TECNOLOGIA E SICUREZZA

Sicurezza nell’IoT, la regolamentazione federale degli Stati Uniti: i primi tasselli

Con l’Internet of Things Cybersecurity Improvement Act of 2020 gli Stati Uniti pongono i primi tasselli per una regolamentazione a livello federale della sicurezza informatica dei dispositivi IoT. Ecco tutti i dettagli

12 Gen 2021
M
Marco Martorana

Avvocato, studio legale Martorana, Presidente Assodata, DPO Certificato UNI 11697:2017

S
Roberta Savella

Avvocato praticante presso Studio Legale Martorana

L’Internet of Things Cybersecurity Improvement Act of 2020, firmato lo scorso 4 dicembre 2020 dal Presidente Trump, rappresenta il primo tassello di una più ampia regolamentazione federale degli Stati Uniti in ambito di sicurezza nell’IoT.

Negli USA erano già presenti normative statali per disciplinare la sicurezza nell’IoT (in particolare quelle entrate in vigore nel gennaio 2020 in California e in Oregon), ma l’atto firmato da Trump è il primo passo verso una regolamentazione a livello federale di questo settore; anche se, come vedremo, ancora in maniera parziale e generica.

Si tratta, in ogni caso, di un documento particolarmente significativo, adottato unanimemente da tutte le parti politiche e che potrebbe potenzialmente influenzare le scelte di sicurezza delle imprese produttrici di dispositivi IoT anche oltre il limitato ambito di applicazione della nuova normativa.

Il contenuto dell’IoT Cybersecurity Improvement Act of 2020

La nuova legge statunitense prevede dei meccanismi di emanazione di standard, linee guida e di controlli relativi agli oggetti IoT utilizzati dalle agenzie governative.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

La definizione di “Internet of Things devices” riprende quella fornita nel gennaio 2020 dal National Institute for Standards and Technology (NIST) nel Report 8259 intitolato “Recommendations for IoT Device Manufacturers: Foundational Activities and Core Device Cybersecurity Capability Baseline”, in base alla quale si tratta di dispositivi che:

  1. hanno almeno un trasduttore per interagire direttamente con il mondo fisico, almeno una interfaccia di rete e non sono dispositivi convenzionali IT come gli smartphone o i computer portatili;
  2. possono funzionare autonomamente e non soltanto quando sono componenti di un altro dispositivo.

L’IoT Cybersecurity Improvement Act of 2020 è volto ad assicurare la sicurezza informatica di questo tipo di strumenti nel contesto dell’attività delle agenzie governative.

Sicurezza nell’IoT: gli adempimenti dell’IoT Cybersecurity Improvement Act

Innanzitutto, la Sezione 4 impone al Direttore del NIST di pubblicare entro 90 giorni dall’entrata in vigore dell’Atto degli standard e delle linee guida per il governo federale riguardanti l’uso e la gestione appropriata da parte delle agenzie governative dei dispositivi IoT di proprietà o sotto il controllo di un’agenzia; tali standard e linee guida dovranno includere dei requisiti minimi di sicurezza per affrontare i rischi di cybersecurity associati ai dispositivi.

Inoltre, sempre con riferimento ai contenuti, il Direttore del NIST dovrà assicurarsi che i nuovi documenti si pongano in continuità con le precedenti elaborazioni dell’Institute riguardanti gli esempi di possibili punti deboli nella sicurezza dei dispositivi IoT e le considerazioni su come superarli, tenendo presenti le esigenze di sicurezza nello sviluppo dell’Internet of Things, nell’autenticazione, negli aggiornamenti e nella gestione delle configurazioni.

Entro 180 giorni dalla fine della stesura degli standard e delle linee guida previsti dalla Sezione 4, il Direttore dell’Office of Management and Budget (OMB) dovrà revisionare ed eventualmente aggiornare le policy e i principi sulla sicurezza informatica dell’agenzia governativa, sulla base dei suddetti nuovi documenti. In questa attività egli dovrà consultarsi con il Direttore del Cybersecurity and Infrastructure Security Agency del Dipartimento di Homeland Security.

Gli standard e le linee guida emanati dal Direttore del NIST ai sensi della Sezione 4 verranno poi riesaminati ogni cinque anni e, se necessario, modificati; conseguentemente, anche il Direttore dell’OMB aggiornerà policy e principi dell’agenzia, sempre coordinandosi con il Dipartimento di Homeland Security.

Nella Sezione 5 dell’IoT Cybersecurity Improvement Act of 2020 viene prevista, inoltre, la procedura per l’emanazione di ulteriori linee guida riguardanti due aree:

  1. la segnalazione, la coordinazione, la pubblicazione e la ricezione di informazioni relative a vulnerabilità relative a sistemi informatici di proprietà o sotto il controllo di un’agenzia governativa e la risoluzione di tali punti deboli;
  2. le procedure che le compagnie che forniscono alle agenzie governative sistemi informatici (inclusi dispositivi IoT) e ogni altro soggetto facente parte di tale catena di approvvigionamento devono seguire per la ricezione di informazioni riguardanti una vulnerabilità potenziale nella sicurezza dei sistemi e la diffusione di informazioni relative alla risoluzione di tali problemi.

Queste linee guida dovranno essere pubblicate dal Direttore del NIST entro 180 giorni dall’entrata in vigore dell’Atto, a seguito di consultazioni con i privati esperti del settore e ricercatori di cybersecurity e con il Segretario del Dipartimento di Homeland Security. Dovranno essere il più possibile allineate con gli standard per la divulgazione e gestione delle vulnerabilità (previsti, rispettivamente, negli standard ISO 29147 e ISO 30111).

