Zgodnie z ustawą Product Safety and Telecommunications Infrastructure Act 2023 wydaną przez Wielką Brytanię 29 kwietnia 2023 r. Wielka Brytania rozpocznie egzekwowanie wymogów dotyczących bezpieczeństwa sieci dla podłączonych urządzeń konsumenckich od 29 kwietnia 2024 r. i mających zastosowanie w Anglii, Szkocji, Walii i Irlandii Północnej. Na razie minęły zaledwie nieco ponad 3 miesiące, a główni producenci eksportujący na rynek brytyjski muszą jak najszybciej ukończyć certyfikację PSTI, aby zapewnić płynne wejście na rynek brytyjski. Przewidywany okres karencji od dnia ogłoszenia do momentu wdrożenia wynosi 12 miesięcy.
1. Dokumenty ustawy PSTI:
①Brytyjski system dotyczący bezpieczeństwa produktów i infrastruktury telekomunikacyjnej (bezpieczeństwa produktów).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Ustawa o bezpieczeństwie produktów i infrastrukturze telekomunikacyjnej z 2022 r.。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③ Przepisy dotyczące bezpieczeństwa produktów i infrastruktury telekomunikacyjnej (wymagania bezpieczeństwa dla odpowiednich produktów z możliwością podłączenia) z 2023 r. https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Rachunek dzieli się na dwie części:
Część 1: Odnośnie wymogów bezpieczeństwa produktów
Projekt Rozporządzenia w sprawie bezpieczeństwa produktów i infrastruktury telekomunikacyjnej (wymogi bezpieczeństwa dla powiązanych produktów powiązanych) wprowadzony przez rząd Wielkiej Brytanii w 2023 roku. Projekt uwzględnia żądania producentów, importerów i dystrybutorów jako podmiotów zobowiązanych i ma prawo do nakładania kar finansowych do 10 milionów funtów lub 4% światowych przychodów firmy od osób naruszających przepisy. Firmy, które w dalszym ciągu naruszają przepisy, zostaną również ukarane dodatkową karą w wysokości 20 000 funtów dziennie.
Część 2: Wytyczne dotyczące infrastruktury telekomunikacyjnej opracowane w celu przyspieszenia instalacji, użytkowania i modernizacji takiego sprzętu
W tej sekcji wymaga się od producentów, importerów i dystrybutorów IoT przestrzegania określonych wymagań w zakresie cyberbezpieczeństwa. Wspiera wprowadzenie sieci szerokopasmowych i sieci 5G o przepustowości do gigabitów, aby chronić obywateli przed zagrożeniami stwarzanymi przez niebezpieczne urządzenia podłączone do Internetu przez konsumentów.
Ustawa Prawo o łączności elektronicznej przewiduje prawo operatorów sieci i dostawców infrastruktury do instalowania i utrzymywania infrastruktury łączności cyfrowej na terenach publicznych i prywatnych. Nowelizacja ustawy Prawo o łączności elektronicznej w 2017 r. sprawiła, że wdrażanie, utrzymanie i modernizacja infrastruktury cyfrowej stało się tańsze i łatwiejsze. Nowe rozwiązania dotyczące infrastruktury telekomunikacyjnej zawarte w projekcie ustawy PSTI opierają się na znowelizowanej ustawie o komunikacji elektronicznej z 2017 r., która pomoże zapewnić uruchomienie zorientowanych na przyszłość gigabitowych sieci szerokopasmowych i 5G.
Ustawa PSTI stanowi uzupełnienie części 1 ustawy Product Security and Communication Infrastructure Act 2022, która określa minimalne wymagania bezpieczeństwa dotyczące dostarczania produktów brytyjskim konsumentom. W oparciu o normę ETSI EN 303 645 v2.1.1, sekcje 5.1-1, 5.1-2, 5.2-1 i 5.3-13, a także normy ISO/IEC 29147:2018, zaproponowano odpowiednie regulacje i wymagania dotyczące haseł, minimalnego bezpieczeństwa cykle aktualizacji i sposoby zgłaszania problemów związanych z bezpieczeństwem.
Zakres produktu:
Połączone produkty związane z bezpieczeństwem, takie jak czujniki dymu i mgły, czujniki pożaru i zamki do drzwi, podłączone urządzenia automatyki domowej, inteligentne dzwonki do drzwi i systemy alarmowe, stacje bazowe i koncentratory IoT łączące wiele urządzeń, inteligentni asystenci domowi, smartfony, podłączone kamery (IP i CCTV), urządzenia do noszenia, podłączone lodówki, pralki, zamrażarki, ekspresy do kawy, kontrolery gier i inne podobne produkty.
Zakres produktów zwolnionych:
Produkty sprzedawane w Irlandii Północnej, inteligentne liczniki, punkty ładowania pojazdów elektrycznych i urządzenia medyczne, a także tablety komputerowe do użytku powyżej 14 roku życia.
