Zgodnie z ustawą o bezpieczeństwie produktów i infrastrukturze telekomunikacyjnej z 2023 r. (PSTI) wydany przez Wielką Brytanię w dniu 29 kwietnia 2023 r., od 29 kwietnia 2024 r. Wielka Brytania rozpocznie egzekwowanie wymogów dotyczących bezpieczeństwa sieci dla podłączonych urządzeń konsumenckich, mających zastosowanie w Anglii, Szkocji, Walii i Irlandii Północnej. Firmom naruszającym przepisy grożą kary w wysokości do 10 milionów funtów lub 4% ich światowych przychodów.
1.Wprowadzenie do ustawy PSTI:
Brytyjska polityka dotycząca bezpieczeństwa produktów Consumer Connect zacznie obowiązywać i będzie egzekwowana 29 kwietnia 2024 r. Od tej daty prawo będzie wymagać od producentów produktów, które można podłączyć do brytyjskich konsumentów, przestrzegania minimalnych wymogów bezpieczeństwa. Te minimalne wymagania bezpieczeństwa opierają się na brytyjskich Wytycznych dotyczących praktyki bezpieczeństwa konsumenckiego Internetu rzeczy, wiodącej na całym świecie normie konsumenckiej dotyczącej bezpieczeństwa Internetu rzeczy ETSI EN 303 645 oraz zaleceniach brytyjskiego organu autorytatywnego ds. technologii zagrożeń cybernetycznych, Krajowego Centrum Cyberbezpieczeństwa. System ten zapewni również, że inne przedsiębiorstwa w łańcuchu dostaw tych produktów odegrają rolę w zapobieganiu sprzedaży niebezpiecznych towarów konsumpcyjnych brytyjskim konsumentom i przedsiębiorstwom.
System ten obejmuje dwa akty prawne:
1) Część 1 ustawy o bezpieczeństwie produktów i infrastrukturze telekomunikacyjnej (PSTI) z 2022 r.;
2) Ustawa z 2023 r. o bezpieczeństwie produktów i infrastrukturze telekomunikacyjnej (wymagania bezpieczeństwa dla powiązanych produktów połączonych).
2. Ustawa PSTI obejmuje asortyment wyrobów:
1) Asortyment produktów kontrolowanych przez PSTI:
Obejmuje między innymi produkty połączone z Internetem. Typowe produkty to: smart TV, kamera IP, router, inteligentne oświetlenie oraz artykuły gospodarstwa domowego.
2) Produkty nie objęte kontrolą PSTI:
W tym komputery: a) komputery stacjonarne; (b) komputer przenośny; (c) Tablety, które nie mają możliwości połączenia z sieciami komórkowymi (zaprojektowane specjalnie dla dzieci poniżej 14 roku życia zgodnie z przeznaczeniem producenta, a nie wyjątkiem), produkty medyczne, produkty z inteligentnymi licznikami, ładowarki do pojazdów elektrycznych i urządzenia Bluetooth Produkty do połączeń typu-on-one. Należy pamiętać, że te produkty mogą również mieć wymagania dotyczące cyberbezpieczeństwa, ale nie są objęte ustawą PSTI i mogą być regulowane innymi przepisami.
3. Trzy kluczowe punkty, którymi powinna kierować się ustawa PSTI:
Ustawa PSTI składa się z dwóch głównych części: wymogów bezpieczeństwa produktów oraz wytycznych dotyczących infrastruktury telekomunikacyjnej. Ze względu na bezpieczeństwo produktu należy zwrócić szczególną uwagę na trzy kluczowe punkty:
1) Wymagania dotyczące hasła, w oparciu o przepisy prawne 5.1-1, 5.1-2. Ustawa PSTI zabrania stosowania uniwersalnych haseł domyślnych. Oznacza to, że produkt musi ustawić unikalne hasło domyślne lub wymagać od użytkowników ustawienia hasła przy pierwszym użyciu.
2) Kwestie związane z zarządzaniem bezpieczeństwem, w oparciu o postanowienia regulacyjne 5.2-1, producenci muszą opracować i publicznie ujawnić zasady ujawniania luk w zabezpieczeniach, aby zapewnić, że osoby, które odkryją luki, będą mogły powiadomić producentów i zapewnić, że producenci będą mogli szybko powiadomić klientów i zapewnić środki naprawcze.
3) Cykl aktualizacji bezpieczeństwa, w oparciu o postanowienia regulacyjne 5.3-13, producenci muszą wyjaśnić i ujawnić najkrótszy okres, w którym będą dostarczać aktualizacje bezpieczeństwa, aby konsumenci mogli zrozumieć okres wsparcia aktualizacji bezpieczeństwa swoich produktów.
4. Ustawa PSTI i proces testowania ETSI EN 303 645:
1) Przygotowanie przykładowych danych: 3 zestawy próbek obejmujące host i akcesoria, niezaszyfrowane oprogramowanie, instrukcje obsługi/specyfikacje/powiązane usługi oraz informacje o koncie logowania
2) Utworzenie środowiska testowego: Stwórz środowisko testowe zgodnie z instrukcją obsługi
3) Przeprowadzenie oceny bezpieczeństwa sieci: przegląd plików i testy techniczne, sprawdzenie kwestionariuszy dostawców i przekazanie informacji zwrotnej
4) Naprawa słabych stron: świadczenie usług doradczych w celu naprawienia problemów ze słabościami
5) Dostarcz raport z oceny PSTI lub raport z oceny ETSI EN 303645
5. Dokumenty ustawy PSTI:
1) Brytyjski system dotyczący bezpieczeństwa produktów i infrastruktury telekomunikacyjnej (bezpieczeństwa produktów).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2)Ustawa o bezpieczeństwie produktów i infrastrukturze telekomunikacyjnej z 2022 r
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Przepisy dotyczące bezpieczeństwa produktów i infrastruktury telekomunikacyjnej (wymagania bezpieczeństwa dla odpowiednich produktów z możliwością podłączenia) 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Póki co, pozostały do tego niecałe 2 miesiące. Zaleca się, aby główni producenci eksportujący na rynek brytyjski ukończyli certyfikację PSTI tak szybko, jak to możliwe, aby zapewnić płynne wejście na rynek brytyjski.
Czas publikacji: 11 marca 2024 r
