Guida CRA ai gateway dei contatori intelligenti
Riepilogo
Il gateway di un contatore intelligente è l’unico prodotto energetico che il CRA colloca nella sua fascia più alta, il livello che etichetta come Critico. Questo cambia il lavoro. Un prodotto Critico non può autodichiarare la propria conformità come può fare un router ordinario. Deve essere validato da un valutatore esterno. Se il suo dispositivo sia davvero quel gateway, o solo un contatore connesso standard, dipende da un unico documento da scrivere per primo: il memorandum sul perimetro di misurazione.
Non ogni dispositivo di misurazione è Critico. Un sottocontatore, un ripartitore dei costi di calore, un modulo radio per contatore d’acqua o un bridge energetico di consumo rientrano comunque nel CRA, ma non sono automaticamente gateway di contatori intelligenti. L’etichetta Critico riguarda il gateway che funge da unità di comunicazione di un sistema di misurazione intelligente, e i dispositivi venduti per svolgere una funzione di sicurezza. Una norma UE del 2025 ha reso vincolante questa lettura e ha confermato che si estende anche ai gateway di gas e calore, non solo all’elettricità. Un contatore non diventa Critico solo perché misura il consumo o usa la cifratura.
Nel modello tedesco una scatola di comunicazione separata si trova fra i contatori e la rete. Francia, Spagna e Italia procedono diversamente: il contatore misura e comunica in un’unica unità e dialoga con un concentratore di dati nella cabina locale, senza scatola in casa. Lì la questione del Critico si sposta sul concentratore.
Il memorandum nomina le parti del sistema: il contatore, il gateway, il collegamento verso i contatori, le connessioni domestiche e geografiche, il modulo di sicurezza che custodisce le chiavi, l’amministratore che gestisce la flotta, il servizio di aggiornamento, i dati di privacy delle letture, il flusso di installazione e chi fa cosa fra fabbricante e azienda di servizi. Quella singola decisione fissa il percorso di conformità.
Due elementi modellano il fascicolo ancor prima che inizi il percorso di conformità. Primo, una valutazione CRA non valida la funzione metrologica sigillata: un aggiornamento di sicurezza richiede comunque un controllo di impatto metrologico prima di toccare il software di misurazione legalmente rilevante. Secondo, gli obblighi di segnalazione per le vulnerabilità attivamente sfruttate e gli incidenti gravi partono l’11 settembre 2026, prima del CRA pieno dell’11 dicembre 2027, e si estendono ai prodotti già sul mercato, perciò una flotta di contatori o gateway installata può portare un obbligo di segnalazione vivo anche dove il resto del CRA si applica solo dopo una modifica sostanziale.
| Variante di prodotto | Percorso CRA probabile | Perché |
|---|---|---|
| Gateway di contatore intelligente in un sistema di misurazione intelligente | Percorso prodotto Critico | Il CRA colloca i gateway dei contatori intelligenti all’interno dei sistemi di misurazione intelligenti nella fascia Critica |
| Sottocontatore elettrico connesso, sottocontatore di gas, calore o acqua o modulo radio | Percorso standard in ambito salvo che si applichi un’altra funzione elencata | Un prodotto di misurazione connesso, non il gateway che è l’unità di comunicazione di un sistema di misurazione intelligente |
| Software di head-end fornito con il gateway | Dipendente dal perimetro | Può far parte del prodotto quando necessario alla funzione prevista |
| Bridge dei dati energetici per i consumatori | Percorso standard | Di solito visualizza o inoltra le letture |
| Dispositivo venduto per una finalità di sicurezza avanzata, compreso il trattamento crittografico sicuro | Percorso prodotto Critico | È la finalità di sicurezza avanzata, non l’uso ordinario della crittografia, a determinare il percorso |
| Contatore DSO integrato (Linky, modello spagnolo o italiano) | Percorso standard nella maggior parte dei progetti | Un contatore terminale connesso, non l’unità di comunicazione del sistema |
| Concentratore di dati nella cabina secondaria | Candidato al percorso Critico, confermato nel memorandum sul perimetro | Il nodo di aggregazione e di controllo della comunicazione del sistema di misurazione |
Cosa richiede il CRA per i gateway dei contatori intelligenti
Il CRA tratta il gateway di un contatore intelligente come un unico prodotto composto da molti elementi digitali. Il prodotto può includere il firmware del contatore, il sistema operativo del gateway, il modulo di comunicazione, lo stack DLMS/COSEM (il protocollo standard dei dati di misurazione) o lo stack proprietario del protocollo del contatore, la SIM, la eSIM o la credenziale radio, l’archivio delle chiavi, il connettore di head-end (il collegamento al sistema centrale di raccolta dell’azienda di servizi), il display locale, un’app mobile, un portale cloud, il servizio di aggiornamento, lo strumento di installazione e il processo di gestione delle vulnerabilità. Normalmente esclude il sistema di fatturazione dell’azienda di servizi, l’approvazione metrologica legale, i sistemi di esercizio della rete e il contratto energetico del cliente, salvo che lo stesso fabbricante li fornisca come parte del prodotto.
Quel perimetro è il cuore del fascicolo. Le prove devono tenere la cibersicurezza separata dalla metrologia legale, pur documentando le interfacce fra il gateway, i contatori e l’head-end. L’approvazione metrologica ai sensi della Direttiva sugli strumenti di misura e delle norme nazionali sulla misurazione risponde a una domanda diversa da quella del CRA. Una prova che la misurazione è corretta e sigillata. L’altra prova che il prodotto connesso resiste agli attacchi lungo il suo periodo di supporto. Un fabbricante che confonde le due cose finisce con un fascicolo che non soddisfa nessuno dei due revisori.
| Area di requisito | Cosa dovrebbe registrare il fabbricante di un gateway di contatore intelligente |
|---|---|
| Finalità prevista | Gateway in un sistema di misurazione intelligente, sottocontatore, ripartitore, modulo radio, bridge di consumo o dispositivo venduto per una finalità di sicurezza avanzata |
| Verifica del Critico | Se il prodotto è un gateway all’interno di un sistema di misurazione intelligente, o un altro prodotto di misurazione connesso sul percorso standard |
| Perimetro di prodotto | Interfaccia del contatore, gateway, modulo di comunicazione, modulo di sicurezza, connettore di head-end, display locale, strumento di installazione, servizio di aggiornamento e i sistemi esclusi dell’azienda di servizi |
| Stato sicuro per impostazione predefinita | Autenticazione mutua su ogni collegamento, nessun segreto di lotto condiviso, aggiornamenti firmati, rifiuto del downgrade, esposizione dei dati ridotta al minimo e accesso di debug bloccato |
| Ciclo di vita delle chiavi | Identità per dispositivo, provisioning dei certificati, rotazione, revoca, messa in servizio e dismissione, con il modulo di sicurezza come ancora di fiducia |
| Privacy delle letture | Dati a intervalli, eventi di manomissione e di interruzione, inferenza dell’occupazione, profili di trattamento, pseudonimizzazione, conservazione ed esportazione per il supporto |
| Percorso di aggiornamento | Firmware firmato, decisione di impatto metrologico, distribuzione scaglionata alla flotta, recupero e fallback |
| Ripartizione dei ruoli | Fabbricante del contatore, fabbricante del gateway, azienda di servizi, amministratore del gateway, installatore, importatore ed eventuali responsabilità in white-label |
| Supporto e segnalazione | Dichiarazione del periodo di supporto, disponibilità degli aggiornamenti di sicurezza, un unico contatto per le vulnerabilità e il flusso di segnalazione previsto dall’Articolo 14 |
I requisiti di cibersicurezza e la documentazione tecnica che li dimostra funzionano allo stesso modo per ogni prodotto CRA, e la guida alla documentazione tecnica li copre. Questa pagina si limita a ciò che è specifico di un gateway di misurazione: la classificazione Critica, il percorso di conformità, l’architettura del gateway e le prove specifiche della misurazione.
