I henhold til Product Safety and Telecommunications Infrastructure Act 2023 (PSTI) utstedt av Storbritannia 29. april 2023, vil Storbritannia begynne å håndheve krav til nettverkssikkerhet for tilkoblede forbrukerenheter fra 29. april 2024, gjeldende for England, Skottland, Wales og Nord-Irland. Selskaper som bryter loven vil møte bøter på opptil 10 millioner pund eller 4 % av deres globale inntekter.
1. Introduksjon til PSTI-loven:
Den britiske Consumer Connect Product Safety Policy vil tre i kraft og håndheves 29. april 2024. Fra og med denne datoen vil loven kreve at produsenter av produkter som kan kobles til britiske forbrukere, skal overholde minimumskravene til sikkerhet. Disse minimumssikkerhetskravene er basert på UK Consumer Internet of Things Security Practice Guidelines, den globalt ledende forbrukeren Internet of Things sikkerhetsstandard ETSI EN 303 645, og anbefalinger fra Storbritannias autoritative organ for cybertrusselsteknologi, National Cybersecurity Center. Dette systemet vil også sikre at andre virksomheter i forsyningskjeden til disse produktene spiller en rolle i å forhindre at usikre forbruksvarer selges til britiske forbrukere og bedrifter.
Dette systemet inkluderer to lover:
1) Del 1 av loven om produktsikkerhet og telekommunikasjonsinfrastruktur (PSTI) av 2022;
2) Lov om produktsikkerhet og telekommunikasjonsinfrastruktur (sikkerhetskrav for relaterte tilkoblede produkter) av 2023.
2. PSTI-loven dekker produktutvalget:
1) PSTI kontrollert produktutvalg:
Det inkluderer, men er ikke begrenset til, Internett-tilkoblede produkter. Typiske produkter inkluderer: smart-TV, IP-kamera, ruter, intelligent belysning og husholdningsprodukter.
2) Produkter utenfor omfanget av PSTI-kontroll:
Inkludert datamaskiner (a) stasjonære datamaskiner; (b) Bærbar datamaskin; (c) Nettbrett som ikke har mulighet til å koble til mobilnettverk (designet spesielt for barn under 14 år i henhold til produsentens tiltenkte bruk, ikke et unntak), medisinske produkter, smartmålerprodukter, ladere for elektriske kjøretøyer og Bluetooth en -on-one tilkoblingsprodukter. Vær oppmerksom på at disse produktene også kan ha cybersikkerhetskrav, men de dekkes ikke av PSTI-loven og kan være regulert av andre lover.
3. Tre hovedpunkter som skal følges av PSTI-loven:
PSTI-lovforslaget inkluderer to hoveddeler: produktsikkerhetskrav og retningslinjer for telekommunikasjonsinfrastruktur. For produktsikkerhet er det tre hovedpunkter som trenger spesiell oppmerksomhet:
1) Passordkrav, basert på regulatoriske bestemmelser 5.1-1, 5.1-2. PSTI-loven forbyr bruk av universelle standardpassord. Dette betyr at produktet må angi et unikt standardpassord eller kreve at brukere angir et passord ved første gangs bruk.
2) Sikkerhetsstyringsspørsmål, basert på forskriftsbestemmelser 5.2-1, må produsenter utvikle og offentliggjøre retningslinjer for avsløring av sårbarheter for å sikre at enkeltpersoner som oppdager sårbarheter kan varsle produsenter og sikre at produsenter umiddelbart kan varsle kunder og gi reparasjonstiltak.
3) Sikkerhetsoppdateringssyklusen, basert på regulatoriske bestemmelser 5.3-13, må produsenter klargjøre og avsløre den korteste tidsperioden de vil gi sikkerhetsoppdateringer, slik at forbrukere kan forstå sikkerhetsoppdateringsstøtteperioden for produktene deres.
4. PSTI Act og ETSI EN 303 645 testprosess:
1) Forberedelse av prøvedata: 3 sett med prøver inkludert vert og tilbehør, ukryptert programvare, brukermanualer/spesifikasjoner/relaterte tjenester og påloggingskontoinformasjon
2) Etablering av testmiljø: Etabler et testmiljø i henhold til brukermanualen
3) Utførelse av nettverkssikkerhetsvurdering: filgjennomgang og teknisk testing, sjekk av spørreskjemaer fra leverandør og gi tilbakemelding
4) Reparasjon av svakheter: Gi konsulenttjenester for å fikse svakhetsproblemer
5) Gi PSTI-evalueringsrapport eller ETSI EN 303645-evalueringsrapport
5. PSTI-lovdokumenter:
1) Det britiske regimet for produktsikkerhet og telekommunikasjonsinfrastruktur (produktsikkerhet).
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2)Product Security and Telecommunications Infrastructure Act 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Forskriften for produktsikkerhet og telekommunikasjonsinfrastruktur (sikkerhetskrav for relevante tilkoblede produkter) 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Per nå er det mindre enn 2 måneder unna. Det anbefales at store produsenter som eksporterer til det britiske markedet fullfører PSTI-sertifisering så snart som mulig for å sikre jevn tilgang til det britiske markedet.
Innleggstid: Mar-11-2024