Valutazione del rischio per la conformita cybersicurezza RED
Condurre una valutazione del rischio e il fondamento della conformita EN 18031. Questa guida ti accompagna in ogni passaggio - dalla definizione dell'ambito degli standard e l'identificazione degli asset alla valutazione delle minacce, all'esecuzione degli alberi decisionali e alla documentazione dei risultati nella Dichiarazione di Conformita.
12 marzo 2026
Una valutazione del rischio per la cybersicurezza RED e il processo sistematico di identificazione di cio che necessita protezione sul dispositivo, quali minacce esistono e se le misure di sicurezza sono sufficienti per soddisfare i requisiti della EN 18031. A differenza delle valutazioni generiche del rischio aziendale, la valutazione del rischio RED e guidata dallo standard: segue la struttura delle sezioni EN 18031, utilizza alberi decisionali per ogni requisito e produce un documento normativo specifico - la Dichiarazione di Conformita.
Prima l'ambito: Determina quali parti della EN 18031 si applicano al tuo dispositivo - EN 18031-1 (sicurezza di rete), EN 18031-2 (privacy/protezione dati), EN 18031-3 (prevenzione frodi) - prima di fare qualsiasi altra cosa.
L'identificazione degli asset e obbligatoria: Devi catalogare gli asset di sicurezza del tuo dispositivo (funzioni di sicurezza, parametri di sicurezza, asset di rete, asset privacy, asset finanziari) prima di valutare qualsiasi requisito.
Gli alberi decisionali determinano gli esiti: Ogni requisito EN 18031 viene valutato attraverso alberi decisionali strutturati si/no che producono risultati PASS, FAIL o NOT_ASSESSED - non punteggi di rischio soggettivi.
I piani di test validano la valutazione: Un piano di test a tre livelli (Concettuale, Sufficienza Funzionale, Completezza Funzionale) verifica che le conclusioni della valutazione del rischio siano supportate da evidenze.
Il risultato e una Dichiarazione di Conformita: L'intera valutazione viene compilata in un PDF strutturato che dimostra la conformita alle autorita di sorveglianza del mercato.
La maggior parte delle guide sulla valutazione del rischio di cybersicurezza descrive un processo aziendale generico: inventariare gli asset IT, classificare le minacce per probabilita e impatto, creare una matrice di rischio e dare priorita alle mitigazioni. Questo approccio non si applica alla Direttiva sulle apparecchiature radio (RED).
La conformita alla cybersicurezza RED ai sensi del Regolamento Delegato (UE) 2022/30 - che attiva gli Articoli 3.3(d), 3.3(e) e 3.3(f) - richiede ai produttori di seguire la EN 18031, una norma europea armonizzata con una struttura specifica. La valutazione del rischio non e a forma libera. E ancorata a:
Sezioni di conformita predefinite (Identificazione dell'apparecchiatura, Controllo degli accessi, Gestione delle vulnerabilita, Crittografia, Aggiornamenti software, Logging, Monitoraggio di rete e altro)
Tabelle strutturate dove si documentano asset, meccanismi e giustificazioni per ogni requisito
Alberi decisionali che guidano attraverso domande binarie per raggiungere esiti deterministici (PASS/FAIL/NOT_ASSESSED)
Ereditarieta del campo standard che determina quali sezioni, tabelle e colonne si applicano in base alle parti EN 18031 selezionate nel progetto
| Aspetto | Valutazione del rischio generica | Valutazione del rischio RED / EN 18031 |
|---|---|---|
Ambito | Tutti gli asset e processi IT | Dispositivo specifico in valutazione, filtrato per parti EN 18031 applicabili |
Modello di rischio | Matrice Probabilita x Impatto | Alberi decisionali con esiti binari PASS/FAIL per ogni requisito |
Categorie di asset | Hardware, software, dati, persone | Funzioni di sicurezza, parametri di sicurezza (CSP/SSP), asset di rete, asset privacy, asset finanziari |
Output | Registro dei rischi con priorita | Dichiarazione di Conformita (DoC) in PDF per l'accesso al mercato UE |
Framework | NIST CSF, ISO 27001, MITRE ATT&CK | EN 18031-1, EN 18031-2, EN 18031-3 |
Frequenza | Annuale o continua | Per dispositivo, per variante di prodotto, prima dell'immissione sul mercato UE |
Prima di iniziare qualsiasi attivita di valutazione, devi determinare quali parti della EN 18031 si applicano al tuo dispositivo. Questa decisione guida tutto cio che segue - quali sezioni appaiono, quali tabelle devi compilare e quali alberi decisionali devi completare.