Il suo dispositivo è nella fascia Critica?
L’etichetta Critico è ristretta, e un prodotto di misurazione può collocarsi su entrambi i lati. Un dispositivo è il gateway Critico quando è l’unità di comunicazione del sistema di misurazione: controlla il collegamento con le aziende di servizi, tratta i dati del contatore e i dati personali, esegue la crittografia e può fare da firewall del sistema e controllare altri dispositivi. Un contatore che si limita a misurare e riportare resta sul percorso standard, e usare una crittografia robusta per proteggere una funzione ordinaria non rende Critico un dispositivo. Il Regolamento di esecuzione (UE) 2025/2392 (il Regolamento di esecuzione), vincolante dal 21 dicembre 2025, fissa questo test e lo estende ai gateway di gas e calore, non solo all’elettricità. Definisca la risposta una volta sola nel memorandum sul perimetro. La tabella del Riepilogo qui sopra mappa le varianti comuni al loro percorso.
Come cambia l’architettura nell’UE
La Germania usa un modello a gateway separato con un’unità di comunicazione distinta, il modello attorno a cui è stata costruita la classificazione Critica. Francia, Spagna e Italia non misurano così. Usano contatori integrati che misurano e comunicano in un’unica unità sigillata e raggiungono direttamente un concentratore di dati nella cabina secondaria, senza scatola gateway in casa. Il concentratore gestisce l’aggregazione e il collegamento a monte, perciò le prove CRA si attaccano comunque, ma a dispositivi diversi, e la questione del percorso Critico si sposta con esso. Il modello tedesco ha una sua sezione più sotto.
La forma è la stessa in tutti e tre i mercati: un contatore integrato presso il cliente, una portante a banda stretta su linea elettrica lungo la linea a bassa tensione, un concentratore nella cabina di distribuzione, poi un collegamento cellulare verso l’operatore. Ciò che cambia è la tecnologia su linea elettrica, il canale di consumo e, in Italia, una seconda interfaccia radio. In ciascuno, il concentratore è il nodo che aggrega molti contatori e controlla la comunicazione con i terzi autorizzati. Il contatore integrato è normalmente un prodotto connesso sul percorso standard. Nessuna delle due scelte è automatica. Il Regolamento di esecuzione fa ruotare la categoria sulla funzionalità centrale, perciò un contatore le cui funzioni proprie corrispondono alla descrizione del gateway può essere argomentato nella fascia Critica, e il fabbricante fissa la ripartizione nel memorandum sul perimetro invece di darla per scontata.
Francia: Enedis Linky
Il contatore Linky svolge entrambi i compiti. Misura il consumo e comunica a monte da un’unica unità, raggiungendo direttamente un concentratore nella cabina secondaria HTA/BT (da media a bassa tensione) anziché attraverso un gateway in casa. Il collegamento è una portante a banda stretta su linea elettrica nella banda CENELEC A, la banda di servizio a bassa frequenza, prevalentemente il profilo G3-PLC, con una parte della flotta sullo schema S-FSK di prima generazione. Il concentratore fa backhaul verso il sistema centrale Enedis tramite rete cellulare pubblica, GPRS nel progetto originario. Enedis è il distributore che gestisce il sistema, non il fabbricante del contatore. L’interfaccia di consumo è opzionale: il contatore espone una porta informativa TIC che un display in casa può leggere tramite un modulo radio separato, un’aggiunta anziché apparecchiatura Enedis standard. L’installazione è iniziata nel 2015 e ha raggiunto circa 35 milioni di contatori.
Spagna: PRIME e Meters and More
La Spagna usa la stessa forma a tre livelli: un contatore DLMS integrato presso i locali, un concentratore nel centro de transformación e un head-end presso il DSO. La tecnologia su linea elettrica a bassa tensione si divide per operatore. Iberdrola (i-DE) e UFD usano PRIME, mentre Endesa (e-distribución) usa Meters and More. Il concentratore aggrega i contatori, inoltra i comandi e supervisiona la rete a bassa tensione, e dialoga con l’head-end tramite il protocollo supervisore STG-DC. Fa backhaul tramite un collegamento di rete pubblica, comunemente cellulare e spesso su VPN. La base legale è l’Orden ITC/3860/2007, che ha imposto la sostituzione dei contatori con unità a gestione remota, perciò la Spagna ha raggiunto presto una copertura quasi completa, intorno ai 27 milioni di contatori a bassa tensione.
Italia: Open Meter di e-distribuzione
L’Italia è stata la prima grande installazione UE, con la prima generazione Telegestore dal 2001, e ora è sulla seconda generazione Open Meter, circa 30 milioni di contatori installati entro il 2023. ARERA consente alla Chain 1 di funzionare tramite linea elettrica banda A, un’interfaccia radio a 169 MHz o altre tecnologie di telecomunicazione, e l’Open Meter porta una doppia interfaccia Chain 1 che combina linea elettrica banda A e radio a 169 MHz. Un canale Chain 2 separato su linea elettrica in banda C raggiunge gli User Device di consumo opzionali, standardizzati dalla serie CEI TS da 13-82 a 13-85 e imposti dalla delibera ARERA 87/2016. Il concentratore nella cabina MT/BT (da media a bassa tensione) è, nelle parole stesse di e-distribuzione, l’hub informativo e l’attuatore per l’automazione di rete, e fa backhaul tramite la rete pubblica GSM, GPRS, UMTS o PSTN.
| Mercato | Forma del contatore | Collegamento a bassa tensione | Nodo di aggregazione | Backhaul | Canale di consumo | Candidato al percorso Critico |
|---|---|---|---|---|---|---|
| Germania (SMGW) | Gateway separato più contatori | Rete metrologica locale verso il gateway | Il gateway | Cellulare geografico o altro | Rete domestica e display di consumo | Il gateway |
| Francia (Linky) | Contatore integrato | G3-PLC, banda CENELEC A | Concentratore nella cabina HTA/BT | Cellulare, GPRS in origine | Porta TIC e display radio opzionali | Il concentratore |
| Spagna (PRIME, Meters and More) | Contatore DLMS integrato | PLC PRIME o Meters and More | Concentratore nel centro de transformación | Cellulare, in parte fibra o radio | Non dettagliato qui | Il concentratore |
| Italia (Open Meter) | Contatore integrato | PLC banda A e RF a 169 MHz | Concentratore nella cabina MT/BT | GSM, GPRS, UMTS o PSTN | Chain 2 PLC banda C verso gli User Device | Il concentratore |
Nulla di tutto questo dichiara il concentratore un prodotto Critico. È di solito il candidato più forte. La determinazione è specifica per dispositivo e per uso, ruota sulla descrizione della funzionalità centrale nel Regolamento di esecuzione e appartiene al memorandum sul perimetro del fabbricante. La decisione qui sotto è la versione breve di quel test.
