În conformitate cu Legea privind siguranța produselor și infrastructura de telecomunicații din 2023 (PSTI) emisă de Regatul Unit la 29 aprilie 2023, Regatul Unit va începe să aplice cerințele de securitate a rețelei pentru dispozitivele de consum conectate începând cu 29 aprilie 2024, aplicabile Angliei, Scoției, Țării Galilor și Irlandei de Nord. Companiile care încalcă acestea se vor confrunta cu amenzi de până la 10 milioane de lire sterline sau 4% din veniturile lor globale.
1. Introducere în Legea PSTI:
Politica privind siguranța produselor Consumer Connect din Regatul Unit va intra în vigoare și va fi aplicată pe 29 aprilie 2024. Începând cu această dată, legea va cere producătorilor de produse care pot fi conectate la consumatorii britanici să respecte cerințele minime de siguranță. Aceste cerințe minime de securitate se bazează pe Orientările privind practicile de securitate pentru Internetul obiectelor pentru consumatori din Regatul Unit, standardul de securitate pentru Internetul obiectelor pentru consumatori lider la nivel mondial ETSI EN 303 645 și recomandările organismului cu autoritate din Regatul Unit pentru tehnologia amenințărilor cibernetice, Centrul Național de Securitate Cibernetică. Acest sistem va asigura, de asemenea, că alte întreprinderi din lanțul de aprovizionare al acestor produse joacă un rol în prevenirea vânzării bunurilor de consum nesigure către consumatorii și întreprinderile britanice.
Acest sistem include două acte legislative:
1) Partea 1 din Legea privind siguranța produselor și infrastructura de telecomunicații (PSTI) din 2022;
2) Legea privind securitatea produselor și infrastructurii de telecomunicații (cerințe de securitate pentru produsele conectate conexe) din 2023.
2. Legea PSTI acoperă gama de produse:
1) Gama de produse controlate PSTI:
Include, dar nu se limitează la, produse conectate la Internet. Produsele tipice includ: smart TV, cameră IP, router, iluminat inteligent și produse de uz casnic.
2) Produse care nu fac obiectul controlului PSTI:
Inclusiv computere (a) computere desktop; (b) computer portabil; (c) Tablete care nu au capacitatea de a se conecta la rețelele celulare (concepute special pentru copii sub 14 ani, conform utilizării prevăzute de producător, nu reprezintă o excepție), produse medicale, produse de contor inteligent, încărcătoare pentru vehicule electrice și Bluetooth unul produse de conectare -on-one. Rețineți că aceste produse pot avea, de asemenea, cerințe de securitate cibernetică, dar nu sunt reglementate de Legea PSTI și pot fi reglementate de alte legi.
3. Trei puncte cheie care trebuie urmate de Legea PSTI:
Proiectul de lege PSTI include două părți majore: cerințele privind siguranța produselor și liniile directoare privind infrastructura de telecomunicații. Pentru siguranța produsului, există trei puncte cheie care necesită o atenție specială:
1) Cerințe de parolă, bazate pe prevederile de reglementare 5.1-1, 5.1-2. Legea PSTI interzice utilizarea parolelor implicite universale. Aceasta înseamnă că produsul trebuie să seteze o parolă implicită unică sau să solicite utilizatorilor să seteze o parolă la prima utilizare.
2) Probleme legate de managementul securității, pe baza prevederilor de reglementare 5.2-1, producătorii trebuie să dezvolte și să dezvăluie public politici de dezvăluire a vulnerabilităților pentru a se asigura că persoanele care descoperă vulnerabilități pot notifica producătorii și se pot asigura că producătorii pot notifica prompt clienții și pot oferi măsuri de reparație.
3) Ciclul de actualizare a siguranței, bazat pe prevederile de reglementare 5.3-13, producătorii trebuie să clarifice și să dezvăluie cea mai scurtă perioadă de timp în care vor furniza actualizări de siguranță, astfel încât consumatorii să poată înțelege perioada de suport pentru actualizarea de siguranță a produselor lor.
4. Procesul de testare PSTI Act și ETSI EN 303 645:
1) Pregătirea datelor mostre: 3 seturi de mostre, inclusiv gazdă și accesorii, software necriptat, manuale de utilizare/specificații/servicii conexe și informații despre contul de conectare
2) Stabilirea mediului de testare: Stabiliți un mediu de testare conform manualului de utilizare
3) Execuția evaluării securității rețelei: revizuirea fișierelor și testarea tehnică, verificarea chestionarelor furnizorilor și furnizarea de feedback
4) Repararea punctelor slabe: Furnizați servicii de consultanță pentru a remedia problemele slabe
5) Furnizați raport de evaluare PSTI sau raport de evaluare ETSI EN 303645
5. Actele PSTI:
1) Regimul Regatului Unit al securității produselor și al infrastructurii de telecomunicații (securitatea produselor).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2) Legea privind securitatea produselor și infrastructurii de telecomunicații din 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Reglementările privind securitatea produselor și infrastructurii de telecomunicații (cerințe de securitate pentru produsele relevante conectabile) 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
De acum, este mai puțin de 2 luni distanță. Se recomandă ca producătorii importanți care exportă pe piața din Marea Britanie să finalizeze certificarea PSTI cât mai curând posibil pentru a asigura intrarea fără probleme pe piața din Marea Britanie.
Ora postării: 11-mar-2024
