Applicazione del Regolamento Delegato (UE) 2022/30 nella Direttiva RED
Il corso analizza i requisiti di cybersecurity introdotti dal Regolamento Delegato (UE) 2022/30, che attiva i requisiti essenziali dell’articolo 3(3), lettere d), e) ed f), della Direttiva 2014/53/UE (Radio Equipment Directive – RED) per le apparecchiature radio connesse.
Verranno approfonditi gli aspetti tecnici e normativi applicabili ai dispositivi radio industriali, ai sistemi IoT e alle architetture OT connesse, con particolare attenzione agli approcci security-by-design e alla dimostrazione della conformità attraverso gli standard internazionali di cybersecurity industriale.
A chi è rivolto
- Produttori di macchine industriali
- Fabbricanti di dispositivi IoT industriali
- Produttori di componenti OT con connettività wireless
- System integrator e progettisti di sistemi connessi
- Responsabili compliance, cybersecurity e sviluppo prodotto
Obiettivi del corso
- Comprendere il quadro normativo europeo della cybersecurity
- Identificare i prodotti soggetti ai requisiti RED cybersecurity
- Analizzare i requisiti dell’articolo 3(3)(d), 3(3)(e) e 3(3)(f)
- Applicare principi di security-by-design ai prodotti radio industriali
- Utilizzare gli standard IEC 62443 come supporto alla conformità
- Impostare un approccio tecnico alla valutazione RED cybersecurity
Programma del corso
Modulo 1 — Quadro normativo europeo della cybersecurity
Durata: 1,5 ore
- Evoluzione della cybersecurity nei prodotti connessi
- Strategia europea di cybersecurity
- Cybersecurity Act, CRA, NIS2 e Regolamento Macchine
- Impatti normativi sui produttori di prodotti con elementi digitali
- Principali normative europee di riferimento
Modulo 2 — Direttiva RED e requisiti di cybersecurity
Durata: 1,5 ore
- Struttura della Direttiva RED
- Requisiti essenziali dell’articolo 3
- Articolo 3(3)(d): protezione delle reti
- Articolo 3(3)(e): protezione dei dati e della privacy
- Articolo 3(3)(f): prevenzione delle frodi
- Campo di applicazione del Regolamento Delegato (UE) 2022/30
Modulo 3 — Prodotti coinvolti: macchine connesse, IoT industriale e OT
Durata: 1,5 ore
- Macchine industriali con connettività wireless soggette a RED
- Architetture IoT e confronto OSI / TCP-IP
- Principali protocolli industriali: MQTT, CoAP, AMQP, Modbus, OPC UA
- Tecnologie radio: RFID, Bluetooth, ZigBee, Wi-Fi, reti cellulari
- Sistemi di automazione con moduli radio integrati
- Struttura funzionale dei sistemi IoT
Modulo 4 — Norme tecniche e standard di riferimento
Durata: 2,5 ore
- ETSI EN 303 645
- EN 18031
- IEC 62443-4-1
- IEC 62443-4-2
- ISO/IEC 30111 e ISO/IEC 29147
- Mappatura tra RED e standard di cybersecurity industriale
- Approcci tecnici per dimostrare la conformità
Modulo 5 — Discussione tecnica e Q&A applicativo
Durata: 1 ora
- Confronto tecnico con i partecipanti
- Analisi di problematiche applicative
- Discussione di casi reali
- Approfondimenti tecnici e normativi
Modulo 6 — Applicativo su caso reale opzionale
Durata: 4–8 ore
- Analisi di un dispositivo reale
- Identificazione delle superfici di attacco
- Valutazione dei requisiti RED applicabili
- Gap analysis e raccomandazioni
- Approccio security-by-design
- Simulazione del processo di valutazione per la conformità
Norme e standard trattati
- Direttiva 2014/53/UE – RED
- Regolamento Delegato (UE) 2022/30
- Regolamento (UE) 2024/2847 – Cyber Resilience Act
- Direttiva (UE) 2022/2555 – NIS2
- Regolamento (UE) 2023/1230 – Regolamento Macchine
- ETSI EN 303 645
- EN 18031
- IEC 62443
- ISO/IEC 30111
- ISO/IEC 29147
Esercitazione pratica su caso reale
Il corso può essere completato con un’attività applicativa opzionale basata su un dispositivo reale presentato da uno dei partecipanti.
L’esercitazione consente di applicare concretamente i requisiti RED cybersecurity attraverso un approccio strutturato di analisi tecnica, valutazione delle vulnerabilità, identificazione delle superfici di attacco e definizione delle misure di mitigazione.