttiva RED

Come anticipato, nella introduzione, la Direttiva RED si applica a tutti i dispositivi Radio connessi via Internet.

Esempi di tali dispositivi sono oggetti appartenenti al settore Smart Home, oppure oggetti di tipo “indossabile”, Smart Toys, ma anche dispositivi di Rete generali e industriali.
In questo senso, possiamo parlare di legislazione “orizzontale”, ovvero di una norma che vuole imporre l’obbligo di cyber security non per singole aree o tipologie di prodotti, ma per situazioni molto più generali.

Non rientrano nell’ambito di cyber security RED i seguenti prodotti, in quanto già normati da altre regolamentazioni (Allegato 1 della Direttiva):

• apparecchiature radio utilizzate da radioamatori ai sensi dell’articolo 1, definizione 56, delle norme radio dell’Unione internazionale delle telecomunicazioni (ITU), tranne nel caso in cui le apparecchiature siano state messe a disposizione sul mercato. Non sono considerati messi a disposizione sul mercato: a) i kit di apparecchiature radio destinati a essere assemblati e utilizzati da radioamatori; b) le apparecchiature radio modificate da radioamatori ad uso degli stessi; c) quelle costruite da singoli radioamatori per scopi scientifici e sperimentali nel quadro dell’attività radioamatoriale;
• equipaggiamento marittimo che rientra nell’ambito di applicazione della direttiva 96/98/CE (1);
• prodotti per aerei, loro parti e pertinenze rientranti nell’ambito di applicazione dell’articolo 3 del regolamento (CE) n. 216/2008 del Parlamento europeo e del Consiglio (2);
• kit di valutazione su misura per professionisti, destinati a essere utilizzati unicamente in strutture di ricerca e sviluppo a tali fini.

Per gli altri prodotti, invece, si deve applicare la direttiva.

Gli standard armonizzati

Per poter realizzare questo obiettivo, si è reso necessario individuare ed approvare un serie di standard (cosiddetti “Armonizzati”) cui fare riferimento per i dettagli tecnici.
Uno Standard “armonizzato” significa uno standard europeo adottato sulla base di una richiesta fatta dalla Commissione UE per l’applicazione di una legislazione di armonizzazione dell’Unione europea.

Nel caso della Direttiva RED, gli standard armonizzati che sono stai approvati sono i seguenti:

• EN 18031-1 (per la parte di Art 3.3 d)
• EN 18031-2 (per la parte di Art 3.3 e)
• EN 18031-3 (per la parte di Art 3.3 f)

Il primo standard: requisiti di cyber security

Il primo standard di questa famiglia ha il titolo di “Common security requirements for radio equipment – Part 1: Internet connected radio equipment”.

Lo standard EN 18031-1 divide i requisiti in macro-aree, la seguente lista rappresenta un riassunto delle principali aree di intervento, insieme ad una breve descrizione:

• controllo accessi: meccanismi di controllo degli accessi per gestire l’accesso alle risorse di sicurezza/rete e garantire che solo le entità autorizzate vi abbiano accesso;
• autenticazione: meccanismo di autenticazione per gestire l’accesso in lettura, modifica o utilizzo della configurazione delle funzioni di rete o dei parametri di sicurezza;
• aggiornamenti sicuri: meccanismo di aggiornamento sicuro presente per consentire l’installazione di nuovo software con integrità e autenticità;
• archiviazione sicura: meccanismo di archiviazione sicura per proteggere le risorse in termini di riservatezza e integrità;
• comunicazione sicura: meccanismo di comunicazione sicura per proteggere la comunicazione delle risorse al fine di ottenere la C.I.A;
• resilienza: per attenuare gli effetti degli attacchi DDoS (Denial of Service);
• controllo della Rete: per rilevare gli attacchi DDoS;
• crittografia: basata sulle best practice.