Come si costruisce un sistema a gateway separato (il modello tedesco)
Questo è il modello a gateway separato, quello con un’unità di comunicazione distinta come scatola a sé. Nei mercati a contatore integrato descritti sopra, Francia, Spagna e Italia, esistono questi stessi perimetri di evidenza, ma collassano nel contatore e nel concentratore di rete anziché in un gateway distinto. Il gateway di un contatore intelligente è l’unità di comunicazione centrale di un sistema di misurazione intelligente. Il BSI lo descrive come il componente centrale che riceve e conserva i dati dai contatori e li tratta per i partecipanti al mercato autorizzati a vederli. La Federal Network Agency (Bundesnetzagentur) lo chiama il cuore del sistema. Il gateway si trova fra tre reti, e l’ancora di fiducia per tutte è un modulo di sicurezza dedicato. Ogni confine è il punto in cui si attacca un pezzo di evidenza CRA, perciò vale la pena disegnare l’architettura con precisione.
Le tre reti portano ciascuna un rischio diverso e un controllo diverso:
- La rete metrologica locale (LMN) collega il gateway ai contatori, di elettricità, gas, acqua o calore, di uno o più consumatori finali. È qui che le letture entrano nel prodotto. L’evidenza qui copre come il gateway autentica un contatore, come rifiuta le letture da un contatore non autorizzato e come il collegamento contatore-gateway è abbinato e protetto.
- La rete domestica (HAN) collega il gateway a sistemi locali controllabili come il solare sul tetto, la cogenerazione, le pompe di calore e la ricarica di veicoli elettrici, a un tecnico di servizio durante la manutenzione e al consumatore che ha diritto a vedere il proprio consumo. L’evidenza qui copre l’isolamento fra la vista del consumatore e i segreti del dispositivo, e l’ambito di qualsiasi comando di controllo che raggiunge un sistema locale.
- La rete geografica (WAN) collega il gateway a partecipanti al mercato esterni, i fornitori di energia, gli operatori di rete e l’operatore del punto di misurazione, e all’amministratore del gateway. È il percorso di flotta. L’evidenza qui copre l’autenticazione mutua, la custodia dei certificati, la pseudonimizzazione dei dati del contatore prima che raggiungano un partecipante al mercato e i profili di trattamento che decidono quali dati vanno dove.
Il modulo di sicurezza è l’ancora di fiducia. Il BSI lo definisce come il luogo di archiviazione sicura del materiale crittografico delle chiavi, che fornisce le routine crittografiche centrali per la creazione e la verifica delle firme, la generazione delle chiavi, l’accordo sulle chiavi e la generazione di numeri casuali. Se il modulo di sicurezza è solido, il gateway può provare la propria identità su ogni rete. Se è debole, ogni altro controllo a valle poggia sulla sabbia. Il fascicolo CRA dovrebbe trattare il modulo di sicurezza come un componente nominato con la propria evidenza di fornitore, la propria storia di aggiornamento e il proprio confine nel diagramma.
L’amministratore del gateway (GWA) configura, amministra e monitora il gateway da remoto tramite la rete geografica. Spinge il firmware, imposta la configurazione e i profili di trattamento e sorveglia la flotta. Dal punto di vista del CRA l’amministratore del gateway è un percorso privilegiato di controllo remoto, molto simile al server di auto-configurazione di un router. Il fascicolo deve registrare l’identità dell’amministratore, l’ambito dei comandi che può emettere, l’ancora di fiducia rispetto a cui si autentica e la traccia di audit che lascia.
Diversi controlli si sovrappongono poi sul collegamento, e ciascuno è un pezzo di evidenza separato nel fascicolo.
Il collegamento geografico è protetto con TLS, che protegge il canale fra il gateway e l’entità con cui dialoga.
Il contenuto del contatore destinato ai partecipanti al mercato esterni è protetto anche end-to-end con CMS, la Cryptographic Message Syntax, così che il payload resti protetto oltre l’endpoint di trasporto.
Le letture sono pseudonimizzate prima di raggiungere un partecipante al mercato, e i profili di trattamento decidono quale dataset è minimizzato, aggregato e instradato a quale destinatario.
La protezione fisica dalla manomissione difende il dispositivo dalla manipolazione sul campo.
Schema nazionale, binario separato. La Germania gestisce già un regime nazionale dettagliato per questo dispositivo ai sensi della legge sull’esercizio dei punti di misurazione, costruito su una pila di norme BSI:
- TR-03109-1: requisiti di interoperabilità per l’unità di comunicazione, all’interno della più ampia famiglia TR-03109. Ora alla versione 2.0.
- TR-03109-4: l’infrastruttura a chiave pubblica della misurazione intelligente.
- BSI-CC-PP-0073: profilo di protezione Common Criteria per il gateway. V2.0 certificato a dicembre 2024.
- BSI-CC-PP-0077: profilo di protezione Common Criteria per il modulo di sicurezza.
Le precedenti baseline PP-0073 v1.3 e TR-03109-1 v1.1 restano valide fino al 31 dicembre 2027.
Il CRA non adotta TR-03109. Il suo percorso passa per le proprie norme armonizzate sviluppate nell’ambito della richiesta di normazione della Commissione. Il senso di menzionare lo schema tedesco è un inquadramento onesto: i regolatori già esigono questa profondità di architettura di sicurezza proprio dal dispositivo che il CRA ora classifica come Critico, perciò l’asticella che un fabbricante di gateway deve superare non è teorica. La Germania non è nemmeno l’unica asticella pre-2027. Un contatore dotato di radio deve già oggi i requisiti di cibersicurezza della RED, in ogni mercato, come illustra più sotto la sovrapposizione con RED, MID, GDPR e NIS2.
| Punto di controllo di architettura | Domanda di evidenza |
|---|---|
| Collegamento contatore-gateway (LMN) | Documenti il collegamento ottico, cablato, wireless, DLMS/COSEM o proprietario, e come il gateway autentica un contatore e ne rifiuta uno non autorizzato. |
| Rete domestica (HAN) | Mostri l’isolamento fra la vista del consumatore, l’accesso del tecnico di servizio e i comandi ai sistemi locali controllabili, così che una vista domestica non possa raggiungere i segreti del dispositivo. |
| Rete geografica (WAN) | Mostri l’autenticazione mutua, la custodia di certificati e chiavi, il comportamento di riconnessione e quale partecipante al mercato riceve quale dataset. |
| Modulo di sicurezza | Tratti l’archivio delle chiavi e le routine crittografiche come componente nominato con evidenza di fornitore, una storia di aggiornamento e resistenza alla manomissione. |
| Amministratore del gateway | Registri l’identità dell’amministratore, l’ambito dei comandi, l’ancora di fiducia e la traccia di audit per la configurazione e il firmware da remoto. |
| Pseudonimizzazione e profili | Mostri dove le letture sono pseudonimizzate e quale profilo di trattamento minimizza e instrada ciascun dataset. |
| Confine metrologico | Separi gli aggiornamenti di cibersicurezza dal software metrologico legalmente rilevante e documenti dove serve un’approvazione metrologica adiacente. |
Come funziona il percorso di conformità per un prodotto Critico
Poiché un gateway è Critico, il percorso di autodichiarazione che può usare un router Importante di Classe I è chiuso. Prende il percorso esterno dell’Articolo 32: un esame da terza parte o un audit completo di garanzia della qualità, oppure uno schema europeo di certificazione di cibersicurezza una volta che ne sia applicabile uno secondo l’Articolo 8. Nessuno schema è ancora reso obbligatorio per i gateway, perciò oggi il percorso è la valutazione da terza parte o sul sistema di qualità, con lo schema come futuro innesco da monitorare. La meccanica di ciascuna procedura si trova nella guida alla valutazione della conformità. Il vincolo specifico della misurazione è il confine metrologico: una valutazione CRA non valida la funzione di misurazione legalmente rilevante, perciò tenga separate l’evidenza di conformità e l’approvazione metrologica.
Quali evidenze deve contenere il fascicolo tecnico
Il fascicolo deve permettere a un revisore di seguire il gateway dall’identità del prodotto ai controlli di sicurezza senza tirare a indovinare. La tabella sotto elenca i registri specifici del fascicolo che la tabella dei requisiti più sopra non aveva già coperto: identità, determinazione del Critico, esito di conformità e inventario dei componenti. I due registri che reggono gran parte del peso per un gateway di misurazione, il ciclo di vita delle chiavi e dei certificati e la ripartizione fra modifiche metrologiche e di sola cibersicurezza, sono disegnati per intero più sotto.
| Area di evidenza | Evidenza di misurazione da conservare |
|---|---|
| Identità del prodotto | Modello del contatore e del gateway, firmware metrologico, modulo di comunicazione, componente del modulo di sicurezza e revisione hardware |
| Determinazione del Critico | Se il prodotto è un gateway all’interno di un sistema di misurazione intelligente o un altro prodotto di misurazione connesso, con il ragionamento registrato |
| Esito di conformità | Il certificato di esame UE del tipo dell’organismo notificato o l’approvazione di garanzia della qualità completa, la dichiarazione UE di conformità e la marcatura CE, con il numero dell’organismo notificato aggiunto solo dove l’organismo segue il percorso di garanzia della qualità completa |
| Inventario dei componenti | Elenco con versioni degli elementi digitali spediti, con titolari nominati e un monitoraggio degli avvisi dei fornitori |
Il modulo di sicurezza rende il ciclo di vita delle chiavi diverso dalla storia generica delle chiavi IoT. Un segreto per dispositivo è iniettato in fabbrica e non lascia mai il modulo in chiaro. All’installazione, l’installatore lega il gateway ai suoi contatori e al ruolo dell’operatore senza mai maneggiare una chiave di lotto, così che una credenziale di installatore trapelata non possa impersonare una flotta. In esercizio, il gateway si autentica verso l’head-end con l’ancora di fiducia configurato e registra ogni lettura, evento di manomissione e aggiornamento. La rotazione è programmata, indotta da incidente o innescata da un cambio di ruolo, e aggiorna sia il gateway sia il registro dell’operatore. Alla dismissione, il vecchio legame è revocato e le chiavi sono distrutte o disabilitate, così che un gateway reso o sostituito non possa continuare ad agire come gateway di misurazione vivo.
Il secondo registro specifico della misurazione è la ripartizione fra software metrologico legalmente rilevante e modifiche di sola cibersicurezza. Un fabbricante di gateway spedirà correzioni di sicurezza molto più spesso di modifiche metrologiche, e il fascicolo deve mostrare che un aggiornamento di sicurezza non ha alterato in sordina la funzione di misurazione approvata. La matrice sotto è lo strumento di decisione: dice al fabbricante dove registrare la decisione di cibersicurezza, e dove serve un’approvazione metrologica adiacente o una finestra di modifica coordinata con l’operatore.
Ripartizione fra aggiornamenti metrologici e di cibersicurezza. Le correzioni di sicurezza vanno valutate rispetto al software legalmente rilevante senza fingere che il CRA sostituisca l’approvazione metrologica.
| Area di modifica | Esempio di modifica | Domanda di decisione | Percorso di rilascio | Evidenza |
|---|---|---|---|---|
| Metrologia legalmente rilevante | Calcolo di misurazione o firmware sigillato del contatore | Questo incide sulla funzione metrologica approvata? | Trattenere per una decisione di impatto metrologico | Valutazione di impatto e registro di approvazione |
| Sicurezza del gateway | Correzione TLS, abbinamento, agente di aggiornamento o archivio chiavi | La correzione può essere spedita senza cambiare la logica di misurazione? | Aggiornamento di sicurezza firmato con rollback | Registro della decisione di impatto metrologico, risultato del test e avviso al cliente |
| Modulo di comunicazione | Firmware del modem cellulare o patch della libreria di protocollo | L’aggiornamento del fornitore cambia servizi o credenziali esposti? | Aggiornamento sul campo scaglionato | Decisione sull’avviso del fornitore e test di compatibilità |
| Connettore di head-end | Formato di esportazione, ancora di fiducia o flusso di abbinamento | L’operatore avrà bisogno di una finestra di modifica coordinata? | Distribuzione coordinata con l’operatore | Istruzione all’operatore e registro di migrazione |
Porta di decisione: questa ripartizione non è una scorciatoia attorno all’approvazione metrologica o dell’azienda di servizi. Dice al fabbricante dove registrare la decisione di cibersicurezza, e dove serve un’approvazione adiacente o un fermo dell’operatore. La domanda a cui risponde: questa correzione può essere spedita come aggiornamento di cibersicurezza, o tocca il software metrologico legalmente rilevante? Artefatto: registro della decisione di impatto metrologico per ogni rilascio.
Come si presenta una valutazione del rischio di misurazione reale
Lo usi come esempio della profondità che richiede un fascicolo di fascia Critica. Il fabbricante deve comunque condurre la valutazione contro il suo gateway reale, il modulo di sicurezza, lo stack del protocollo del contatore, il modulo di comunicazione, i componenti dei fornitori, la titolarità degli aggiornamenti, le affermazioni di vendita e la promessa del periodo di supporto.
Inventario degli asset
Prodotto di esempio: ExampleCo GridMeter G2, un gateway di contatore intelligente abbinato a contatori elettrici, un modulo di comunicazione cellulare, un modulo di sicurezza hardware, un connettore di head-end dell’azienda di servizi, un’interfaccia di display di consumo, aggiornamenti firmware firmati e uno strumento di messa in servizio per l’installatore.
