I henhold til Product Safety and Telecommunications Infrastructure Act 2023 (PSTI) udstedt af Storbritannien den 29. april 2023, begynder Storbritannien at håndhæve krav til netværkssikkerhed for tilsluttede forbrugerenheder fra den 29. april 2024, gældende for England, Skotland, Wales og Nordirland. Virksomheder, der overtræder dem, vil få bøder på op til £ 10 millioner eller 4 % af deres globale omsætning.
1.Introduktion til PSTI-loven:
UK Consumer Connect Product Safety Policy vil træde i kraft og blive håndhævet den 29. april 2024. Fra denne dato vil loven kræve, at producenter af produkter, der kan forbindes med britiske forbrugere, skal overholde minimumssikkerhedskravene. Disse minimumssikkerhedskrav er baseret på UK Consumer Internet of Things Security Practice Guidelines, den globalt førende forbruger Internet of Things sikkerhedsstandard ETSI EN 303 645 og anbefalinger fra Storbritanniens autoritative organ for cybertrusselsteknologi, National Cybersecurity Center. Dette system vil også sikre, at andre virksomheder i forsyningskæden af disse produkter spiller en rolle i at forhindre, at usikre forbrugsvarer sælges til britiske forbrugere og virksomheder.
Dette system omfatter to stykker lovgivning:
1) Del 1 af loven om produktsikkerhed og telekommunikationsinfrastruktur (PSTI) fra 2022;
2) Lov om produktsikkerhed og telekommunikationsinfrastruktur (sikkerhedskrav for relaterede forbundne produkter) fra 2023.
2. PSTI-loven dækker produktsortimentet:
1) PSTI kontrolleret produktsortiment:
Det inkluderer, men er ikke begrænset til, internettilsluttede produkter. Typiske produkter omfatter: smart-tv, IP-kamera, router, intelligent belysning og husholdningsprodukter.
2) Produkter uden for PSTI-kontrolområdet:
Inklusive computere (a) stationære computere; (b) Bærbar computer; (c) Tabletter, der ikke har mulighed for at oprette forbindelse til mobilnetværk (designet specifikt til børn under 14 år i henhold til producentens tilsigtede brug, ikke en undtagelse), medicinske produkter, smartmålerprodukter, opladere til elektriske køretøjer og Bluetooth en -on-one forbindelsesprodukter. Bemærk venligst, at disse produkter også kan have cybersikkerhedskrav, men de er ikke omfattet af PSTI-loven og kan være reguleret af andre love.
3. Tre nøglepunkter, der skal følges af PSTI-loven:
PSTI-lovforslaget omfatter to hoveddele: produktsikkerhedskrav og retningslinjer for telekommunikationsinfrastruktur. For produktsikkerhed er der tre nøglepunkter, der kræver særlig opmærksomhed:
1) Adgangskodekrav, baseret på regulatoriske bestemmelser 5.1-1, 5.1-2. PSTI-loven forbyder brugen af universelle standardadgangskoder. Dette betyder, at produktet skal angive en unik standardadgangskode eller kræve, at brugerne angiver en adgangskode ved deres første brug.
2) Sikkerhedsstyringsproblemer, baseret på lovbestemmelser 5.2-1, skal producenter udvikle og offentligt offentliggøre politikker for offentliggørelse af sårbarheder for at sikre, at enkeltpersoner, der opdager sårbarheder, kan underrette producenterne og sikre, at producenterne straks kan underrette kunderne og sørge for reparationsforanstaltninger.
3) Sikkerhedsopdateringscyklussen, baseret på lovbestemmelser 5.3-13, skal fabrikanter præcisere og offentliggøre den korteste periode, de vil levere sikkerhedsopdateringer, så forbrugerne kan forstå sikkerhedsopdateringssupportperioden for deres produkter.
4. PSTI Act og ETSI EN 303 645 testproces:
1) Forberedelse af prøvedata: 3 sæt prøver inklusive vært og tilbehør, ukrypteret software, brugermanualer/specifikationer/relaterede tjenester og login-kontooplysninger
2) Etablering af testmiljø: Etabler et testmiljø i henhold til brugermanualen
3) Udførelse af netværkssikkerhedsvurdering: filgennemgang og teknisk test, kontrol af leverandørspørgeskemaer og feedback
4) Reparation af svagheder: Lever konsulenttjenester til at løse svaghedsproblemer
5) Giv PSTI-evalueringsrapport eller ETSI EN 303645-evalueringsrapport
5. PSTI-lovdokumenter:
1) Den britiske produktsikkerheds- og telekommunikationsinfrastruktur (produktsikkerhed) ordning.
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) Lov om produktsikkerhed og telekommunikationsinfrastruktur fra 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Forordningerne for produktsikkerhed og telekommunikationsinfrastruktur (sikkerhedskrav for relevante tilsluttede produkter) 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Lige nu er der mindre end 2 måneder tilbage. Det anbefales, at større producenter, der eksporterer til det britiske marked, gennemfører PSTI-certificering så hurtigt som muligt for at sikre problemfri adgang til det britiske marked.
Posttid: Mar-11-2024