Quali problematiche impatta la Direttiva europea RED

In sintesi, le problematiche di cyber security interessate da questa direttiva sono:

• password deboli;
• servizi di rete non sicuri;
• interfacce insicure;
• mancanza di un meccanismo di aggiornamento sicuro;
• uso di componenti non sicuri o obsoleti;
• trasferimento e archiviazione dati non sicuri;
• mancanza di gestione dei dispositivi;
• impostazioni predefinite non sicure;
• mancanza di tecniche di hardening.

Metodologia di compliance

Lo standard sopra citato definisce con gli allegati una mappatura verso quelli che sono altri due standard molto importanti nel mondo OT/IoT, vale a dire IEC 62443 e ETSI 303-645.

La serie di standard ISA / IEC 62443, sviluppata dal comitato ISA99 e adottata dalla commissione elettrotecnica internazionale (IEC), fornisce un quadro flessibile per affrontare e mitigare le vulnerabilità di sicurezza attuali e future nei sistemi di automazione e controllo industriali (ICS) e in molti altri ambiti come prodotti di tipo OT, Smart building, settore Energy e Medical devices.

Il documento ETSI 303-645 (Cyber Security for Consumer Internet of Things: Baseline Requirements) stabilisce i requisiti di base per tutto il mondo IoT.

Questa mappatura aiuta le aziende che già applicavano questi due specifici standard ad individuare correttamente il gap rispetto alla Direttiva RED.
La compliance che li riguarda comunque non presuppone automaticamente la Compliance Direttiva RED.

Compliance Direttiva RED

Per la Compliance alla Direttiva RED, si rende necessario procedere innanzitutto con la valutazione dei rischi, partendo da una Gap Analysis.

Ecco una breve Linea-guida per muovere i primi passi di Compliance:

• capire se un’apparecchiatura Radio rientra nel campo di applicazione della RED di cyber security: occorre eseguire un’analisi che evidenzia il livello di conformità del prodotto ai requisiti di sicurezza informatica della normativa (EN 18031-1) e che possa chiarire quali azioni correttive è necessario adottare sui dispositivi per dichiararne la conformità. L’analisi include un’analisi approfondita delle caratteristiche di sicurezza informatica del prodotto e un possibile mapping ad altri standard applicabili (ETSI, IEC);
• ogni requisito dello standard EN 18031-1 contiene un cosiddetto “albero decisionale” che rappresenta un modo grafico per guidare l’Assessment. Per ciascun requisito, occorre analizzare l’albero decisionale e il verdetto (superato, non superato, non applicabile) che ne consegue mano a mano che si attraversa il cammino di ogni albero di decisione;
• eseguire un’analisi del rischio. Esempio: metodologia STRIDE, oppure si possono usare valutazioni del Rischio per la Sicurezza Informatica alternative (NIST, ISO).

Valutazione di conformità

In caso di compliance completa allo standard EN 18031-1, si può procedere con il cosiddetto IPC (Internal Production Control) che significa che il fabbricante ottempera agli obblighi previsti e si accerta e dichiara, sotto la sua esclusiva responsabilità, che le apparecchiature radio interessate soddisfano i requisiti essenziali di cui all’articolo 3.

Le norme EN 18031-1, -2 e -3 contengono clausole che possono invalidare la presunzione di conformità per determinati prodotti. Se il dispositivo rientra in queste restrizioni, è necessario coinvolgere un organismo notificato, anche se si applica la maggior parte della norma, altrimenti è possibile applicare sempre il Controllo interno della produzione (Ipc).

Per EN18031-1, questa clausola riguarda il caso in cui “all’utente è consentito non impostare e utilizzare alcuna password“.

Prospettive future

La Direttiva RED è stata attuata in Italia tramite d.lgs. num. 128 del 2016 che definisce anche le sanzioni applicabili per non conformità ai requisiti essenziali.

Un aspetto da non trascurare è la relazione tra la Direttiva RED ed altre norme UE che sono state approvate di recente e/o arriveranno nei prossimi anni.

Per esempio, il Cyber Resilience Act (CRA) è fortemente sovrapposto a questa direttiva, per cui quando sarà entrato pienamente applicabile (fine 2027) la compliance al CRA includerà anche la direttiva RED.