A cinque anni dall’approvazione dell’Internet of Things (IoT) Cybersecurity Improvement Act del 2020, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha avviato la revisione quinquennale delle proprie linee guida sulla sicurezza informatica dei dispositivi connessi. Un passo fondamentale per affrontare le sfide sempre più complesse legate alla proliferazione di dispositivi IoT nei settori industriali, domestici e governativi.
La pietra miliare di questo percorso è rappresentata dal documento NIST IR 8259, “Foundational Cybersecurity Activities for IoT Device Manufacturers”, che sin dalla sua pubblicazione ha guidato i produttori nell’integrare la sicurezza informatica nei cicli di vita dei prodotti, prima e dopo la commercializzazione. Questo documento ha posto le basi concettuali per ulteriori pubblicazioni come NIST IR 8259A e 8259B per aiutare produttori e clienti a valutare la sicurezza informatica dei prodotti IoT. I documenti della serie NIST IR 8259 sono stati utilizzati per informare e sviluppare pubblicazioni successive che approfondiscono la sicurezza informatica dell’IoT in tutti i settori e i casi d’uso (ad esempio, casi d’uso di agenzie federali e il marchio US Cyber Trust per l’IoT consumer).
Nell’ottica di rivedere le linee guida, e in considerazione dell’evoluzione dei componenti e delle tecnologie dei prodotti IoT, il NIST avvierà la revisione quinquennale del NIST SP 800-213, “IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements” e del NIST SP 213A, “IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog“, con il NIST IR 8259 come primo passo.
Il NIST ha raccolto feedback significativi da due workshop pubblici, ai quali hanno partecipato oltre 400 esperti e stakeholder. I temi chiave che il NIST ha portato alla discussione per avviare il dialogo su ciò che era necessario in un aggiornamento del NIST IR 8259 sono stati:
- Maggiore attenzione ai prodotti IoT;
- Considerazioni necessarie per l’IoT industriale;
- La relazione tra considerazioni sulla privacy e sicurezza informatica dell’IoT;
- Considerazioni sulla sicurezza informatica per la manutenzione, la riparazione e la fine del ciclo di vita dei prodotti IoT.
I feedback del workshop hanno evidenziato collettivamente le principali sfide e opportunità, con tre priorità fondamentali:
- Sicurezza incentrata sul ciclo di vita, per garantire la protezione dei dispositivi dall’ideazione alla dismissione, con trasparenza e tracciabilità.
- Visibilità e valutazione del rischio, per gestire casi d’uso imprevisti e ambienti eterogenei.
- Comunicazione efficace tra produttori e clienti, sia prima sia dopo la commercializzazione.
Alla luce dei contributi ricevuti, il NIST ha già introdotto aggiornamenti significativi al NIST IR 8259. Oltre a un miglioramento della sezione contestuale — che collega gli obiettivi di sicurezza ai rischi di sistema — è stata aggiunta una settima attività fondamentale.
Prossimi passi
La bozza pubblica aggiornata del NIST IR 8259 sarà presentata in un forum virtuale il 18 giugno 2025, seguito da un periodo di commento pubblico fino al 14 luglio 2025. Il NIST prevede di finalizzare la revisione entro la fine dell’anno, consolidando così il proprio impegno a favorire la sicurezza informatica dell’IoT in tutti i settori.
Con questo aggiornamento, il NIST mira a sostenere produttori, enti governativi e consumatori nell’affrontare le sfide di un mondo sempre più connesso, confermando la propria leadership nel creare un ecosistema sicuro per le tecnologie IoT.