Il perimetro del prodotto include l’hardware del gateway, il modulo di sicurezza, l’interfaccia del contatore, il modulo di comunicazione, l’archivio delle chiavi, il connettore di head-end, l’interfaccia di display di consumo, il servizio di aggiornamento firmware, lo strumento di installazione, l’intake di divulgazione coordinata e il processo di avviso. Esclude il sistema di fatturazione dell’azienda di servizi, l’approvazione metrologica legale, i sistemi di esercizio della rete e il contratto energetico del cliente, salvo che lo stesso operatore li fornisca come parte del prodotto.
| Asset | Perché è importante | Dove risiede |
|---|---|---|
| Collegamento contatore-gateway (LMN) | Porta i dati di misurazione nel prodotto e deve rifiutare i contatori non autorizzati | Interfaccia del contatore, materiale di abbinamento, stack del protocollo LMN |
| Modulo di sicurezza hardware e archivio delle chiavi | Custodisce le chiavi che provano l’identità del gateway su ogni rete | Modulo di sicurezza, archivio delle chiavi, registri di provisioning |
| Head-end e connessione WAN | Percorso privilegiato verso i partecipanti al mercato e l’amministratore del gateway | Modulo cellulare, credenziali WAN, archivio dei certificati |
| Percorso dei comandi dell’amministratore del gateway | Un percorso di controllo della flotta può agire su molti gateway in una volta | Gestione WAN, credenziali dell’amministratore, audit dei comandi |
| Ancora di fiducia della firma del firmware | Protegge il canale di aggiornamento da rollback e manomissione | Bootloader, archiviazione sicura, servizio di aggiornamento OTA |
| Dati di lettura a intervalli e di privacy | Un consumo a grana fine può rivelare occupazione e comportamento | Archivio delle letture, profilo di trattamento, esportazione per il supporto |
| Flusso di messa in servizio dell’installatore | L’autorità di messa in servizio lega il gateway al contatore e al ruolo dell’operatore | Strumento dell’installatore, portale dell’installatore, attestazione di abbinamento |
| Firmware del modulo di comunicazione | Le vulnerabilità del modem incidono su disponibilità ed esposizione | Modulo cellulare, SDK del fornitore, avvisi dei fornitori |
| Confine metrologico | Un aggiornamento di sicurezza non deve toccare in sordina il software di misurazione legalmente rilevante | Funzione metrologica sigillata, processo di rilascio, registro di impatto metrologico |
Documenti la ripartizione dei ruoli e i sistemi esclusi dell’azienda di servizi.
Verifica del percorso | fascicolo di prodotto | fascicolo di rischio | dichiarazione del periodo di supporto
Ciclo di vita delle chiavi, revisione della privacy, test del firmware ed evidenza di accettazione dell’azienda di servizi.
Monitoraggio della libreria di protocollo, evidenza del firmware del modem, test dell’archivio chiavi e avvisi dei fornitori.
Procedura di revoca, istruzioni per l’installatore, percorso di aggiornamento dei ricambi e registro di notifica al cliente.
L’output più sensibile alla privacy di un gateway è la lettura a intervalli. Dati di consumo a grana fine possono rivelare occupazione, uso degli elettrodomestici e comportamento, perciò il fascicolo necessita di un chiaro punto di strozzatura per la minimizzazione e di una risposta chiara a cosa il supporto possa vedere durante un’indagine. Il flusso sotto lo ricollega ai controlli di pseudonimizzazione e di profilo di trattamento della sezione di architettura.
La cadenza delle letture è specifica per operatore o mercato. Il gateway registra solo il set di dati supportato.
Un profilo di trattamento mantiene solo ciò che la funzione dichiarata richiede, e le letture sono pseudonimizzate prima di raggiungere un partecipante al mercato.
Le viste del consumatore e dell’operatore sono separate dai segreti grezzi del dispositivo e dal materiale di abbinamento.
Un’esportazione per il supporto rimuove le chiavi, la topologia precisa e i dettagli personali non necessari. Artefatto: elenco di redazione del pacchetto di supporto.
Confini di fiducia
| Ambiente | Esposizione attesa | Conseguenza del rischio |
|---|---|---|
| Collegamento del contatore (LMN) | Raggiungibile dai contatori installati sul campo | Un contatore non autorizzato o falsificato può iniettare letture false |
| Rete domestica (HAN) | Condivisa con i display di consumo e i sistemi locali controllabili | Un isolamento debole può far trapelare letture o raggiungere funzioni di controllo |
| Rete geografica (WAN) | Esposta in modo continuo ai partecipanti al mercato esterni e all’amministratore | La compromissione di una credenziale o di un certificato può scalare sull’intera flotta |
| Percorso dell’amministratore del gateway | Canale privilegiato di configurazione e aggiornamento da remoto | Un ambito di comando eccessivo o un amministratore compromesso incide su molti gateway |
| Interfaccia del modulo di sicurezza | Raggiunta da ogni operazione che firma, verifica o archivia chiavi | Un modulo debole mina ogni controllo a valle |
| Percorso di aggiornamento e recupero | Riceve immagini firmware privilegiate | Una firma debole o un rollback reintroduce vulnerabilità note |
| Supporto ed esportazione delle letture | Attraversa il confine fra il dispositivo e gli operatori e il personale di supporto | Esportazioni non redatte possono esporre chiavi, topologia o dati di consumo personali |
Scenari di minaccia
| ID | Scenario di minaccia | Asset a rischio | Punto di ingresso |
|---|---|---|---|
| M1 | Il gateway accetta letture del contatore da un contatore non autorizzato | Integrità delle letture | Collegamento del contatore |
| M2 | Il certificato di head-end o la chiave del dispositivo è riutilizzato fra lotti | Autenticazione della flotta | Provisioning |
| M3 | Il rollback del firmware reintroduce una vulnerabilità nota | Integrità del firmware | Agente di aggiornamento |
| M4 | I dati a intervalli rivelano l’occupazione tramite un’esportazione per il supporto | Privacy delle letture | Pacchetto di supporto |
| M5 | L’account dell’installatore resta attivo dopo l’offboarding del contraente | Autorità di messa in servizio | Portale dell’installatore |
| M6 | L’interfaccia di consumo espone le letture di un altro nucleo familiare | Privacy | API cloud o locale |
| M7 | Un aggiornamento a impatto metrologico è spedito senza separazione dalla correzione di sicurezza | Confine metrologico | Processo di rilascio |
| M8 | Una vulnerabilità del modem cellulare non è triagiata durante il supporto | Disponibilità del gateway | Modulo del fornitore |
| M9 | Il ripristino di fabbrica non revoca il legame dell’azienda di servizi o le vecchie chiavi | Proprietà, chiavi | Sostituzione o reso |
| M10 | L’ambito dei comandi dell’amministratore del gateway eccede il profilo valutato | Controllo della flotta | Gestione WAN |
Registro dei rischi iniziale
| ID | Probabilità | Impatto | Decisione iniziale | Motivazione |
|---|---|---|---|---|
| M1 | Bassa | Alto | Trattare prima del rilascio | L’integrità delle letture è centrale |
| M2 | Bassa | Severo | Trattare prima del rilascio | Il riutilizzo delle chiavi può scalare sull’intera flotta |
| M3 | Bassa | Severo | Trattare prima del rilascio | Una debolezza di aggiornamento mina il supporto |
| M4 | Media | Medio | Trattare prima del rilascio | I dati di misurazione sono sensibili alla privacy |
| M5 | Media | Alto | Trattare prima del rilascio | Gli installatori incidono su molti dispositivi |
