La protezione dei dati è molto importante per VDE

Glebstock/stock.adobe.com

2024-01-15 Pruefung und Zertifizierung

Sicurezza delle informazioni/informatica: testing e certificazione presso l’Istituto VDE

Le informazioni sono molto preziose per aziende, autorità e privati e devono quindi essere ragionevolmente protette. Gestire queste informazioni in modo affidabile e proteggerle sono gli obiettivi fondamentali della sicurezza delle informazioni. L’Istituto VDE vi aiuta a raggiungere questi obiettivi.

Sicurezza delle informazioni, sicurezza informatica o sicurezza informatica?

La sicurezza delle informazioni significa proteggere le informazioni sensibili dalla perdita e dalla manipolazione

bluebay2014 / Fotolia

I dati personali e sensibili possono essere salvati sia su supporto cartaceo che informatico o anche nei ricordi. La sicurezza delle informazioni si occupa principalmente della protezione e dell’elaborazione delle informazioni salvate elettronicamente. La sicurezza delle informazioni è anche lo stato in cui la riservatezza, l’integrità e la disponibilità delle informazioni e della tecnologia informatica sono protette da misure ragionevoli.

Il termine sicurezza delle informazioni è più completo di sicurezza informatica e pertanto vede un utilizzo crescente. Tuttavia, il termine “Sicurezza informatica (IT)” continua ad essere utilizzato in alcune pubblicazioni come “IT Baseline Protection” (IT Sicherheit). Tuttavia, i testi diversi e la standardizzazione diventano sempre più mirati all’esame della sicurezza informatica. Cyber security, cybersecurity, sicurezza informatica o sicurezza delle informazioni sono espressioni utilizzate anche molto frequentemente, soprattutto quando le aziende operano a livello internazionale.

Proteggersi dagli attacchi informatici con la certificazione VDE

L’espansione della digitalizzazione e il conseguente progresso dell’interconnessione intelligente sia nelle abitazioni private che nell’industria hanno comportato un aumento del rischio di furto e manipolazione di dati. Molti casi dimostrano quanto sia facile per gli hacker penetrare nelle case e nei sistemi gestionali intelligenti.

I nostri test per la sicurezza delle informazioni (inclusa la sicurezza informatica) si basano sulle seguenti norme e sui seguenti standard:

VDE PB-0004 e -0005
IEC 62443-4-1 e -4-2
ETSI EN 303 645

Lo standard di sicurezza BSI Common Criteria e la BSI IT Baseline Protection (IT-Grundschutz) costituiscono la base per il nostro regolamento sui test VDE. Questi standard sono stati adattati ai requisiti delle soluzioni Smart Home e ampliati con gli aspetti relativi alla protezione dei dati. Pertanto, i test possono essere utilizzati per l’intero campo della smart home, ad es. per energia, comfort, multimedia, sicurezza o AAL.

Il test della sicurezza informatica è suddiviso nelle seguenti aree:

testare i dispositivi (dispositivi di comunicazione e gateway)
test del backend e dei sistemi cloud
test delle app per smartphone e tablet
sistemi software di sicurezza (per un’identità elettronica sicura a fini di autenticazione)

Durante questi processi vengono testati gli obiettivi di sicurezza per la sicurezza informatica nel prodotto, nella progettazione del sistema e nell’implementazione. La documentazione dell’utente e gli aspetti tecnici della privacy fanno parte del test.

Gli obiettivi di sicurezza includono quanto segue:

proteggere la comunicazione da intercettazioni e manipolazioni
proteggere i sistemi da infiltrazioni non autorizzate,
uso non autorizzato
, manipolazione e perdita di dati
protezione dei dati personali
aggiornamenti di sicurezza protetti per il sistema

Proteggiamo i vostri prodotti smart home dagli attacchi informatici utilizzando tecnologie ultramoderne

Prodotti Smart Home protetti dagli attacchi hacker

iconimage / Fotolia

Il test sulla sicurezza informatica

1. Conferma dell’implementazione base di un concetto di sicurezza informatica.
2. Conferma dell’implementazione effettiva della sicurezza informatica.
3. Conferma della completezza della documentazione di sicurezza informatica.