Le tre parti corrispondono a diversi articoli RED:
| Parte EN 18031 | Articolo RED | Area di interesse | Dispositivi tipici |
|---|---|---|---|
EN 18031-1 | Articolo 3.3(d) | Sicurezza di rete - proteggere le reti dai danni causati dal dispositivo | Qualsiasi apparecchiatura radio connessa a Internet |
EN 18031-2 | Articolo 3.3(e) | Privacy e protezione dati - salvaguardare i dati personali | Dispositivi che trattano dati personali (wearable, telecamere, smart home) |
EN 18031-3 | Articolo 3.3(f) | Prevenzione frodi - prevenire frodi monetarie o di valore | Terminali di pagamento, contatori intelligenti, dispositivi con valore memorizzato |
La maggior parte dei dispositivi IoT richiede almeno la EN 18031-1. Molti richiedono anche la EN 18031-2 se trattano dati personali. Un singolo progetto in RedComply puo selezionare qualsiasi combinazione di parti, e la piattaforma filtra automaticamente sezioni e tabelle in base alla selezione utilizzando le regole di ereditarieta del campo standard.
Cosa fare se non sono sicuro di quali parti si applicano?
Inizia chiedendoti: il mio dispositivo si connette a una rete? (La Parte 1 probabilmente si applica.) Raccoglie, memorizza o trasmette dati personali? (La Parte 2 probabilmente si applica.) Gestisce transazioni finanziarie o valore memorizzato? (La Parte 3 probabilmente si applica.) Nel dubbio, includi la parte - e meglio valutare e trovare requisiti non applicabili che perdere una sezione obbligatoria.
L'identificazione degli asset e il primo passo obbligatorio di qualsiasi valutazione del rischio EN 18031. Senza sapere cosa necessita protezione, non e possibile valutare se le misure di sicurezza sono sufficienti. La EN 18031 definisce cinque categorie di asset:
Funzioni di sicurezza
Sono i meccanismi che il dispositivo utilizza per applicare la sicurezza. Si dividono in quattro sottocategorie:
Meccanismi di controllo degli accessi - autenticazione, autorizzazione, gestione delle sessioni
Meccanismi crittografici - algoritmi di cifratura, gestione delle chiavi, gestione dei certificati
Sicurezza delle comunicazioni - implementazione TLS/DTLS, protocolli sicuri, regole firewall
Meccanismi di integrita del sistema - avvio sicuro, verifica del firmware, rilevamento manomissioni
Parametri di sicurezza
Sono i valori di dato da cui dipendono le funzioni di sicurezza. La EN 18031 distingue tra:
Parametri di Sicurezza Confidenziali (CSP) - valori la cui esposizione comprometterebbe la sicurezza (chiavi private, password, chiavi di cifratura)
Parametri di Sicurezza Sensibili (SSP) - valori la cui modifica comprometterebbe la sicurezza (impostazioni di configurazione, liste di controllo accessi, firme del firmware)
Asset di rete, privacy e finanziari
A seconda delle parti EN 18031 applicabili, devi identificare anche asset di rete (interfacce di rete, protocolli, flussi di dati), asset privacy (tipi di dati personali raccolti, memorizzati o trasmessi) e asset finanziari (credenziali di pagamento, meccanismi di valore memorizzato).
In RedComply, tutte le categorie di asset hanno tabelle di conformita dedicate. Una volta compilato l'inventario degli asset, la piattaforma propaga automaticamente gli identificatori nelle tabelle di valutazione a valle - controllo accessi, crittografia, gestione vulnerabilita - cosi non devi mai copiare i dati manualmente.
La nostra guida ai tipi di asset EN 18031 copre ogni categoria in dettaglio con esempi pratici.
Con gli asset catalogati, ora valuti ogni requisito EN 18031 sistematicamente. A differenza delle valutazioni generiche del rischio dove si assegnano punteggi soggettivi, la EN 18031 utilizza alberi decisionali - sequenze strutturate di domande si/no che portano a esiti deterministici.