| M6 | Bassa | Alto | Trattare prima del rilascio | Una fuga fra nuclei familiari è grave |
| M7 | Media | Alto | Trattare prima del rilascio | Gli aggiornamenti metrologici e di cibersicurezza interagiscono |
| M8 | Media | Medio | Trattare prima del rilascio | I moduli di comunicazione invecchiano in fretta |
| M9 | Media | Alto | Trattare prima del rilascio | Sostituzione e reso sono eventi normali |
| M10 | Media | Severo | Trattare prima del rilascio | Un percorso di controllo della flotta può incidere su molti gateway |
Mappatura di controlli ed evidenze
| Minacce | Controllo di progettazione | Evidenza che il fabbricante deve conservare |
|---|---|---|
| M1, M2 | Autenticazione mutua, chiavi per dispositivo ancorate nel modulo di sicurezza, audit del provisioning | Registro di iniezione delle chiavi, test di abbinamento |
| M3 | Aggiornamenti firmati, anti-rollback, verifica del recupero | Test di aggiornamento, rifiuto del downgrade |
| M4, M6 | Minimizzazione dei dati, profili di trattamento, pseudonimizzazione, isolamento dei tenant, redazione per il supporto | Revisione della privacy, test delle API |
| M5, M9 | Separazione dei ruoli dell’installatore, offboarding, flusso di sostituzione e revoca | Test dei ruoli, checklist di reso |
| M7 | Valutazione di impatto metrologico e separazione del rilascio | Registro della decisione di rilascio |
| M8 | Inventario dei componenti e monitoraggio degli avvisi dei fornitori | Log degli avvisi, decisione di patch |
| M10 | Profilo di amministratore a privilegio minimo, inventario dei certificati, audit dei comandi | Revisione del profilo, campione di audit dei comandi |
Rischio residuo dopo i controlli
| Area residua | Perché resta | Evidenza operativa |
|---|---|---|
| Sistemi dell’azienda di servizi | La fatturazione e le operazioni di head-end possono trovarsi fuori dal controllo del fabbricante del prodotto | Memorandum di ripartizione dei ruoli |
| Inferenza sulla privacy | Letture a grana fine possono comunque rivelare il comportamento | Registro di conservazione e minimizzazione |
| Percorso di certificazione | Il trattamento come prodotto Critico dipende dallo schema e dal futuro atto delegato | Registro della decisione di percorso, nota di monitoraggio dello schema |
Cosa entra in un inventario dei componenti del gateway di un contatore intelligente?
La meccanica generica dell’inventario dei componenti, la scelta del formato e la firma si trovano nella guida SBOM, nella guida HBOM e nella guida BSI TR-03183. Ciò che è specifico di un gateway è la forma dell’albero. È un prodotto hardware che spedisce molti elementi digitali su cicli di aggiornamento separati, raramente meno di dieci e spesso più vicino a venti componenti di primo livello, ciascuno con il proprio fornitore, la propria cadenza di aggiornamento e il proprio feed di avvisi. Li elenchi come un unico inventario a livello di prodotto con sezioni separate per elemento, o come un inventario per elemento spedito, purché resti leggibile da macchina e copra le dipendenze di primo livello.
| Componente | Funzione nel gateway | Esempio concreto |
|---|---|---|
| Bootloader sicuro e root of trust | Verifica e avvia la catena di firmware firmata | Un primo stadio misurato o a boot verificato che controlla le firme prima del caricamento del sistema operativo e rifiuta le immagini downgradate |
| Sistema operativo e kernel | La piattaforma su cui gira il gateway | Un Linux embedded costruito con Yocto/OpenEmbedded su un kernel a supporto a lungo termine, o un RTOS irrobustito |
| Firmware metrologico | La funzione di misurazione sigillata e legalmente rilevante | Firmware di misurazione del contatore sigillato ai sensi della Direttiva sugli strumenti di misura (2014/32/UE) e della legge metrologica nazionale. Nel perimetro del gateway solo quando il contatore fa parte del prodotto immesso sul mercato, altrimenti risiede nel contatore ed è identificato secondo la guida software WELMEC 7.2 |
| Stack del protocollo del contatore (LMN) | Legge i contatori tramite la rete metrologica locale | Uno stack DLMS/COSEM (Device Language Message Specification / Companion Specification for Energy Metering) (IEC 62056). Nelle installazioni tedesche, SML (Smart Message Language) e Wireless M-Bus (EN 13757-4) con profili OMS (Open Metering System) |
| Firmware del modulo di comunicazione (WAN) | Porta il collegamento geografico ai partecipanti al mercato | Firmware baseband del fornitore su un modulo cellulare NB-IoT o LTE-M (per esempio di u-blox o Quectel). Alcune reti usano invece backhaul su linea elettrica |
| Connettore / client di head-end | Dialoga con il sistema di head-end e l’amministratore del gateway | Un client WAN che implementa il protocollo dell’operatore (in Germania, il collegamento TR-03109-1 all’amministratore del gateway) |
| Firmware e archivio chiavi del modulo di sicurezza | L’ancora di fiducia: archiviazione delle chiavi e nucleo crittografico | Un secure element o HSM (modulo di sicurezza hardware) valutato rispetto a un profilo di protezione Common Criteria (in Germania, BSI PP-0077) |
| Client PKI / gestione dei certificati | Iscrive, rinnova e revoca i certificati del dispositivo | Un client di certificati (per esempio EST o CMP) verso la PKI dell’operatore. In Germania, la PKI di misurazione intelligente TR-03109-4 |
| Libreria TLS | Protegge il canale WAN | mbedTLS, wolfSSL o OpenSSL |
| Livello CMS | Protezione del contenuto end-to-end delle letture oltre l’endpoint di trasporto | Un’implementazione della Cryptographic Message Syntax (RFC 5652) che firma e cifra il contenuto del contatore per il destinatario autorizzato |
| Agente di aggiornamento over-the-air | Applica firmware firmato con rollback | Un client di aggiornamento A/B come SWUpdate, Mender o RAUC, con verifica della firma e anti-rollback |
| Motore di profilo di trattamento e configurazione | Minimizza e instrada ciascun dataset al destinatario autorizzato | Il componente che applica i profili di trattamento e pseudonimizza le letture prima che lascino il gateway |
| Sottosistema di log di eventi e manomissione | Registra letture, eventi di manomissione e di aggiornamento per la traccia di audit | Un log di eventi append-only che alimenta la traccia di audit dell’operatore e l’evidenza per le controversie di fatturazione |
| Fonte di tempo sicura | Fornisce un tempo affidabile per certificati, log e tariffe | Un orologio sincronizzato, come NTP autenticato, che sostiene la validità dei certificati e i timestamp degli eventi di manomissione |
| Display locale / interfaccia HAN | La vista di trasparenza per il consumatore e il collegamento ai sistemi locali controllabili | Una vista web locale per il consumatore finale, o un’interfaccia EEBus / OMS verso i sistemi domestici |
| Strumento di installazione / messa in servizio | Abbina, esegue il provisioning e sostituisce i gateway sul campo | Un’app sul campo o uno strumento su laptop che lega il gateway ai suoi contatori e al ruolo dell’operatore senza maneggiare una chiave di lotto |
Tenga onesto l’obbligo. Il CRA chiede un inventario leggibile da macchina che copra almeno le dipendenze di primo livello, aggiornato lungo il periodo di supporto, con il monitoraggio degli avvisi dei fornitori così che una vulnerabilità nota nel firmware del modem o nella libreria di protocollo sia triagiata anziché mancata. Non impone ancora un unico formato fisso né una profondità oltre le dipendenze di primo livello. Rispecchi quella formulazione anziché inventare una regola più severa.
