Negli ultimi mesi, il NIST ha rivisto e aggiornato le “Foundational Activities for IoT Product Manufacturers” (NIST IR 8259 Revision 1 Initial Public Draft), che descrivono le attività raccomandate per i produttori nella fase pre- e post-commercializzazione al fine di sviluppare prodotti IoT in grado di soddisfare le aspettative di sicurezza informatica dei clienti. Questo aggiornamento è frutto di un processo collaborativo che ha visto il contributo di oltre 400 partecipanti provenienti da settori industriali, organizzazioni dei consumatori, mondo accademico, agenzie federali e ricercatori, che hanno condiviso commenti e suggerimenti nei workshop di dicembre 2024 e marzo 2025, oltre che nel forum di discussione virtuale di giugno.
A coronamento di questo sforzo collaborativo, adesso il NIST ha annunciato il rilascio dell’ultima risorsa, la “NIST IR 8259 Revision 1 Second Public Draft”. La seconda bozza introduce una struttura più chiara, una migliore suddivisione delle attività e un’attenzione rafforzata sulla valutazione del rischio e sulla modellazione delle minacce. Sono stati inoltre aggiunti nuovi riferimenti e sezioni per rendere il documento più accessibile e utile a diversi settori.
Ecco cosa è stato aggiornato:
- Suddivisione e revisione delle attività: il NIST ha valutato la possibilità di suddividere alcune attività (ad esempio, l’attività 3 è diventata attività 3 e 4) e di aggiungerne una nuova (ad esempio, attività 0) per riflettere meglio il feedback e chiarire i passaggi del processo in 8259. L’attenzione è stata rivolta a verificare se le attività riviste catturassero e focalizzassero l’attenzione sui requisiti previsti e rispondessero ai commenti ricevuti.
- Focus su risk assessment e threat modeling: è stata esaminata la modalità di integrazione della valutazione del rischio e della modellazione delle minacce nel documento, garantendo che le attività e gli esempi riflettano un approccio solido all’identificazione e alla mitigazione dei rischi. Ciò include la necessità di valutazioni iniziali del rischio e l’importanza di integrare le informazioni sulle minacce nel processo di determinazione delle capacità di sicurezza informatica appropriate per il prodotto.
- Inclusione di standard e riferimenti: il NIST ha valutato come incorporare riferimenti utili, ad esempio l’uso del NIST Cybersecurity Framework nella nuova Attività 0, e dove nuovi esempi potrebbero illustrare l’applicazione in diversi settori.
- Struttura e chiarezza del documento: sono stati esaminati i commenti sulla struttura generale, la chiarezza e l’organizzazione del documento. Il NIST ha valutato come presentare le informazioni in modo accessibile e fruibile per diversi tipi di pubblico. È stata aggiunta la Sezione 2.6 per chiarire le relazioni tra esigenze dei clienti e obiettivi, mezzi e capacità di sicurezza informatica del prodotto. Sono stati aggiunti paragrafi a 1.1 Scopo e ambito, 2.1 Sicurezza informatica del prodotto e sicurezza informatica del sistema e 2.3 Entità in un ecosistema di prodotti IoT.
Come anticipato nel forum di giugno, il NIST sta lavorando a un esempio pratico per illustrare l’applicazione del NIST IR 8259 Revision 1. L’esempio seguirà passo per passo un produttore durante lo sviluppo di un prodotto IoT, offrendo un caso d’uso concreto mantenendo al contempo flessibilità e applicabilità trasversale ai diversi settori. L’aggiornamento su questo esempio sarà condiviso nel corso dell’autunno.
Per ulteriori informazioni e per consultare la bozza, visita:
