Servizi
About UL

As a global safety science leader, UL Solutions helps companies to demonstrate safety, enhance sustainability, strengthen security, deliver quality, manage risk and achieve regulatory compliance. 

Overview
UL Solutions Consumer Information

See how we put safety science to work to help create a safer, more secure and sustainable world for you.

Learn more
Risorse

Explore our business intelligence-building digital tools and databases, search for help, review our business information, or share your concerns and questions.

Overview
UL Solutions Market Access Portal

Accelerate your planning process and learn the requirements needed to take your products to market worldwide.

Visit
myUL® Client Portal

A secure, online source for increased visibility into your UL Solutions project files, product information, documents, samples and services.

Go to myUL
Certification Database — UL Product iQ®

Access UL certification data on products, components and systems, identify alternatives and view guide information with Product iQ.

Visit
Settori
View All
  • Software and Products
  • Servizio

Conformità alla direttiva RED sulla sicurezza cibernetica con UL Solutions

Approfondisci la tua conoscenza dell’articolo 3, paragrafo 3, della direttiva sulle apparecchiature radio della Commissione europea 2014/53/UE (RED), che illustra i requisiti specifici ai dispositivi radio relativamente ad argomenti come le interfacce comuni e la sicurezza cibernetica.

Contattaci
Friends sharing information on smartphones

Panoramica della direttiva sulle apparecchiature radio 2014/53/UE (RED)

Disposizioni principali della direttiva RED 

La direttiva sulle apparecchiature radio della Commissione europea (CE) 2014/53/UE (RED) istituisce un quadro normativo per le apparecchiature radio, stabilendo i requisiti essenziali per la sicurezza e la salute, la compatibilità elettromagnetica (EMC) e l’efficienza dello spettro radio. L’articolo 3, paragrafo 3, della direttiva comprende i requisiti relativi a categorie specifiche di apparecchiature radio in relazione ad argomenti come le interfacce comuni e la sicurezza cibernetica.

Termine ultimo per la conformità

Il 12 gennaio 2022 la Gazzetta ufficiale dell’Unione europea ha pubblicato il regolamento delegato (UE) 2022/30, che applica i requisiti di conformità di cui all’articolo 3, paragrafo 3, lettere d), e) ed f) della direttiva RED. Il regolamento è volto a fornire sicurezza della rete e protezione dei dati personali, come anche dalle frodi, per i dispositivi wireless applicabili disponibili sul mercato dell’UE (vedere il grafico). In vigore dal 1° febbraio 2022, esso diventerà obbligatorio il 1° agosto 2025, offrendo ai fabbricanti di dispositivi un periodo di transizione di 42 mesi.    

Analisi dettagliata dei requisiti di sicurezza cibernetica nell’articolo 3, paragrafo 3, della direttiva RED

Articolo 3, paragrafo 3, della direttiva RED relativo alla sicurezza cibernetica

RED Article 3.3 Cybersecurity shown on a chart

Protezione della rete ai sensi dell’articolo 3, paragrafo 3, lettera d)

L’articolo 3, paragrafo 3, lettera d) aumenta la protezione della rete: i fabbricanti di dispositivi dovranno includere funzionalità che impediscano di danneggiare le reti di comunicazione o il loro funzionamento.

Dati personali e privacy ai sensi dell’articolo 3, paragrafo 3, lettera e)

L’articolo 3, paragrafo 3, lettera e) rafforza la salvaguardia dei dati personali e della privacy. Ad esempio, i fabbricanti di dispositivi dovranno attuare misure per impedire l’accesso non autorizzato ai dati personali dei consumatori e la trasmissione degli stessi.

Misure antifrode ai sensi dell’articolo 3, paragrafo 3, lettera f)

L’articolo 3, paragrafo 3, lettera f) riduce il rischio di frode: i fabbricanti di dispositivi dovranno includere funzionalità quali un migliore controllo dell’autenticazione degli utenti per ridurre al minimo i pagamenti elettronici e i trasferimenti di denaro fraudolenti.

Ambito di applicazione e impatto dei requisiti di sicurezza cibernetica della direttiva RED

Dispositivi oggetto del nuovo regolamento

Il nuovo regolamento riguarda i dispositivi in grado di comunicare tramite Internet, direttamente o tramite altre apparecchiature, e le apparecchiature radio che possono esporre dati sensibili. Alcuni esempi includono:

  • Cellulari, tablet e laptop
  • Giocattoli wireless e dispositivi di sicurezza per bambini (come i baby monitor)
  • Dispositivi indossabili (come smartwatch e fitness tracker)
  • Prodotti wireless per l'energia e l'industria come caricatori per veicoli elettrici, contatori di energia, sensori wireless industriali, computer edge per l'IoT industriale e controlli per l'automazione, router e antenne industriali e motori intelligenti.