L’inventario non è un elenco passivo. L’Articolo 13 impone di esercitare la dovuta diligenza quando si integra un componente di terzi, compreso quello open-source, così da non indebolire la cibersicurezza del gateway. Va oltre sulle vulnerabilità. Quando ne trova una in un componente integrato, la segnala all’entità che fabbrica o manutiene quel componente, la corregge nel suo prodotto secondo le regole di gestione delle vulnerabilità dell’Allegato I, e dove ha costruito una correzione software o hardware condivide il codice o la documentazione pertinente con quel manutentore. Il modulo cellulare e il modulo di sicurezza non sono semplici voci di elenco. Ciascuno è un prodotto con elementi digitali a pieno titolo, che porta i propri obblighi CRA, perciò l’avviso sulla baseband del modem e gli errata del modulo di sicurezza fanno parte del suo monitoraggio e della sua segnalazione a monte, non del problema di qualcun altro.
Come dovrebbero funzionare supporto, aggiornamenti e segnalazione?
Una flotta di contatori sopravvive alla maggior parte dell’elettronica di consumo. I gateway restano nelle pareti per un decennio o più, perciò il modello di supporto fa parte del fascicolo, non è un ripensamento. L’evidenza di supporto dovrebbe coprire il firmware metrologico, il firmware del gateway, il modulo di sicurezza, il modulo di comunicazione, il connettore di head-end e gli strumenti dell’installatore. Le flotte a lunga vita necessitano anche di evidenza per la continuità dell’autorità di certificazione, la scadenza delle chiavi di firma, le baseline dei gateway di ricambio e la separazione fra software metrologico legalmente rilevante e aggiornamenti di sola cibersicurezza.
| Area operativa | Evidenza da predisporre |
|---|---|
| Periodo di supporto e disponibilità degli aggiornamenti | I minimi generici si trovano nella guida al periodo di supporto. Per una flotta di contatori, pianifichi una finestra che corrisponda a un’installazione pluriennale anziché al minimo, mostri la data di fine mese/anno all’acquisto e conservi immagini di ripristino, hash e note di rilascio per le baseline dei gateway di ricambio. |
| Separazione dell’impatto metrologico | Un registro di decisione per ogni rilascio che mostri se una modifica ha toccato la funzione metrologica approvata, e dove serviva un’approvazione adiacente o un fermo dell’operatore. |
| Contatto unico per le vulnerabilità | Un contatto diretto di segnalazione vulnerabilità per il fabbricante di riferimento, non solo un canale automatizzato. Dove l’azienda di servizi è fabbricante per un gateway a marchio, l’azienda di servizi possiede una via di intake. |
| Diligenza sui componenti | Monitoraggio degli avvisi dei fornitori per il kernel, lo stack di protocollo, il firmware del modem, il modulo di sicurezza, le librerie TLS e CMS e l’agente di aggiornamento, con triage e propagazione delle correzioni. |
| Segnalazione di sfruttamento attivo e di incidenti gravi | Notifichi attraverso la piattaforma unica al CSIRT coordinatore e a ENISA sui tempi del CRA, poi aggiunga l’overlay specifico del gateway: coordini l’avviso all’utente e ogni mitigazione con l’azienda di servizi, e registri l’impatto metrologico della correzione. Le scadenze di preallarme, notifica e rapporto finale sono quelle trasversali dettagliate nella guida alla gestione delle vulnerabilità e nella guida alla divulgazione coordinata delle vulnerabilità. |
Gli aggiornamenti di sicurezza devono essere coordinati con le aziende di servizi e l’amministratore del gateway così che la distribuzione sul campo, l’impatto metrologico e l’avviso all’utente siano tracciabili. Un fabbricante di gateway non può spingere un aggiornamento alla flotta come fa un’app per telefono. L’operatore possiede la finestra di modifica, e il fascicolo dovrebbe mostrare quel coordinamento anziché darlo per scontato. Gli obblighi di segnalazione dell’Articolo 14 partono l’11 settembre 2026, perciò la politica di divulgazione e il contatto unico dovrebbero funzionare prima di allora, mentre il resto del CRA si applica dall’11 dicembre 2027, la data entro cui il percorso di conformità e il fascicolo tecnico devono essere completi.
Una regola transitoria conta più per una flotta di contatori che per quasi ogni altro prodotto. Un prodotto immesso sul mercato prima della data di applicazione rientra nel CRA pieno solo se è sostanzialmente modificato dopo, perciò un contatore installato anni prima non necessita retroattivamente del percorso di conformità. Un obbligo rompe questa regola. La segnalazione delle vulnerabilità attivamente sfruttate e degli incidenti gravi raggiunge ogni prodotto in ambito già sul mercato, flotta installata compresa (Articolo 69). Perciò il fabbricante di contatori messi in campo anni fa deve comunque quella segnalazione per la sua flotta installata, e un’azienda di servizi la porta solo dove è il fabbricante di riferimento, per esempio dopo un re-branding o una modifica sostanziale. Mappi presto la flotta installata rispetto a questa ripartizione, perché l’obbligo di segnalazione arriva prima del resto del fascicolo.
Cosa devono verificare importatori, distributori e aziende di servizi
Un gateway spesso ripartisce i suoi ruoli fra più operatori economici di un prodotto di consumo: un fabbricante del contatore, un fabbricante del gateway, un’azienda di servizi che può ri-marchiare o gestire la flotta, un amministratore del gateway e un installatore. La mappa di trasferimento sotto mostra chi possiede ciascuna verifica pre-vendita e cosa ferma il gateway a ogni ruolo.
Gli obblighi generici di importatore e distributore si applicano come per qualsiasi prodotto. Le verifiche specifiche della misurazione riguardano la build e le chiavi. Importatori e distributori dovrebbero confermare che la build ricevuta sia la build valutata, non un fork ri-marchiato. Aziende di servizi e installatori dovrebbero verificare il provisioning delle chiavi, la baseline del firmware, il flusso di revoca e sostituzione e il profilo dell’amministratore del gateway prima di accettare un lotto. Un’azienda di servizi che immette il gateway sotto il proprio nome, gestisce il cloud di gestione o modifica sostanzialmente il firmware assume obblighi del fabbricante per quella flotta a marchio, incluso il contatto di segnalazione vulnerabilità.
