I henhold til Product Safety and Telecommunications Infrastructure Act 2023, udstedt af Storbritannien den 29. april 2023, begynder Storbritannien at håndhæve krav til netværkssikkerhed for tilsluttede forbrugerenheder fra den 29. april 2024, gældende for England, Skotland, Wales og Nordirland. Lige nu er der kun gået lidt over 3 måneder, og store producenter, der eksporterer til det britiske marked, skal gennemføre PSTI-certificering så hurtigt som muligt for at sikre en smidig adgang til det britiske marked. Der forventes en henstandsperiode på 12 måneder fra meddelelsesdatoen til implementering.
1.PSTI-lovdokumenter:
①Det britiske produktsikkerheds- og telekommunikationsinfrastruktur (produktsikkerhed)-regime.
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Product Security and Telecommunications Infrastructure Act 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Forordningerne for produktsikkerhed og telekommunikationsinfrastruktur (sikkerhedskrav for relevante tilsluttede produkter) 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Lovforslaget er opdelt i to dele:
Del 1: Vedrørende produktsikkerhedskrav
Udkastet til bekendtgørelsen om produktsikkerhed og telekommunikationsinfrastruktur (sikkerhedskrav for relaterede tilsluttede produkter) blev indført af den britiske regering i 2023. Udkastet adresserer kravene fra producenter, importører og distributører som forpligtede enheder og har ret til at pålægge bøder op til £ 10 millioner eller 4 % af virksomhedens globale omsætning på lovovertrædere. Virksomheder, der fortsætter med at overtræde regler, vil også blive idømt en bøde på yderligere £ 20000 pr. dag.
Del 2: Retningslinjer for telekommunikationsinfrastruktur, udviklet til at fremskynde installation, brug og opgradering af sådant udstyr
Dette afsnit kræver, at IoT-producenter, -importører og -distributører overholder specifikke cybersikkerhedskrav. Det understøtter indførelsen af bredbånds- og 5G-netværk op til gigabit for at beskytte borgerne mod de risici, som usikre forbrugertilsluttede enheder udgør.
Loven om elektronisk kommunikation fastlægger ret for netværksoperatører og infrastrukturudbydere til at installere og vedligeholde digital kommunikationsinfrastruktur på offentlig og privat grund. Revisionen af loven om elektronisk kommunikation i 2017 gjorde implementering, vedligeholdelse og opgradering af digital infrastruktur billigere og nemmere. De nye tiltag relateret til telekommunikationsinfrastruktur i udkastet til PSTI-lovforslaget er baseret på den reviderede lov om elektronisk kommunikation fra 2017, som vil være med til at sikre lanceringen af fremtidsorienteret gigabit-bredbånd og 5G-netværk.
PSTI-loven supplerer del 1 af Product Security and Communication Infrastructure Act 2022, som angiver minimumssikkerhedskravene for levering af produkter til britiske forbrugere. Baseret på ETSI EN 303 645 v2.1.1, afsnit 5.1-1, 5.1-2, 5.2-1 og 5.3-13, samt ISO/IEC 29147:2018 standarder, foreslås tilsvarende regler og krav til adgangskoder, minimumssikkerhed opdatere tidscyklusser, og hvordan man rapporterer sikkerhedsproblemer.
Produktomfang involveret:
Tilsluttede sikkerhedsrelaterede produkter, såsom røg- og tågedetektorer, branddetektorer og dørlåse, forbundne hjemmeautomatiseringsenheder, smarte dørklokker og alarmsystemer, IoT-basestationer og hubs, der forbinder flere enheder, smarte hjemmeassistenter, smartphones, tilsluttede kameraer (IP og CCTV), bærbare enheder, tilsluttede køleskabe, vaskemaskiner, frysere, kaffemaskiner, spilcontrollere og andre lignende produkter.
Omfang af fritagne produkter:
Produkter, der sælges i Nordirland, smartmålere, ladepunkter til elbiler og medicinsk udstyr samt computertablets til brug over 14 år.