L’articolo 3, paragrafo 3, lettera d) riguarda i dispositivi di protezione della rete. L’articolo 3, paragrafo 3, lettera e) riguarda le apparecchiature che trattano dati personali, sul traffico o sull’ubicazione (per definizioni dettagliate consultare l’articolo 4, paragrafi 1 e 2, del regolamento UE 2016/679 e l’articolo 2, lettere b) e c), della direttiva 2002/58/CE).

L’articolo 3, paragrafo 3, lettera f) riguarda le apparecchiature radio che consentono al titolare o all’utente di trasferire denaro, valore monetario o valuta virtuale come definito nell’articolo 2, lettera d), della direttiva (UE) 2019/713. Le misure di sicurezza cibernetica dovrebbero tenere conto delle tendenze criminali emergenti nel settore dei pagamenti elettronici, come il cryptojacking, il ransomware, le frodi legate alla comunicazione di prossimità e la manomissione dell’autenticazione biometrica.

Deroghe e considerazioni particolari

I dispositivi già rientranti nell’ambito di applicazione delle normative CE 2019/21446 (esame del tipo per i veicoli) e 2018/11397 (aviazione civile) o della direttiva 2019/520 (sistemi di telepedaggio) che devono soddisfare requisiti di sicurezza simili non sono oggetto del nuovo articolo 3, paragrafo 3, lettere e) ed f), ma devono essere conformi all’articolo 3, paragrafo 3, lettera d).

Panoramica della serie di norme EN 18031 e del ruolo di UL Solutions nel favorire la conformità alla direttiva RED

Nell’agosto 2022 la CE ha emesso una richiesta a due organismi di normalizzazione europei (ESO), CEN e CENELEC, che si sono attivati per creare delle norme armonizzate. UL Solutions ha esaminato la prima bozza, avanzando diverse proposte per migliorare il documento.

Il 14 agosto 2024 è stata ufficialmente rilasciata la serie EN 18031, contenente le norme candidate all’armonizzazione, che infine sono state pubblicate nello stesso mese.

La serie EN 18031 è composta da tre parti: EN 18031-1, EN 18031-2 e EN 18031-3, che coprono rispettivamente le lettere d), e) ed f) dell’articolo 3, paragrafo 3.

  • EN 18031-1:2024 – Requisiti comuni di sicurezza per le apparecchiature radio – Parte 1: Apparecchiature radio connesse a Internet
  • EN 18031-2:2024 – Requisiti comuni di sicurezza per apparecchiature radio – Parte 2: Apparecchiature radio che elaborano dati, in particolare apparecchiature radio connesse a Internet, apparecchiature radio per la cura dei bambini, apparecchiature radio per giocattoli e apparecchiature radio indossabili
  • EN 18031-3:2024 – Requisiti comuni di sicurezza per le apparecchiature radio – Parte 3: Apparecchiature radio connesse a Internet che elaborano denaro virtuale o valore monetario

La serie di norme EN 18031 è stata armonizzata il 28 gennaio 2025, con delle restrizioni, con la decisione di esecuzione (UE) 2025/138 – EUR-Lex. A sostegno di ciò la DG Grow ha pubblicato in parallelo i documenti di orientamento.

Applicando le norme EN 18031 e risultando pienamente conformi, i fabbricanti non dovranno più rivolgersi a un organismo notificato (ON). Tuttavia, un ON continuerà a essere necessario relativamente a ogni altra norma, tra cui PSA, EN 303 645, ISA/IEC 62443, ecc.

Inoltre, nel caso in cui si applichino delle restrizioni, i fabbricanti dovranno rivolgersi obbligatoriamente a un ON, a meno che non abbiano applicato integralmente le norme EN 18031 pertinenti e non stiano violando tali restrizioni.

EN 18031-1:2024 (apparecchiature radio connesse a Internet): restrizioni

  • Le sezioni “Giustificazione” e “Indicazioni” non garantiscono la conformità*
  • Consentire agli utenti di usare il dispositivo senza l’impostazione di una password

*Per approfondire il primo punto, queste sezioni hanno i seguenti scopi:

  1. Giustificazione: spiega il ragionamento alla base di requisiti specifici, aiutando i fabbricanti e i valutatori a capire perché sono necessarie determinate misure di sicurezza.
  2. Indicazioni: offre ulteriori informazioni su come implementare o interpretare i requisiti, fornendo consigli pratici ai fabbricanti.