Un fabbricante extra-UE di contatori o moduli può nominare un rappresentante autorizzato UE ai sensi dell’Articolo 18. L’articolo dice «può», perciò è un’opzione, non un obbligo, e non dovrebbe registrare un rappresentante autorizzato come obbligatorio. Ciò che non è opzionale è l’instradamento. Un prodotto a marchio proprio o sostanzialmente modificato trasforma chiunque lo immetta o lo modifichi nel fabbricante. Il fascicolo deve nominare chi riceve una segnalazione di vulnerabilità e chi tiene disponibile la documentazione quando il fabbricante si trova fuori dall’UE. Decida quell’instradamento nel lavoro sul perimetro, non alla frontiera.
Come si colloca accanto a RED, MID, GDPR e NIS2
Il CRA non atterra su una scrivania vuota. Un contatore intelligente porta già altri obblighi CE, e l’azienda di servizi che gestisce la flotta ha i propri doveri. Quattro sovrapposizioni decidono quanto del fascicolo sia davvero nuovo.
| Regime | Atterra su | Cosa aggiunge, e come incontra il CRA |
|---|---|---|
| Direttiva sulle apparecchiature radio (2014/53/UE) | Un contatore dotato di radio | Obiettivi di sicurezza ed EMC tramite l’Art. 3.1, perciò la LVD e la Direttiva EMC non sono elencate separatamente. Cibersicurezza tramite il Regolamento delegato (UE) 2022/30, in vigore dal 1° agosto 2025, prima del CRA. |
| Direttiva sugli strumenti di misura (2014/32/UE) | La funzione di misurazione | Approvazione metrologica che la misurazione è corretta e sigillata, una domanda separata dalla cibersicurezza. |
| GDPR | I dati delle letture a intervalli | Doveri di protezione dei dati sopra il CRA, con un modello di valutazione di impatto per smart grid da seguire. |
| NIS2 (2022/2555) | L’operatore, non la scatola | Gli obblighi propri di segnalazione degli incidenti e di gestione del rischio del distributore, accanto alla segnalazione CRA del fabbricante. |
Un’unica dichiarazione UE di conformità elenca ogni atto che si applica, RED, MID, RoHS e il CRA fra questi. Due cose spiazzano i fabbricanti.
La cibersicurezza RED vincola già oggi un contatore radio. Deve soddisfare ora le norme EN 18031-1, -2 e -3, prima del CRA. Continui a soddisfare entrambe finché il Regolamento delegato (UE) 2026/339 non abroga le regole di cibersicurezza RED l’11 dicembre 2027, la data di applicazione del CRA.
EMC e la Direttiva sulla bassa tensione non sono elencate due volte. Su un contatore radio, la RED porta già gli obiettivi EMC e di sicurezza. Quelle due direttive si applicano da sole solo a una variante senza radio.
Domande frequenti
Ogni contatore intelligente è Critico ai sensi del CRA?
No. La classificazione Critica si concentra sui gateway dei contatori intelligenti all’interno dei sistemi di misurazione intelligenti, e sui dispositivi la cui finalità è la sicurezza avanzata compreso il trattamento crittografico sicuro. Un sottocontatore, un ripartitore dei costi di calore, un modulo radio per contatore d’acqua o un bridge di consumo è un prodotto con elementi digitali in ambito, ma non diventa Critico solo perché misura il consumo o usa la crittografia. Ciascuno necessita di un’analisi propria del perimetro e dell’uso previsto sul percorso standard.
Il gateway di un contatore intelligente può usare il percorso di controllo interno come un router?
No. Un router di Classe I può autodichiarare con il controllo interno una volta che ha applicato pienamente le norme armonizzate pertinenti. Un gateway Critico non può. L’Articolo 32 lo indirizza a uno schema di certificazione dove ne esista uno, oppure a un esame da terza parte o alla garanzia della qualità completa. Pianifichi una valutazione esterna del prodotto o del processo, non una dichiarazione autofirmata.
Il gateway necessita oggi di un certificato di cibersicurezza?
Non ancora, e questa è la sovrastima più comune. L’Articolo 8 consente alla Commissione di rendere obbligatorio un certificato di livello sostanziale per un prodotto Critico, ma solo una volta che esista uno schema adatto e disponibile. Nessuno schema simile è in vigore, perciò mantenga la certificazione obbligatoria come condizione futura da monitorare anziché rivendicare un certificato rispetto a uno schema non adottato.
Lo schema tedesco del BSI soddisfa il CRA?
No. BSI TR-03109 e i profili di protezione PP-0073 e PP-0077 sono un regime nazionale tedesco ai sensi della legge sull’esercizio dei punti di misurazione. Il CRA non li adotta. Il percorso CRA passa per le proprie norme armonizzate sviluppate nell’ambito della richiesta di normazione della Commissione. Lo schema tedesco è un contesto utile, perché mostra la profondità di architettura di sicurezza che i regolatori già si aspettano da questo dispositivo, ma un certificato TR-03109 non è un percorso di conformità CRA.
L’approvazione metrologica soddisfa il CRA?
No. L’approvazione metrologica prova che la misurazione è corretta e sigillata. Il CRA prova che il prodotto connesso resiste agli attacchi lungo il suo periodo di supporto. Interagiscono, perché un aggiornamento di sicurezza deve essere verificato rispetto al software metrologico legalmente rilevante, ma una non sostituisce l’altra. Tenga separati i due registri e documenti l’interfaccia fra di essi.
La privacy delle letture a intervalli fa parte della valutazione CRA?
Sì. Dati a intervalli a grana fine possono rivelare occupazione e comportamento, perciò la valutazione dovrebbe considerare la riservatezza e la minimizzazione dei dati. Il gateway dovrebbe pseudonimizzare le letture prima che raggiungano un partecipante al mercato, usare profili di trattamento per inviare solo ciò di cui ciascun destinatario ha bisogno e conservare uno schema e un test di redazione per ogni esportazione per il supporto. Il regime generale di protezione dei dati si applica sopra il CRA, non al suo posto.
Qual è la prima evidenza che un fabbricante di gateway deve creare?
Il memorandum sul perimetro di misurazione e sul percorso Critico per il gateway esatto: l’interfaccia del contatore, le connessioni domestiche e geografiche, il modulo di sicurezza, il connettore di head-end, l’amministratore del gateway e il ciclo di vita delle chiavi. Quel singolo registro fissa la determinazione del Critico e permette al percorso di conformità, ai contratti con i fornitori e al pacchetto per l’importatore di fare riferimento alla stessa decisione.
Si applica se il mio paese non ha un gateway separato, come Francia, Spagna o Italia?
Sì. Quei mercati usano contatori integrati che misurano e comunicano in un’unica unità e raggiungono direttamente un concentratore di dati nella cabina secondaria, perciò non c’è una scatola gateway in casa in mezzo. L’analisi dell’Allegato IV non sparisce, si sposta sul concentratore, che aggrega i contatori e controlla la comunicazione fra il sistema di misurazione e i terzi autorizzati. È la funzione a cui punta la descrizione del Regolamento di esecuzione, perciò il concentratore è di solito il candidato più forte al percorso Critico, non una risposta automatica. Un contatore integrato le cui funzioni centrali proprie corrispondono a quella descrizione potrebbe esso stesso essere argomentato in ambito. Conduca il memorandum sul perimetro rispetto al dispositivo reale, come illustrato in come cambia l’architettura nell’UE.