Il Regolamento delegato (UE) 2022/30 integra la Direttiva RED (2014/53/UE) introducendo requisiti obbligatori di cybersecurity per le apparecchiature radio connesse.
In ambito OT (Operational Technology), questo regolamento ha un impatto diretto su tutti i dispositivi industriali dotati di connettività wireless, come Wi-Fi, Bluetooth e reti cellulari (4G/5G).
Regolamento RED 2022 30 ambito di applicazione
Il regolamento attiva specifici requisiti di sicurezza per categorie di dispositivi radio che presentano rischi cyber rilevanti.
- Apparecchiature radio connesse a Internet (direttamente o tramite gateway)
- Dispositivi che trattano dati personali o di localizzazione
- Dispositivi che gestiscono trasferimenti di valore o transazioni
Nel contesto industriale, rientrano tipicamente gateway IoT, router industriali, sensori wireless e sistemi di comunicazione macchina-rete.
Regolamento RED 2022 30 requisiti di cybersecurity
Il Regolamento 2022/30 rende obbligatori tre requisiti fondamentali già previsti dalla RED.
- Art. 3.3(d): protezione della rete da degrado o uso improprio delle risorse
- Art. 3.3(e): protezione dei dati personali e della privacy
- Art. 3.3(f): prevenzione delle frodi
Questi requisiti rappresentano il primo vero passo verso la cybersecurity by design per i dispositivi connessi.
Regolamento RED 2022 30 e sicurezza dispositivi wireless OT
In ambito OT, il Regolamento RED 2022/30 si applica ai punti di interconnessione tra macchina e rete, ovvero ai dispositivi che espongono l’impianto verso l’esterno.
- Moduli Wi-Fi e Bluetooth integrati in macchine
- Gateway di comunicazione verso SCADA, DCS o cloud
- Sistemi di accesso remoto per manutenzione
Il rischio principale non è la macchina in sé, ma la sua esposizione tramite interfacce radio non adeguatamente protette.
Protezione delle comunicazioni e prevenzione delle frodi
Particolare rilevanza assume l’articolo 3.3(f), che introduce requisiti per la prevenzione delle frodi nei sistemi connessi.
- Integrità dei dati trasmessi (es. misure energetiche, consumi)
- Autenticazione forte dei dispositivi
- Protezione contro attacchi di replay
- Resistenza a manomissioni fisiche e logiche
Questi requisiti sono fondamentali in applicazioni come smart meter, colonnine di ricarica e sistemi di contabilizzazione industriale.
Relazione con Regolamento Macchine e sicurezza OT
Il Regolamento RED e il Regolamento Macchine operano su livelli diversi ma complementari.
- RED 2022/30: sicurezza delle comunicazioni e dei dispositivi radio
- Regolamento Macchine: sicurezza funzionale e comportamento sicuro
Ad esempio, il Regolamento Macchine richiede che una perdita di segnale wireless non generi condizioni pericolose, mentre la RED richiede che il segnale stesso sia protetto da manipolazioni.
Standard armonizzati EN 18031
La conformità ai requisiti del Regolamento 2022/30 è supportata dalla serie di norme armonizzate EN 18031.
- EN 18031-1: protezione della rete e delle comunicazioni
- EN 18031-2: protezione dei dati personali
- EN 18031-3: prevenzione delle frodi
Queste norme consentono di dimostrare la presunzione di conformità ai requisiti della RED.
Evoluzione normativa: passaggio al Cyber Resilience Act
Il Regolamento 2022/30 rappresenta una fase transitoria nel percorso normativo europeo.
Con l’entrata in vigore del Cyber Resilience Act (CRA), i requisiti di cybersecurity verranno armonizzati e ampliati, evitando sovrapposizioni tra normative.
In prospettiva, il CRA diventerà il riferimento principale per la sicurezza dei prodotti digitali, mentre la RED manterrà il focus sugli aspetti radio.
Conclusione
Il Regolamento RED 2022/30 introduce per la prima volta requisiti concreti di cybersecurity per i dispositivi wireless, con un impatto diretto sugli impianti industriali connessi.
La sicurezza OT passa quindi anche dalla protezione delle interfacce radio, che rappresentano uno dei principali punti di ingresso per attacchi esterni.