3. ETSI EN 303 645-standarden for sikkerhed og privatliv for IoT-produkter omfatter følgende 13 kategorier af krav:
1) Universel standard adgangskodesikkerhed
2) Håndtering og udførelse af svaghedsrapporter
3) Softwareopdateringer
4) Smart lagring af sikkerhedsparametre
5) Kommunikationssikkerhed
6) Reducer eksponeringen af angrebsoverfladen
7) Beskyttelse af personlige oplysninger
8) Softwareintegritet
9) System anti-interferens evne
10) Tjek systemtelemetridata
11) Praktisk for brugere at slette personlige oplysninger
12) Forenkle installation og vedligeholdelse af udstyr
13) Bekræft inputdata
Regningskrav og tilsvarende 2 standarder
Forbyd universelle standardadgangskoder - ETSI EN 303 645 bestemmelser 5.1-1 og 5.1-2
Krav til implementering af metoder til håndtering af sårbarhedsrapporter - ETSI EN 303 645 bestemmelser 5.2-1
ISO/IEC 29147 (2018) klausul 6.2
Kræv gennemsigtighed i den minimale sikkerhedsopdateringstidscyklus for produkter - ETSI EN 303 645 bestemmelse 5.3-13
PSTI kræver, at produkterne opfylder ovenstående tre sikkerhedsstandarder, før de kan markedsføres. Producenter, importører og distributører af relaterede produkter skal overholde sikkerhedskravene i denne lov. Producenter og importører skal sikre, at deres produkter kommer med en overensstemmelseserklæring og skride til handling i tilfælde af overensstemmelsessvigt, føre undersøgelsesregistre osv. Ellers vil overtrædere blive idømt en bøde på op til £ 10 millioner eller 4 % af virksomhedens globale omsætning.
4.PSTI Act og ETSI EN 303 645 testproces:
1) Forberedelse af prøvedata
3 sæt prøver inklusive vært og tilbehør, ukrypteret software, brugermanualer/specifikationer/relaterede tjenester og login-kontooplysninger
2) Testmiljøetablering
Etabler et testmiljø baseret på brugermanualen
3) Udførelse af netværkssikkerhedsvurdering:
Dokumentgennemgang og teknisk testning, inspektion af leverandørspørgeskemaer og levering af feedback
4) Reparation af svagheder
Levere konsulenttjenester til at løse svaghedsproblemer
5) Giv PSTI-evalueringsrapport eller ETSIEN 303645-evalueringsrapport
5.Hvordan beviser man overholdelse af kravene i den britiske PSTI-lov?
Minimumskravet er at opfylde de tre krav i PSTI-loven vedrørende adgangskoder, softwarevedligeholdelsescyklusser og sårbarhedsrapportering og levere tekniske dokumenter såsom evalueringsrapporter for disse krav, samtidig med at der afgives en selverklæring om overholdelse. Vi foreslår at bruge ETSI EN 303 645 til evaluering af den britiske PSTI-lov. Dette er også den bedste forberedelse til den obligatoriske implementering af EU CE RED-direktivets cybersikkerhedskrav fra den 1. august 2025!
BTF Testing Lab er en testinstitution akkrediteret af China National Accreditation Service for Conformity Assessment (CNAS), nummer: L17568. Efter flere års udvikling har BTF elektromagnetisk kompatibilitetslaboratorium, trådløs kommunikationslaboratorium, SAR-laboratorium, sikkerhedslaboratorium, pålidelighedslaboratorium, batteritestlaboratorium, kemisk testning og andre laboratorier. Har en perfekt elektromagnetisk kompatibilitet, radiofrekvens, produktsikkerhed, miljøpålidelighed, materialefejlsanalyse, ROHS/REACH og andre testmuligheder. BTF Testing Lab er udstyret med professionelle og komplette testfaciliteter, et erfarent team af test- og certificeringseksperter og evnen til at løse forskellige komplekse test- og certificeringsproblemer. Vi overholder de vejledende principper om "retfærdighed, upartiskhed, nøjagtighed og stringens" og følger nøje kravene i ISO/IEC 17025 test- og kalibreringslaboratoriestyringssystem til videnskabelig ledelse. Vi er forpligtet til at give kunderne den højeste kvalitetsservice. Hvis du har spørgsmål, er du velkommen til at kontakte os til enhver tid.
Indlægstid: 16-jan-2024