Test della protezione dei dati

1. Identificare l’importanza della protezione dei dati
2. Testare la protezione dei dati in conformità a
3. Linee guida europee (Regolamento generale della protezione dei dati GDPR)

Richiedere qui un’offerta

Sicurezza informatica per i dispositivi con interfacce radio

Secondo il Regolamento Delegato (UE) 2022/30, la gamma di apparecchiature radio coperta dai requisiti di sicurezza informatica della Direttiva sulle apparecchiature radio 2014/53/UE (RED) sarà ampliata a partire dalla metà del 2024. Preparate adesso i vostri prodotti: l’Istituto VDE vi assiste.

Il Regolamento Delegato, pubblicato dalla Commissione Europea il 12 gennaio 2022, integra la Direttiva sulle apparecchiature radio. Specifica quali apparecchiature radio (apparecchiature con interfaccia radio) devono soddisfare i requisiti essenziali dell’art. 3 comma 3 lett. d), e) e f) della Direttiva sulle apparecchiature radio.

Il requisito essenziale di cui all’art. 3 comma 3 lett. d) della RED “Le apparecchiature radio non danneggiano la rete o il suo funzionamento, né abusano delle risorse della rete arrecando quindi un deterioramento inaccettabile del servizio.” a qualsiasi apparecchiatura radio che può di per sé comunicare tramite Internet, sia direttamente sia tramite qualsiasi altra apparecchiatura («apparecchiature radio connesse a Internet»)” (Art. 1.1, DR (UE) 2022/30).

Il requisito essenziale di cui all’art. 3 comma 3 lett. e) della RED “Le apparecchiature radio contengono elementi di salvaguardia per garantire la protezione dei dati personali e della vita privata dell’utente e dell’abbonato” si applica a una qualsiasi delle seguenti apparecchiature radio, se queste ultime possono effettuare il trattamento di dati personali o di dati relativi al traffico e dati relativi all’ubicazione (Art. 1.2, DR (EU) 2022/30), ma solo se l’apparecchiatura radio è connessa a Internet, un’apparecchiatura utilizzata per la cura dei bambini (ad esempio baby monitor), un giocattolo ai sensi della Direttiva 2009/48/UE (Direttiva sui giocattoli), o un’apparecchiatura radio indossata sul corpo o sugli indumenti (“indossabili”).

Il requisito essenziale di cui all’art. 3 comma 3 lett. f) della RED “Le apparecchiature radio supportano caratteristiche speciali che consentano di tutelarsi dalle frodi” si applica a qualsiasi apparecchiatura radio connessa a Internet che “consenta al detentore o all’utente di trasferire denaro, valore monetario o valuta virtuale [...]” (Art. 1.3, DR (UE) 2022/30).

Non esiste un elenco esaustivo di tutti i dispositivi interessati. Tuttavia, gli esperti dell’Istituto VDE saranno lieti di supportarvi nell’analisi se il vostro prodotto rientra nei requisiti della Direttiva sulle apparecchiature radio secondo il nuovo Regolamento delegato.

I requisiti essenziali dell’Art. 3.3 lett. d), e) e f) della Direttiva sulle apparecchiature radio sono resi obbligatori dal Regolamento Delegato così come inteso dal Nuovo Quadro Legislativo. Non sono ancora state pubblicate norme armonizzate per i nuovi requisiti essenziali. Tuttavia, a breve verrà conferito un mandato agli organismi di standardizzazione. Gli esperti dell’Istituto VDE sono comunque preparati. In coordinamento con l’Organismo Notificato RED nel VDE, sono stati elaborati requisiti di prova interni che coprono già i requisiti del Regolamento Delegato. Una base importante è la norma ETSI EN 303 645 con il corrispondente requisito di prova ETSI TS 103 701, che è già stata applicata con successo presso il VDE per molti dispositivi.