Come funzionano gli alberi decisionali
Ogni riga della tabella di conformita puo essere collegata a un albero decisionale. L'albero presenta una serie di domande sull'implementazione del dispositivo. In base alle risposte, l'albero si ramifica fino a raggiungere uno dei tre esiti:
PASS - il requisito e soddisfatto in base alle evidenze fornite
FAIL - il requisito non e soddisfatto; e necessaria una correzione
NOT_ASSESSED - informazioni insufficienti per determinare la conformita; necessaria ulteriore indagine
Come si presenta una domanda dell'albero decisionale?
Le domande degli alberi decisionali sono specifiche e binarie. Ad esempio, nella sezione controllo accessi, un albero potrebbe chiedere: "Il dispositivo applica una politica di complessita minima delle password?" seguito da "La politica e configurabile dall'utente?" Ogni risposta indirizza lungo un ramo diverso. L'albero registra tutte le risposte in un campo strutturato `decisiontreeresponses`, creando una traccia verificabile.
Lavorare attraverso le sezioni sistematicamente
La EN 18031 organizza i requisiti in sezioni: Identificazione dell'apparecchiatura, Meccanismi di controllo degli accessi, Gestione delle vulnerabilita, Crittografia, Meccanismi di aggiornamento software, Logging e Monitoraggio di rete (tra le altre). Per ogni sezione pertinente al dispositivo, si lavora attraverso ogni riga della tabella, completando gli alberi decisionali e registrando le giustificazioni.
E qui che il volume di lavoro diventa evidente - e dove gli strumenti contano. La valutazione di un singolo dispositivo puo comportare centinaia di completamenti di alberi decisionali su decine di tabelle. RedComply traccia i progressi sezione per sezione, evidenzia gli alberi incompleti e segnala le incongruenze tra risposte correlate.
Per un approfondimento metodologico sull'identificazione delle vulnerabilita e la documentazione per gli audit, consulta la nostra guida alla gestione delle vulnerabilita.
Completare gli alberi decisionali non e la fine della valutazione. La EN 18031 richiede un piano di test a tre livelli che convalida gli esiti della valutazione con rigore crescente:
| Livello di valutazione | Cosa valuta | Domanda chiave |
|---|---|---|
Valutazione Concettuale | Elementi di test rispetto ai risultati DT e giustificazioni degli esperti | Le conclusioni della valutazione sono logicamente fondate? |
Sufficienza Funzionale | Casi di test rispetto alle unita di valutazione definite | Le misure implementate funzionano effettivamente come dichiarato? |
Completezza Funzionale | Analisi delle lacune per elementi di test mancanti | Tutti i requisiti sono stati coperti - ci sono lacune? |
Verdetti calcolati automaticamente
Ogni riga del piano di test ha condizioni di verdetto - regole come "Almeno un PASS nella colonna risultato DT" o "Nessuna voce FAIL presente." Queste condizioni vengono valutate rispetto ai dati effettivi per produrre un verdetto finale. L'ordine di priorita e: PASS > FAIL > NOT APPLICABLE. Se i dati sono incompleti, il sistema mostra "-" anziche fare supposizioni.
In RedComply, le condizioni di verdetto si compilano automaticamente rilevando pattern nei dati, e i verdetti finali vengono calcolati utilizzando maschere di criteri di superamento/fallimento dai template EN 18031. Questo elimina gli errori di calcolo manuale e mostra immediatamente dove si trova la valutazione.
Il risultato finale della valutazione del rischio RED e la Dichiarazione di Conformita (DoC) - il documento normativo che dimostra che il dispositivo soddisfa i requisiti di cybersicurezza della Direttiva sulle apparecchiature radio.
La DoC compila tutto dalla valutazione:
Identificazione dell'apparecchiatura resa come coppie chiave-valore (produttore, modello, versioni hardware/software)
Tabelle di conformita da ogni sezione valutata, che mostrano risposte, giustificazioni e esiti degli alberi decisionali
Risultati del piano di test con verdetti per tutti e tre i livelli di valutazione
Selezioni dalle liste a scelta visualizzate come elenchi formattati (non JSON grezzo)
Campi extra-info divisi nella parte domanda e nei dettagli aggiuntivi
La DoC non e un riassunto - e un registro completo. Le autorita di sorveglianza del mercato la utilizzano per verificare che la valutazione sia stata approfondita e che le conclusioni siano giustificate. Sezioni mancanti, tabelle incomplete o rami di alberi decisionali non documentati possono portare a contestazioni sulla conformita.