Sicurezza nell’IoT: policy, principi, standard e linee guida

Ai sensi della Sezione 6 dell’Atto, entro due anni dalla sua emanazione il Direttore dell’OMB, consultandosi con il Segretario del Dipartimento di Homeland Security, dovrà sviluppare e sovrintendere all’implementazione di policy, principi, standard e linee guida riguardanti i punti deboli di sicurezza dei sistemi informatici, compresi i dispositivi di IoT.

Il Segretario del Dipartimento di Homeland Security, invece, in collaborazione con il Direttore dell’OMB, dovrà fornire alle agenzie governative assistenza nel segnalare, coordinare, pubblicare e ricevere informazioni riguardanti vulnerabilità dei sistemi informatici.

La Sezione 7 dell’IoT Cybersecurity Improvement Act of 2020 pone un divieto ai capi delle agenzie governative di procurare, rinnovare un contratto per ottenerli o utilizzare dei dispositivi di IoT quando il Chief Information Officer di quella agenzia determini, a seguito di una valutazione, che l’uso di tali dispositivi non rispetti gli standard e le linee guida emanati ai sensi dell’Atto. Vi sono, tuttavia, alcuni casi che fanno eccezione a questa regola generale:

  1. quando sia necessario per motivi di sicurezza nazionale;
  2. quando ottenere o utilizzare tali dispositivi sia necessario per scopi di ricerca;
  3. quando tali dispositivi siano messi in sicurezza utilizzando metodi alternativi ed efficaci in base alla loro funzione.

Ogni due anni il Comptroller General degli Stati Uniti dovrà fornire al Congress un report relativo all’utilizzo di tali eccezioni, alle best practice per l’approvvigionamento di dispositivi IoT da parte del governo federale e al numero e tipo di ogni dispositivo di IoT per il quale sarà stata applicata una eccezione, specificando quale autorità governativa se ne sia avvalsa.

Sicurezza nell’IoT: verso standard generali?

Come si è visto, l’IoT Cybersecurity Improvement Act 2020 si limita a dettare procedure per l’emanazione di ulteriori documenti che andranno a dare una regolamentazione tecnica e di dettaglio relativa alla sicurezza dei dispositivi di IoT utilizzati dalle agenzie governative statunitensi.

Non sono presenti indicazioni tecniche specifiche, ma si rimanda all’elaborazione successiva di standard e linee guida da parte di organismi specializzati.

Inoltre, la portata della normativa rimane limitata a organismi federali, senza riguardare almeno in prima battuta l’utilizzo dei dispositivi da parte di privati.

Tuttavia, si può auspicare che le conseguenze del nuovo Atto si estenderanno anche oltre il suo limitato ambito di applicazione.

Le linee guida e gli standard elaborati dal NIST potrebbero infatti influenzare le scelte delle compagnie che producono dispositivi di IoT sia per il settore pubblico che per quello privato, per le quali sarebbe decisamente più oneroso seguire due procedure diverse per i due settori con i quali si interfacciano che fare riferimento in tutti i casi alle direttive previste per i dispositivi utilizzati dalle agenzie governative.

L’IoT nell’Unione Europea

Anche nell’Unione Europea già da alcuni anni si discute delle potenzialità dell’Internet of Things, con la consapevolezza che il valore generato da tali dispositivi sia destinato a crescere esponenzialmente e diventare un pilastro dell’economia digitale.

Nel 2015 è stata istituita l’Alliance of Internet of Things Innovation (AIOTI) in seno alla Commissione Europea per supportare la creazione di nuovi modelli di business e un mercato europeo competitivo in questo settore.

Nel contesto della Digital Single Market Strategy della Commissione, viene dato ampio spazio alle riflessioni sull’IoT e su come promuoverne l’utilizzo, nell’ottica di una digitalizzazione progressiva della società.

I documenti normativi adottati in seno a tale strategia, pur non riguardando specificatamente l’Internet of Things, sono idonei in ogni caso a disciplinare alcuni aspetti essenziali per il suo sviluppo: basti pensare al Regolamento UE 2016/679, il famigerato GDPR che, ponendo delle regole a sostegno della circolazione dei dati personali nel rispetto della privacy degli individui, favorisce la creazione e diffusione di sistemi affidabili per quanto riguarda la gestione dei dati dei soggetti, in questo modo fugando alcune delle preoccupazioni più consistenti riguardanti l’utilizzo di dispositivi connessi nella propria vita privata.

Fondamentale è poi il Cybersecurity Act, che prevede l’emanazione di schemi di certificazione europei nel contesto della sicurezza delle tecnologie dell’informazione e della comunicazione, che ricomprende i dispositivi di IoT.

Conclusioni

L’IoT Cybersecurity Improvement Act of 2020 entrato in vigore negli USA è un esemplare tentativo di disciplinare un settore, quello della sicurezza nell’IoT, particolarmente complesso perché in continua evoluzione: il legislatore statunitense ha preso atto di questa problematica, affidando a organismi specialistici l’onere di emanare e aggiornare costantemente regole di dettaglio riguardanti la sicurezza informatica dei dispositivi di IoT e la gestione delle loro vulnerabilità.

Come si è detto sopra, si tratta di un primo passo verso la creazione di standard condivisi, auspicabilmente applicabili anche nel settore privato.

In ogni caso, è sintomo della crescente attenzione da parte delle istituzioni verso nuove tecnologie che andranno a impattare sempre più nelle attività degli organismi governativi e nella vita quotidiana dei cittadini.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr