Cybersecurity nella Direttiva sulle apparecchiature radio: l’Istituto VDE supporta i fabbricanti con nuove specifiche di prova e un nuovo schema di certificazione

Finora, la Direttiva sulle apparecchiature radio regolava principalmente gli aspetti di sicurezza e compatibilità elettromagnetica delle apparecchiature radio. Tuttavia, la legislazione dell’UE si focalizza sempre più sulla cibersicurezza. La nuova serie di norme EN 18031, che include la EN 18031-1, la EN 18031-2 e la EN 18031-3, a partire da fine gennaio 2025, è ufficialmente riconosciuta come norma armonizzata per la Direttiva sulle apparecchiature radio, che concretizza i requisiti di cybersecurity della Direttiva sulle apparecchiature radio.

Tuttavia, la presunzione di conformità presenta notevoli limitazioni. Questa viene meno nei seguenti prodotti o in presenza delle seguenti circostanze, rendendo obbligatorio il coinvolgimento di un organismo notificato per il rilascio di un esame UE del tipo:

• apparecchiature che offrono la possibilità di definire o utilizzare una password
• giocattoli per il cui accesso non è garantito un controllo esclusivo da parte dei genitori o dei tutori legali
• l’esecuzione di aggiornamenti sicuri non costituisce automaticamente una presunzione di conformità ai sensi dell’art. 3 comma 3 lett. f) della Direttiva sulle apparecchiature radio
• le sezioni “Rationale” e “Guidance” hanno mero carattere di supporto e non motivano una presunzione di conformità

I fabbricanti di apparecchiature radio con connessione Internet si trovano pertanto di fronte a grandi sfide. A partire dal 1° agosto 2025, le apparecchiature interessate dovranno soddisfare questi requisiti. I fabbricanti devono esaminare con precisione se i loro prodotti soddisfino completamente i requisiti o se sia necessaria una valutazione ulteriore da parte di un organismo notificato.

Per supportare i fabbricanti nella redazione di una dichiarazione corretta ai fini della regolamentazione, il comitato di certificazione VDE ha approvato la nuova specifica di prova “VDE-PB-0036” e quindi il nuovo schema di certificazione “Cybersecurity testata”. Tale schema include una certificazione secondo gli standard EN18031-1,-2 e/o -3. Oltre al certificato, viene assegnato un marchio applicabile sul prodotto a scopi di marketing. Il marchio sarà valido per un anno. Qualora a un prodotto si applichi la limitazione della presunzione di conformità e sia quindi necessario un esame UE del tipo, questo potrà essere comunque eseguito dall’organismo notificato RED/EMV dell’Istituto di test e certificazione VDE in base alla norma EN18031.

Il certificato di “Cybersecurity testata” è utile anche per prepararsi alla Legge sulla ciberresilienza (CRA - Cyber Resilience Act) (UE) 2024/2847, che definisce i requisiti di cibersicurezza vincolanti in tutta l’area UE e che, in futuro, sarà il presupposto per ottenere la marcatura CE.