È importante notare che, sebbene queste sezioni siano utili alla comprensione e all’attuazione della norma, non conferiscono una presunzione di conformità ai requisiti essenziali di cui all’articolo 3, paragrafo 3, della direttiva 2014/53/UE. Ciò significa che seguire le linee guida o comprendere le giustificazioni non è in sé sufficiente a dimostrare la conformità ai requisiti di sicurezza cibernetica della direttiva RED.

EN 18031-2:2024 (apparecchiature radio che elaborano dati): restrizioni

  • Le sezioni “Giustificazione” e “Indicazioni” non garantiscono la conformità*
  • Consentire agli utenti di usare il dispositivo senza l’impostazione di una password
  • Controlli di accesso dei genitori/tutori inadeguati per classi specifiche di dispositivi (ossia l’implementazione di controlli di accesso dei genitori/tutori efficaci per le categorie pertinenti di dispositivi)

EN 18031-3:2024 (apparecchiature che elaborano denaro virtuale): restrizioni

  • Le sezioni “Giustificazione” e “Indicazioni” non garantiscono la conformità*
  • Consentire agli utenti di usare il dispositivo senza l’impostazione di una password
  • È necessario un ON per quei giocattoli che non garantiscono controlli di accesso dei genitori/tutori
  • I criteri di valutazione di cui alla clausola 6.3.2.4 della norma non sono adeguati. Citando il paragrafo (8) del testo principale: La clausola 6.3.2.4 della norma armonizzata EN 18031-3:2024 comprende criteri di valutazione per la sicurezza degli aggiornamenti. Vengono stabilite quattro diverse categorie di implementazione, basate su firme digitali, meccanismi di comunicazione sicuri, meccanismi di controllo degli accessi o altro. Nessuno dei metodi è sufficiente, da solo, ai fini del trattamento di attività finanziarie. Si ritiene che i criteri di valutazione non affrontino adeguatamente i pertinenti rischi di autenticazione e non possano pertanto garantire la conformità al requisito essenziale di cui all’articolo 3, paragrafo 3, primo comma, lettera f) della direttiva 2014/53/UE.
  • Dalla sezione “Giustificazione”: un fabbricante di prodotti coperti dalla norma armonizzata EN 18032-3:2024 a cui si applica la clausola 6.3.2.4 non beneficia della presunzione di conformità a prescindere dalla progettazione. È obbligatoria una valutazione di conformità di terza parte.

Le norme armonizzate EN 18031 supportano i requisiti essenziali di cui all’articolo 3, paragrafo 3, lettere d), e) ed f), e contengono le specifiche tecniche per le apparecchiature radio in oggetto. Queste specifiche riguardano il monitoraggio del traffico di rete, la mitigazione degli attacchi DoS, i meccanismi di autenticazione e controllo degli accessi, il meccanismo per la sicurezza degli aggiornamenti e la riduzione della superficie di attacco. Esse affrontano anche la sicurezza e la privacy dei dati, trattando in particolare questioni come la prevenzione della memorizzazione accidentale o non autorizzata e l’elaborazione, l’accesso, la divulgazione, la distruzione o la perdita di dati. Inoltre, offrono agli utenti la possibilità di cancellare facilmente i dati personali memorizzati su un dispositivo prima di smaltirlo per impedirne la scoperta da parte di altri.

Perché collaborare con UL Solutions per la conformità alla direttiva RED sulla sicurezza cibernetica

Siamo esperti di sicurezza cibernetica e conformità

La direttiva RED ha un impatto su tutti i fabbricanti di apparecchiature radio destinate al mercato europeo.

I fabbricanti, responsabili della sicurezza cibernetica durante l’intero ciclo di vita dei dispositivi, possono affidarsi a UL Solutions per raggiungere la conformità alla direttiva RED grazie a servizi di consulenza che evidenziano le lacune e forniscono orientamento verso il raggiungimento dei propri obiettivi.

Pieno sostegno dalla strategia all’implementazione

UL Solutions fornisce supporto in ogni momento dello sviluppo. In fase iniziale consigliamo come progettare tenendo a mente la sicurezza, incorporandola nella governance e nei processi. A tal fine, i nostri esperti di sicurezza offrono corsi di formazione e workshop che garantiscono al team del cliente le conoscenze necessarie per realizzare prodotti di successo.

Nelle fasi di sviluppo successive effettuiamo analisi delle lacune o valutazioni complete della conformità alle norme EN 18031-1/EN 18031-2/EN 18031-3, EN 303 645 e IEC 62443-4-2 per aumentare il grado di sicurezza dei prodotti. Le ultime due norme appena citate sono di grande aiuto nel raggiungimento degli obiettivi, in quanto hanno gli stessi requisiti utili a soddisfare quelli essenziali per la direttiva RED.

