I henhold til Product Safety and Telecommunications Infrastructure Act 2023 utstedt av Storbritannia 29. april 2023, vil Storbritannia begynne å håndheve nettverkssikkerhetskrav for tilkoblede forbrukerenheter fra 29. april 2024, gjeldende for England, Skottland, Wales og Nord-Irland. Per nå har det bare gått litt over 3 måneder, og store produsenter som eksporterer til det britiske markedet, må fullføre PSTI-sertifisering så snart som mulig for å sikre en jevn tilgang til det britiske markedet. Det er en forventet utsettelsesperiode på 12 måneder fra kunngjøringsdato til implementering.
1.PSTI Act Documents:
①Det britiske regimet for produktsikkerhet og telekommunikasjonsinfrastruktur (produktsikkerhet).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Product Security and Telecommunications Infrastructure Act 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Forskriften for produktsikkerhet og telekommunikasjonsinfrastruktur (sikkerhetskrav for relevante tilkoblede produkter) 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Regningen er delt i to deler:
Del 1: Angående produktsikkerhetskrav
Utkastet til produktsikkerhets- og telekommunikasjonsinfrastrukturforordningen (sikkerhetskrav for relaterte tilkoblede produkter) introdusert av den britiske regjeringen i 2023. Utkastet tar for seg kravene fra produsenter, importører og distributører som forpliktede enheter, og har rett til å ilegge bøter på opptil 10 millioner pund eller 4 % av selskapets globale inntekter på overtredere. Selskaper som fortsetter å bryte regelverket vil også bli bøtelagt med ytterligere £ 20000 per dag.
Del 2: Retningslinjer for telekommunikasjonsinfrastruktur, utviklet for å akselerere installasjon, bruk og oppgradering av slikt utstyr
Denne delen krever at IoT-produsenter, importører og distributører overholder spesifikke nettsikkerhetskrav. Den støtter introduksjonen av bredbånd og 5G-nettverk opp til gigabit for å beskytte innbyggerne mot risikoen forbundet med usikre forbrukertilkoblede enheter.
Ekomloven fastsetter rett for nettoperatører og infrastrukturleverandører til å installere og vedlikeholde digital kommunikasjonsinfrastruktur på offentlig og privat grunn. Revisjonen av loven om elektronisk kommunikasjon i 2017 gjorde distribusjon, vedlikehold og oppgradering av digital infrastruktur billigere og enklere. De nye tiltakene knyttet til telekommunikasjonsinfrastruktur i utkastet til PSTI-lovforslaget er basert på den reviderte elektroniske kommunikasjonsloven fra 2017, som vil bidra til å sikre lanseringen av fremtidsrettet gigabit bredbånd og 5G-nettverk.
PSTI-loven supplerer del 1 av Product Security and Communication Infrastructure Act 2022, som angir minimumssikkerhetskravene for å levere produkter til britiske forbrukere. Basert på ETSI EN 303 645 v2.1.1, avsnitt 5.1-1, 5.1-2, 5.2-1 og 5.3-13, samt ISO/IEC 29147:2018 standarder, foreslås tilsvarende forskrifter og krav for passord, minimumssikkerhet oppdatere tidssykluser, og hvordan du rapporterer sikkerhetsproblemer.
Produktomfang involvert:
Tilkoblede sikkerhetsrelaterte produkter, for eksempel røyk- og tåkedetektorer, branndetektorer og dørlåser, tilkoblede hjemmeautomatiseringsenheter, smarte ringeklokker og alarmsystemer, IoT-basestasjoner og huber som kobler sammen flere enheter, smarthusassistenter, smarttelefoner, tilkoblede kameraer (IP og CCTV), bærbare enheter, tilkoblede kjøleskap, vaskemaskiner, frysere, kaffemaskiner, spillkontrollere og andre lignende produkter.
Omfang av unntatte produkter:
Produkter som selges i Nord-Irland, smartmålere, ladepunkter for elektriske kjøretøy og medisinsk utstyr, samt nettbrett for bruk over 14 år.
