La connettività ha modificato i processi industriali, e anche l’automazione ne ha subìto il cambiamento. I dispositivi, sempre più complessi, si arricchiscono di sensori wireless e gateway. Con tutti i rischi che ne derivano. Per questo motivo, alla Direttiva RED si è affiancato il Regolamento delegato 2022/30, con la definizione di scelte progettuali per l’immissione sul mercato.
Oggi, dopo quasi un anno dall’applicazione dei nuovi requisiti di cybersicurezza introdotti dallo stesso Regolamento, lo scenario appare ancora chiaro. Non basta più investire in sicurezza: è obbligatorio prevederla, questa sicurezza, sin dalla progettazione del bene. La cybersecurity non va trattata come una funzione aggiuntiva, ma come parte integrante dell’intero apparato.
Dalla Direttiva RED al Regolamento: protezione per reti, privacy e frodi
La Direttiva RED (Radio Equipment Directive, Direttiva 2014/53/UE) non è una novità: è stata emanata nel 2014, e dispiega i suoi effetti dal 2017. Disciplina l’immissione sul mercato di dispositivi radio (tra cui cellulari, smartwatch, router wireless, dispositivi smart IoT), e stabilisce i requisiti essenziali di sicurezza, compatibilità e uso efficiente delle frequenze. Richiede, però, il rispetto di tre condizioni, considerate “essenziali”:
- la sicurezza di persone e beni (art. 3.1.a);
- la compatibilità elettromagnetica con altri dispositivi (art. 3.1.b);
- un uso efficiente dello spettro radio per evitare interferenze (Art. 3.2).
Negli anni, la veloce modernizzazione delle tecnologie ha imposto un adeguamento della materia. Otto anni dopo, con il Regolamento Delegato 2022/30, l’UE ha rafforzato quanto stabilito dalla Direttiva, introducendo obblighi in materia di cybersecurity. Lo ha fatto attraverso l’articolo 3 della stessa RED, che stabilisce ulteriori requisiti funzionali opzionali.
È questa la novità degli ultimi mesi: dal 1° agosto 2025, infatti, il comma 3.3 prende forma effettiva, e diventa vincolante. Le apparecchiature radio – che siano connesse a internet o destinate a funzioni sensibili – dovranno garantire la protezione delle reti (lett. d), tutelare privacy e dati (lett. e) e prevenire le frodi (lett. f).
La cybersecurity nella Direttiva RED
Dunque, le novità dell’ultimo anno ruotano tutte attorno all’articolo 3.3 della Direttiva.
La lettera d si focalizza sulla protezione delle reti. Il dispositivo non deve compromettere il funzionamento della rete a cui si collega né consentire un uso improprio delle risorse di rete. Si vuole infatti evitare che l’apparecchio diventi un vettore di attacco verso l’infrastruttura. Si dovranno quindi evitare esposizioni non necessarie e gestire correttamente le interfacce di rete, limitando comportamenti anomali o non controllati.
La lettera e, dello stesso articolo, riguarda invece la protezione dei dati personali e della privacy. Il bene (il prodotto, rectius) dovrà infatti garantire la protezione di dati, credenziali e informazioni di configurazione, evitando accessi non autorizzati. Sarà quindi necessaria una valida autenticazione e una gestione sicura delle credenziali – con password robuste.
Il terzo punto riguarda la protezione contro le frodi (lettera f, comma 3, art. 3). Questo aspetto è rilevante nel caso dei dispositivi che gestiscono i pagamenti digitali, così come per i sistemi industriali con funzioni di accesso o controllo remoto. Si punta ad evitare che manipolazioni esterne portiano a un utilizzo non autorizzato del sistema.
La nuova compliance per l’automazione
L’impatto della Direttiva RED appare quindi significativo anche per i produttori di automazione industriale, soprattutto qualora sviluppino dispositivi di controllo, sensori e sistemi operativi con funzionalità wireless.
Nel momento in cui nel prodotto risultino incorporate apparecchiature radio che trasmettono o ricevono onde radio (quali dispositivi Wi-Fi, Bluetooth, 5G o moduli cellulari integrati), è richiesto il rispetto degli obblighi di conformità.
I produttori di sistemi IoT industriali wireless e dispositivi di automazione che integrano funzionalità radio, in forza della Direttiva RED dovranno procedere con vari test per verificare il rispetto dei requisiti essenziali. Dimostrando, prima facie, la conformità del prodotto. Dovranno inoltre predisporre la documentazione tecnica completa, con la descrizione del prodotto. Dal 1° agosto 2025, poi, c’è l’obbligo di assicurare il rispetto dell’incorporazione di tutte le aggiuntive regole di cybersecurity.
Indubbiamente, l’adeguamento normativo impatta su tempi e costi. E l’obbligo di conservare una documentazione tecnica strutturata, anche nel post-vendita, pesa. Ma forse la parte più impegnativa riguarda proprio la cybersecurity. I cui requisiti, per l’automazione, corrispondono all’introduzione di attività concrete di progettazione e manutenzione del prodotto. Dalla gestione delle credenziali agli aggiornamenti controllati, dal logging all’hardening del firmware, per arrivare ai processi di gestione della vulnerabilità.
La cybersecurity diventa una necessità di mercato
Il nuovo quadro normativo rafforza la sicurezza digitale e la fiducia dei consumatori, offrendo la certezza di una progettazione sicura, responsabile e trasparente. Chi non l’ha fatto, dovrà adeguarsi al più presto, e rivedere le procedure di conformità. Per evitare sanzioni amministrative e penali. Oramai la strada intrapresa è (per fortuna) senza ritorno: la sicurezza appare sempre più come una peculiarità del prodotto odierno.
Si va ben oltre le caratteristiche tecniche del dispositivo: la cybersecurity diventa un elemento imprescindibile, e accompagna il bene lungo l’intero ciclo di vita – senza lasciare margini di rinvio ai produttori dell’automazione. La veloce diffusione della connettività – in ogni livello dell’architettura industriale – impone l’adeguamento. E sembra che questa sia l’unica condizione per poter sviluppare e commercializzare dispositivi e strumenti competitivi.