Servizi di consulenza e formazione sulla conformità

Workshop sull’atto delegato RED (RED DA) e sul panorama normativo europeo

Questo workshop illustra il panorama delle norme europee sulla sicurezza cibernetica, ponendo le basi per una più profonda comprensione del RED DA relativamente all’articolo 3, paragrafo 3, lettere d), e) ed f), oltre che della sua importanza nel migliorare la sicurezza e la privacy dei dispositivi connessi insieme agli impatti futuri del regolamento sulla ciberresilienza.

Servizi di consulenza

Offriamo corsi di formazione in ogni fase del percorso dei clienti verso il raggiungimento della conformità alla direttiva RED.

  • Base – Livello 1: introduzione

    Questi servizi di consulenza sono pensati per quei fabbricanti che, privi di esperienza con il RED DA, cercano un esperto che li aiuti a identificare le principali lacune di conformità.

  • Intermedi – Livello 2: sviluppo

    Questi servizi di consulenza sono pensati per quei fabbricanti che si stanno già impegnando a raggiungere la conformità al RED DA e che hanno esperienza con le certificazioni di sicurezza cibernetica.

  • Elevati – Livello 3: definizione

    Questi servizi sono pensati per quei fabbricanti che, avendo quasi completato il proprio percorso verso la conformità al RED DA, cercano un esperto che valuti il lavoro svolto.

Servizi di valutazione della conformità

Talvolta i fabbricanti devono dimostrare la conformità dei prodotti all’articolo 3, paragrafo 3, lettere d), e) ed f) della direttiva RED attraverso la valutazione di un ON, come UL Solutions. Facendo ciò, è possibile confermare la conformità prima della data obbligatoria del 1° agosto 2025 e al di fuori di un potenziale periodo di punta nella richiesta di test.

Inoltre, per fare sì che i fabbricanti entrino senza intoppi nei mercati globali, forniamo servizi di valutazione, test e certificazione relativi a:  

  • EN 303 645: Cybersecurity for Consumer Internet of Things (sicurezza cibernetica per lo sviluppo di dispositivi IoT consumer)
  • Regolamento sulla resilienza cibernetica (CRA)
  • ISA/IEC 62443: Security for Industrial Automation and Control Systems (sicurezza per sistemi di automazione e controllo industriale)
  • Regolamento PSTI (Product Security and Telecommunication Infrastructure) britannico
  • NIST IR 8259A statunitense: IoT Device Cybersecurity Capability Core Baseline (controlli di base per la sicurezza informatica dei dispositivi IoT)
  • NIST IR 8425 statunitense: Profile of the IoT Core Baseline for Consumer IoT Products (profilo dei controlli di base per i prodotti IoT consumer)
  • Legge sulla sicurezza SB 327, “Internet of Things Security Act”, della California
  • Cybersecurity Labelling Scheme (CLS) di Singapore
  • Valutazione di sicurezza dei dispositivi IoT verificata da UL (MCV 1376)
  • ISO 27001: Information Security, Cybersecurity and Privacy Protection — Information Security Management Systems (Sicurezza delle informazioni, cybersecurity e protezione della privacy – Sistemi di gestione per la sicurezza delle informazioni)
  • FIPS 140-3
  • Criteri comuni

Sintesi della conformità alla direttiva RED sulla sicurezza cibernetica 

La direttiva sulle apparecchiature radio 2014/53/UE (RED) definisce i requisiti di sicurezza ciberneticafondamentali sia per i dispositivi connessi a Internet sia per quelli che trattano dati personali sensibili. Sono disponibili soluzioni e specifiche tecniche per favorire il soddisfacimento di tali requisiti. I fabbricanti devono conformarsi alle normative entro il 1° agosto 2025. UL Solutions offre assistenza completa per il raggiungimento della conformità alla direttiva RED, inclusi servizi di consulenza, analisi delle lacune e valutazioni della conformità. Diamo consigli esperti in ogni momento dello sviluppo del prodotto, che sia durante la progettazione iniziale per tenere a mente la sicurezza o durante le valutazioni di conformità nelle fasi successive. Data la complessità delle nuove normative e la scadenza imminente, incoraggiamo i fabbricanti a mettersi in contatto con noi per iniziare subito una collaborazione e garantire che i prodotti soddisfino gli standard di cibersicurezza necessari nel mercato dell’UE. 

Scarica le nostre risorse
Cybersecurity

Cybersecurity Requirements in the Radio Equipment Directive

930 KB
Scarica
Radio

Radio Equipment Directive Cybersecurity FAQ

180 KB
Scarica
X

Contatta il nostro team commerciale

Grazie per l’interesse manifestato nei confronti dei nostri prodotti e servizi. Per metterti in contatto con la persona giusta, abbiamo bisogno di alcune informazioni.

Risorse correlate

Offerte correlate

Soluzioni correlate