3. Norma ETSI EN 303 645 dotycząca bezpieczeństwa i prywatności produktów IoT obejmuje 13 następujących kategorii wymagań:
1) Uniwersalne domyślne zabezpieczenie hasłem
2) Zarządzanie raportami o słabych stronach i ich realizacja
3) Aktualizacje oprogramowania
4) Inteligentne zapisywanie parametrów bezpieczeństwa
5) Bezpieczeństwo komunikacji
6) Zmniejsz ekspozycję powierzchni ataku
7) Ochrona danych osobowych
8) Integralność oprogramowania
9) Zdolność przeciwzakłóceniowa systemu
10) Sprawdź dane telemetryczne systemu
11) Wygodne dla użytkowników usuwanie danych osobowych
12) Uprość instalację i konserwację sprzętu
13) Sprawdź dane wejściowe
Wymagania dotyczące rachunków i odpowiadające im 2 standardy
Zabroń uniwersalnych domyślnych haseł - ETSI EN 303 645 postanowienia 5.1-1 i 5.1-2
Wymagania dotyczące wdrażania metod zarządzania raportami podatności - ETSI EN 303 645 postanowienia 5.2-1
ISO/IEC 29147 (2018), punkt 6.2
Wymagaj przejrzystości w zakresie minimalnego cyklu aktualizacji zabezpieczeń dla produktów – ETSI EN 303 645 postanowienie 5.3-13
PSTI wymaga, aby produkty spełniały powyższe trzy standardy bezpieczeństwa, zanim będą mogły zostać wprowadzone na rynek. Producenci, importerzy i dystrybutorzy powiązanych produktów muszą przestrzegać wymogów bezpieczeństwa określonych w tym prawie. Producenci i importerzy muszą zapewnić, że ich produkty będą dostarczane z oświadczeniem o zgodności i podjąć działania w przypadku braku zgodności, prowadzić dokumentację dochodzeń itp. W przeciwnym razie osoby naruszające przepisy zostaną ukarane grzywną w wysokości do 10 milionów funtów lub 4% światowych przychodów firmy.
4. Ustawa PSTI i proces testowania ETSI EN 303 645:
1)Przygotowanie przykładowych danych
3 zestawy próbek obejmujące hosta i akcesoria, niezaszyfrowane oprogramowanie, instrukcje obsługi/dane techniczne/powiązane usługi oraz informacje o koncie logowania
2) Utworzenie środowiska testowego
Stwórz środowisko testowe w oparciu o instrukcję obsługi
3) Wykonanie oceny bezpieczeństwa sieci:
Przegląd dokumentów i testy techniczne, kontrola kwestionariuszy dostawców i przekazywanie informacji zwrotnych
4) Naprawa słabości
Świadczenie usług doradczych w celu naprawienia problemów ze słabymi stronami
5) Dostarcz raport z oceny PSTI lub raport z oceny ETSIEN 303645
5.Jak udowodnić zgodność z wymogami brytyjskiej ustawy PSTI?
Minimalnym wymaganiem jest spełnienie trzech wymagań ustawy PSTI dotyczących haseł, cykli konserwacji oprogramowania i raportowania luk w zabezpieczeniach oraz dostarczenie dokumentów technicznych, takich jak raporty oceniające dla tych wymagań, przy jednoczesnym złożeniu własnej deklaracji zgodności. Do oceny brytyjskiej ustawy PSTI sugerujemy stosowanie normy ETSI EN 303 645. To także najlepsze przygotowanie do obowiązkowego wdrożenia wymogów cyberbezpieczeństwa unijnej dyrektywy CE RED już od 1 sierpnia 2025 roku!
Laboratorium testowe BTF jest instytucją testującą akredytowaną przez China National Accreditation Service for Conformity Assessment (CNAS), numer: L17568. Po latach rozwoju BTF posiada laboratorium kompatybilności elektromagnetycznej, laboratorium komunikacji bezprzewodowej, laboratorium SAR, laboratorium bezpieczeństwa, laboratorium niezawodności, laboratorium testowania akumulatorów, testy chemiczne i inne laboratoria. Ma doskonałą kompatybilność elektromagnetyczną, częstotliwość radiową, bezpieczeństwo produktu, niezawodność środowiskową, analizę uszkodzeń materiałów, ROHS/REACH i inne możliwości testowania. Laboratorium Testowe BTF jest wyposażone w profesjonalne i kompletne zaplecze testowe, doświadczony zespół ekspertów w dziedzinie testowania i certyfikacji oraz zdolność do rozwiązywania różnych złożonych problemów związanych z testowaniem i certyfikacją. Przestrzegamy zasad przewodnich „uczciwości, bezstronności, dokładności i rygoru” i ściśle przestrzegamy wymagań systemu zarządzania laboratorium testującym i kalibracyjnym ISO/IEC 17025 w zakresie zarządzania naukowego. Zależy nam na zapewnieniu klientom najwyższej jakości usług. Jeśli masz jakiekolwiek pytania, skontaktuj się z nami w każdej chwili.
Czas publikacji: 16 stycznia 2024 r