3. ETSI EN 303 645-standarden for sikkerhet og personvern for IoT-produkter inkluderer følgende 13 kategorier av krav:
1) Universell standard passordsikkerhet
2) Håndtering og utførelse av svakhetsrapporter
3) Programvareoppdateringer
4) Smart lagring av sikkerhetsparametere
5) Kommunikasjonssikkerhet
6) Reduser eksponering av angrepsoverflaten
7) Beskytte personopplysninger
8) Programvareintegritet
9) System anti-interferens evne
10) Sjekk systemtelemetridata
11) Praktisk for brukere å slette personlig informasjon
12) Forenkle installasjon og vedlikehold av utstyr
13) Bekreft inndata
Regningskrav og tilsvarende 2 standarder
Forby universelle standardpassord - ETSI EN 303 645 bestemmelser 5.1-1 og 5.1-2
Krav til implementeringsmetoder for håndtering av sårbarhetsrapporter - ETSI EN 303 645 bestemmelser 5.2-1
ISO/IEC 29147 (2018) klausul 6.2
Krev åpenhet i minimum sikkerhetsoppdateringstidssyklus for produkter - ETSI EN 303 645 bestemmelse 5.3-13
PSTI krever at produktene oppfyller de tre ovennevnte sikkerhetsstandardene før de kan settes på markedet. Produsenter, importører og distributører av relaterte produkter må overholde sikkerhetskravene i denne loven. Produsenter og importører må sørge for at produktene deres kommer med en samsvarserklæring og iverksette tiltak i tilfelle samsvarssvikt, føre etterforskningsprotokoller osv. Ellers vil overtredere bli bøtelagt med opptil 10 millioner pund eller 4 % av selskapets globale inntekter.
4.PSTI Act og ETSI EN 303 645 testprosess:
1) Forberedelse av prøvedata
3 sett med prøver, inkludert vert og tilbehør, ukryptert programvare, brukermanualer/spesifikasjoner/relaterte tjenester og påloggingskontoinformasjon
2) Testmiljøetablering
Etabler et testmiljø basert på brukermanualen
3) Utførelse av nettverkssikkerhetsvurdering:
Dokumentgjennomgang og teknisk testing, inspeksjon av leverandørspørreskjemaer, og gi tilbakemelding
4) Reparasjon av svakheter
Gi konsulenttjenester for å fikse svakhetsproblemer
5) Gi PSTI-evalueringsrapport eller ETSIEN 303645-evalueringsrapport
5.Hvordan bevise overholdelse av kravene i den britiske PSTI-loven?
Minimumskravet er å oppfylle de tre kravene i PSTI-loven angående passord, programvarevedlikeholdssykluser og sårbarhetsrapportering, og gi tekniske dokumenter som evalueringsrapporter for disse kravene, samtidig som det gis en egenerklæring om samsvar. Vi foreslår å bruke ETSI EN 303 645 for evaluering av UK PSTI Act. Dette er også den beste forberedelsen for den obligatoriske implementeringen av EUs CE RED-direktivs krav til cybersikkerhet fra og med 1. august 2025!
BTF Testing Lab er en testinstitusjon akkreditert av China National Accreditation Service for Conformity Assessment (CNAS), nummer: L17568. Etter år med utvikling har BTF elektromagnetisk kompatibilitetslaboratorium, trådløs kommunikasjonslaboratorium, SAR-laboratorium, sikkerhetslaboratorium, pålitelighetslaboratorium, batteritestlaboratorium, kjemisk testing og andre laboratorier. Har en perfekt elektromagnetisk kompatibilitet, radiofrekvens, produktsikkerhet, miljøpålitelighet, materialfeilanalyse, ROHS/REACH og andre testmuligheter. BTF Testing Lab er utstyrt med profesjonelle og komplette testfasiliteter, et erfarent team av test- og sertifiseringseksperter, og evnen til å løse ulike komplekse test- og sertifiseringsproblemer. Vi følger de veiledende prinsippene om "rettferdighet, upartiskhet, nøyaktighet og strenghet" og følger strengt kravene i ISO/IEC 17025 test- og kalibreringslaboratoriestyringssystem for vitenskapelig ledelse. Vi er forpliktet til å gi kundene den høyeste kvaliteten på tjenesten. Hvis du har spørsmål, kan du når som helst kontakte oss.
Innleggstid: 16-jan-2024