Se come produttori desiderate dichiarare la conformità agli art. 3 comma 3 lett. d), e) e f) per le vostre apparecchiature radio è necessario coinvolgere obbligatoriamente un Organismo Notificato fino alla pubblicazione dei riferimenti delle norme armonizzate applicabili nella Gazzetta Ufficiale dell’UE (2014/53/UE art. 17 comma 4). L’Istituto VDE è a vostra disposizione dandovi la possibilità di ottenere un Certificato di esame UE del tipo (EU-TEC).

La nuova normativa è in vigore dal 1° febbraio 2022 e sarà obbligatoria dal 1° agosto 2024 in poi. Per i produttori è giunto il momento di affrontare i nuovi requisiti. Questo perché dal 1° agosto 2024 potranno essere ammessi solo i prodotti che soddisfano i nuovi requisiti essenziali di cui all’art. 3 comma 3 lett. d), e) e f) possono essere immessi sul mercato europeo.
L’Istituto VDE sarà lieto di aiutarvi a raggiungere la conformità con questi nuovi requisiti per le apparecchiature radio.

Sicurezza funzionale per case connesse

Ci sono ulteriori pericoli dovuti alle capacità di comunicazione aggiuntive del sistema?

La sicurezza funzionale secondo la norma DIN EN 61508-4:2011 e la sicurezza funzionale nelle norme di prodotto (ad es. elettrodomestici) forniscono informazioni al riguardo. Vi aiutiamo anche in questa sfida per completare l’esame di sicurezza. Scoprite di più sui nostri servizi nel campo della sicurezza funzionale.

Cosa separa la sicurezza funzionale da quella delle informazioni?

L’Istituto VDE testa e certifica la sicurezza funzionale

Ryan McVay / Photodisc

La sicurezza funzionale utilizza la tecnologia automatizzata per garantire che nessun dispositivo o sistema rappresenti un pericolo per le persone o l’ambiente. Questo tipo di sicurezza è in una certa misura adattato “dal dispositivo verso l’esterno”.

La sicurezza delle informazioni si occupa di respingere i pericoli che colpiscono il sistema dall’esterno. Si riferisce a questioni come malware o accesso non autorizzato al sistema. In entrambi i casi, la funzionalità del sistema potrebbe essere compromessa o questo potrebbe addirittura non funzionare affatto o in modo improprio.

In questo modo è stato stabilito il collegamento tra i due argomenti: se, ad esempio, il sistema esaminato è un sistema di controllo legato alla sicurezza o un dispositivo di campo in apparecchiature di sicurezza, allora tutto ciò che influisce sulla sua funzionalità influenza contemporaneamente anche la sua sicurezza (funzionale).

Proteggete la vostra fabbrica smart con la certificazione VDE

Nelle aree Office IT e Operations OT testiamo le interfacce tra macchine, gestionali, sistemi d’ufficio e Internet. Non importa se la rete viene gestita solo all’interno di una fabbrica o se dei partner di comunicazione esterni, come ad esempio filiali, sono collegati a questa rete via Internet. I test includono anche la valutazione dell’analisi dei rischi legati alla sicurezza delle informazioni secondo la norma IEC 62443. Dopo un test positivo, l’operatore di rete riceve il certificato VDE per la sicurezza delle informazioni.

La rete testata è classificata utilizzando una scala a quattro livelli. Secondo gli schemi esistenti della IEC 62443, utilizzando questa scala si descrive l’impiego e la certezza con cui si prevede l’attacco; sono chiamati livelli di sicurezza (SL).

Livello di sicurezza 1: protezione contro violazioni accidentali e indesiderate.
Livello di sicurezza 2: protezione contro la violazione intenzionale utilizzando mezzi semplici con risorse limitate, competenze generiche e scarsa motivazione.
Livello di sicurezza 3: protezione contro la violazione intenzionale utilizzando mezzi sofisticati con risorse moderate, competenze specifiche IACS e motivazione moderata.
Livello di sicurezza 4: protezione contro la violazione intenzionale utilizzando mezzi sofisticati con risorse estese, competenze specifiche IACS ed elevata motivazione.