RedComply genera la DoC come PDF strutturato direttamente dai dati di conformita. L'identificazione dell'apparecchiatura viene resa verticalmente, le tabelle di valutazione orizzontalmente, e tutta la formattazione (liste a scelta, suddivisioni extra-info, avvisi di tabelle vuote) viene gestita automaticamente.
Se stai seguendo il percorso di autovalutazione Modulo A, la nostra guida all'autovalutazione illustra l'intero flusso di lavoro.
Quanto tempo richiede una valutazione del rischio RED?
Dipende dalla complessita del dispositivo, dal numero di parti EN 18031 applicabili e dalla disponibilita di strumenti. Un semplice sensore IoT a funzione singola potrebbe richiedere giorni; un gateway multi-radio complesso con trattamento di dati personali e funzionalita di pagamento potrebbe richiedere settimane. Strumenti assistiti dall'IA come RedComply riducono significativamente i tempi automatizzando la compilazione delle tabelle, il tracciamento degli alberi decisionali e il calcolo dei verdetti.
Serve una valutazione del rischio separata per ogni dispositivo?
Si. Ogni dispositivo (o variante di prodotto con hardware/software materialmente diversi) richiede la propria valutazione. Tuttavia, i dispositivi che condividono architetture simili possono riutilizzare i dati di conformita come punto di partenza - si valutano le differenze anziche ricominciare da zero.
Posso usare NIST CSF o ISO 27001 al posto della EN 18031?
No. Sebbene framework come NIST CSF e ISO 27001 siano preziosi per la sicurezza organizzativa, non forniscono una presunzione di conformita ai requisiti di cybersicurezza RED. La EN 18031 e la norma armonizzata che si mappa direttamente agli Articoli 3.3(d), 3.3(e) e 3.3(f). Si possono usare altri framework internamente, ma la documentazione normativa deve seguire la EN 18031.
Cosa succede se un albero decisionale risulta in FAIL?
Un esito FAIL significa che il requisito non e attualmente soddisfatto. Hai due opzioni: correggere (modificare il design o l'implementazione del dispositivo per colmare la lacuna, poi rivalutare) o documentare la giustificazione se ritieni che il requisito non sia applicabile al contesto specifico del tuo dispositivo. La chiave e che ogni FAIL deve essere affrontato prima che la DoC possa essere considerata completa.
La valutazione del rischio e un'attivita una tantum?
No. La valutazione si applica a una versione specifica di un dispositivo specifico. Qualsiasi modifica sostanziale all'hardware, al software o al firmware che influisce sulle proprieta di sicurezza del dispositivo puo richiedere una rivalutazione. Questo include l'aggiunta di nuove interfacce di rete, la modifica delle implementazioni crittografiche o la modifica della logica di controllo degli accessi.
RedComply e costruito appositamente per la conformita EN 18031 e cybersicurezza RED. La piattaforma ti guida attraverso ogni fase del processo di valutazione del rischio - dalla definizione dell'ambito degli standard alla generazione della Dichiarazione di Conformita.
Ecco come iniziare:
Crea un progetto e seleziona quali parti della EN 18031 si applicano (1, 2, 3 o qualsiasi combinazione)
Aggiungi il tuo dispositivo e inizia a identificare gli asset di sicurezza - il primo passo obbligatorio di qualsiasi valutazione EN 18031
Lavora attraverso le sezioni di conformita utilizzando tabelle strutturate e alberi decisionali guidati
Genera il tuo piano di test con verdetti calcolati automaticamente per tutti e tre i livelli di valutazione
Esporta la tua Dichiarazione di Conformita come PDF strutturato pronto per la revisione normativa
L'assistente IA integrato ti aiuta a cercare nello standard, comprendere i requisiti nel contesto e mantenere la valutazione coerente tra le sezioni - cosi puoi concentrarti sulle decisioni ingegneristiche che contano.