La Commissione Ue ha annunciato nuovi piani per introdurre nuove regole che impongono ai produttori di prevedere misure di cybersecurity nei nuovi dispositivi wireless.
L’emendamento alla direttiva Radio Equipment (RED) riguarda tutti i dispositivi wireless, compresi i telefonini, gli smart watch, i tablet, i tracker per il fitness, e tutti gli altri dispositivi elettronici che trasmettono intenzionalmente e/o trasmettono onde radio a scopo di comunicazione.
Con l’installazione di misure di cybersecurity dalla base, la Commissione spera di migliorare la privacy dei consumatori, di migliorare la resilienza delle reti di comunicazione, e di ridurre il rischio di frodi finanziarie e monetarie.
La proposta di legge è stata approvata ufficialmente venerdì scorso.
La proposta di regolamento resterà in consultazione per due mesi prima di entrare ufficialmente in vigore.
Dopodiché, i produttori avranno 30 mesi di transizione per attuare i cambiamenti richiesti per mettersi in regola con le nuove richieste.
Scarica la bozza di regolamento in PDF
Bozza di regolamento in consultazione
Il regolamento entrerà direttamente in vigore senza bisogno di trasposizione nella legislazione nazionale.
In futuro, i nuovi dispositivi wireless dovranno avere funzionalità per garantire la protezione dei dati personali e la tutela dei diritti dei bambini. Dispositivi come i baby monitor dovranno implementare nuove misure conformi che impediscano l’accesso non autorizzato o la trasmissione di dati personali.
Esistono diversi tipi di dispositivi esclusi dalle nuove regole. Questi includono: veicoli a motore, sistemi di pedaggio stradale elettronico, apparecchiature per il controllo remoto di aeromobili senza equipaggio e apparecchiature radio specifiche non aviotrasportate che possono essere installate sugli aeromobili. La CE ha affermato che la sicurezza informatica di questi dispositivi è già adeguatamente coperta dalla legislazione UE esistente.
Dal punto di vista della resilienza delle reti, i dispositivi devono avere delle caratteristiche che prevengano in modo specifico la possibilità che i dispositivi possano essere usati per interrompere il funzionamento di siti web e altri servizi.
La nuova legge prevede anche un’autenticazione dell’utente più forte quando si tratta di effettuare pagamenti elettronici, con la speranza di ridurre al minimo il rischio di frode.
Breton: standard di sicurezza europei per il wireless
“Le minacce informatiche si evolvono rapidamente; sono sempre più complesse e adattabili”, ha affermato Thierry Breton, commissario per il mercato interno. “Con i requisiti che stiamo introducendo oggi, miglioreremo notevolmente la sicurezza di un’ampia gamma di prodotti e rafforzeremo la nostra resilienza contro le minacce informatiche, in linea con le nostre ambizioni digitali in Europa. Questo è un passo significativo nella creazione di una serie completa di standard europei comuni di sicurezza informatica per i prodotti (compresi gli oggetti connessi) e i servizi introdotti nel nostro mercato”.
Mentre la Commissione Europea ha affermato che i nuovi requisiti saranno formulati in termini generali come obiettivi da raggiungere, piuttosto che protocolli o misure specifici da applicare in ciascun dispositivo, lancerà una richiesta di normazione agli organismi europei di normazione al fine di sviluppare norme armonizzate a sostegno di questo atto legislativo.
Per dimostrare la conformità, i produttori potranno scegliere se presentare un’autovalutazione o fare affidamento su una valutazione di terze parti eseguita da un organismo di ispezione indipendente.
Vestager: Nuovi obblighi legali
“Vuoi che i tuoi prodotti connessi siano sicuri. Altrimenti come fare affidamento su di loro per la tua comunicazione aziendale o privata”, ha affermato Margrethe Vestager, vicepresidente esecutivo per un’Europa pronta per l’era digitale. “Stiamo ora introducendo nuovi obblighi legali per la salvaguardia della sicurezza informatica dei dispositivi elettronici”.
Alcuni angoli del settore hanno affermato che l’introduzione delle regole non si concentra sulle aree giuste, affermando che i principi di sicurezza in base alla progettazione dovrebbero essere applicati ai produttori di componenti in modo che i produttori di apparecchiature (OEM) possano produrre dispositivi sicuri per impostazione predefinita.
“Le dinamiche di mercato non consentono agli utenti della tecnologia di influenzare in questo modo gli OEM tecnologici”, ha affermato John Goodacre, direttore della sicurezza digitale per progettazione dell’UKRI e professore di architetture informatiche presso l’Università di Manchester. “Legislazione DCMS Secure by design per i produttori di tecnologia IoT porta questa influenza nello stesso modo in cui questa legislazione suggerisce per i dispositivi wireless.
“È generalmente accettato che le tecnologie mobili vengano riviste ogni 2 o 3 anni, tuttavia questo è incrementale e qualsiasi cambiamento fondamentale sarà difficile. Ciò che deve accadere è che anche le tecnologie fornite ai produttori (OEM) siano protette dalla progettazione in modo che l’OEM possa proteggere i loro prodotti per impostazione predefinita.Ecco perché il governo del Regno Unito sta lavorando attraverso il programma Digital Security by Design (DSbD) con i principali fornitori di tecnologia per portare Digital Security by Design nei componenti utilizzati all’interno dei dispositivi wireless. “
Von der Leyen: Niente difesa senza cyber
L’atto adottato arriva dopo che il presidente von der Leyen ha annunciato a settembre l’intenzione di introdurre una legge sulla resilienza informatica, che mirerà ad attuare misure su una serie più ampia di dispositivi elettronici, coprendo l’intero ciclo di vita.
Nel suo discorso annuale sullo stato dell’Unione al Parlamento europeo a settembre, von der Leyen ha dichiarato: “Non possiamo parlare di difesa senza parlare di cyber. Se tutto è connesso, tutto può essere hackerato. Dato che le risorse sono scarse, abbiamo unire le nostre forze e non dovremmo solo accontentarci di affrontare la minaccia informatica, ma anche sforzarci di diventare leader nella sicurezza informatica.
“Dovrebbe essere qui in Europa dove vengono sviluppati gli strumenti di ciberdifesa. Ecco perché abbiamo bisogno di una politica europea di ciberdifesa, che includa una legislazione su standard comuni nell’ambito di una nuova legge europea sulla resilienza informatica”.
Scarica la bozza di regolamento in PDF
Di questi temi si parlerà al 5G Italy, la conferenza dedicata organizzata dal CNIT, che si terrà dal 30 novembre al 2 dicembre.
