U skladu sa Zakonom o sigurnosti proizvoda i telekomunikacijskoj infrastrukturi iz 2023. koji je Ujedinjeno Kraljevstvo izdalo 29. travnja 2023., Ujedinjeno Kraljevstvo će početi provoditi mrežne sigurnosne zahtjeve za povezane potrošačke uređaje od 29. travnja 2024., primjenjivo na Englesku, Škotsku, Wales i Sjevernu Irsku. Od sada je prošlo tek nešto više od 3 mjeseca, a glavni proizvođači koji izvoze na tržište Ujedinjenog Kraljevstva moraju dovršiti PSTI certifikaciju što je prije moguće kako bi osigurali nesmetan ulazak na tržište Ujedinjenog Kraljevstva. Očekivano je razdoblje odgode od 12 mjeseci od datuma objave do provedbe.
1. Dokumenti Zakona o PSTI:
①Režim britanske sigurnosti proizvoda i telekomunikacijske infrastrukture (Sigurnost proizvoda).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Zakon o sigurnosti proizvoda i telekomunikacijskoj infrastrukturi iz 2022.。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Propisi o sigurnosti proizvoda i telekomunikacijskoj infrastrukturi (sigurnosni zahtjevi za relevantne proizvode koji se mogu povezati) 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Račun je podijeljen u dva dijela:
Dio 1: Što se tiče zahtjeva za sigurnost proizvoda
Nacrt Uredbe o sigurnosti proizvoda i telekomunikacijskoj infrastrukturi (sigurnosni zahtjevi za povezane povezane proizvode) koji je uvela vlada Ujedinjenog Kraljevstva 2023. Nacrt se bavi zahtjevima proizvođača, uvoznika i distributera kao obveznih subjekata i ima pravo nametanja kazni do 10 milijuna funti ili 4% globalnog prihoda tvrtke na prekršiteljima. Tvrtke koje nastave kršiti propise također će biti kažnjene s dodatnih £20000 dnevno.
Dio 2: Smjernice za telekomunikacijsku infrastrukturu, razvijene za ubrzavanje instalacije, upotrebe i nadogradnje takve opreme
Ovaj odjeljak zahtijeva od proizvođača, uvoznika i distributera IoT-a da se pridržavaju posebnih zahtjeva kibernetičke sigurnosti. Podržava uvođenje širokopojasnih i 5G mreža do gigabita radi zaštite građana od rizika koje predstavljaju nesigurni potrošački povezani uređaji.
Zakon o elektroničkim komunikacijama propisuje pravo mrežnih operatora i pružatelja infrastrukture da postavljaju i održavaju digitalnu komunikacijsku infrastrukturu na javnom i privatnom zemljištu. Revizijom Zakona o elektroničkim komunikacijama 2017. pojeftinilo je i olakšalo postavljanje, održavanje i nadogradnju digitalne infrastrukture. Nove mjere povezane s telekomunikacijskom infrastrukturom u nacrtu prijedloga zakona o PSTI-ju temelje se na revidiranom Zakonu o elektroničkim komunikacijama iz 2017., koji će pomoći osigurati pokretanje gigabitnih širokopojasnih i 5G mreža usmjerenih na budućnost.
Zakon o PSTI-ju nadopunjuje 1. dio Zakona o sigurnosti proizvoda i komunikacijskoj infrastrukturi iz 2022., koji utvrđuje minimalne sigurnosne zahtjeve za pružanje proizvoda britanskim potrošačima. Na temelju ETSI EN 303 645 v2.1.1, odjeljci 5.1-1, 5.1-2, 5.2-1 i 5.3-13, kao i standarda ISO/IEC 29147:2018, predlažu se odgovarajući propisi i zahtjevi za lozinke, minimalnu sigurnost vremenski ciklusi ažuriranja i kako prijaviti sigurnosne probleme.
Uključeni opseg proizvoda:
Povezani sigurnosni proizvodi, kao što su detektori dima i magle, detektori požara i brave na vratima, povezani uređaji za kućnu automatizaciju, pametna zvona i alarmni sustavi, IoT bazne stanice i čvorišta koja povezuju više uređaja, pametni kućni pomoćnici, pametni telefoni, povezane kamere (IP i CCTV), nosivi uređaji, povezani hladnjaci, perilice rublja, zamrzivači, aparati za kavu, kontroleri za igre i drugi slični proizvodi.
Opseg izuzetih proizvoda:
Proizvodi koji se prodaju u Sjevernoj Irskoj, pametna brojila, mjesta za punjenje električnih vozila i medicinski uređaji, kao i računalni tableti za korištenje starije od 14 godina.
3. Norma ETSI EN 303 645 za sigurnost i privatnost IoT proizvoda uključuje sljedećih 13 kategorija zahtjeva:
1) Univerzalna zadana sigurnost lozinke
2) Upravljanje i izvršenje izvješća o slabostima
3) Ažuriranja softvera
4) Pametno spremanje sigurnosnih parametara
5) Sigurnost komunikacije
6) Smanjite izloženost napadne površine
7) Zaštita osobnih podataka
8) Integritet softvera
9) Sposobnost sustava protiv smetnji
10) Provjerite telemetrijske podatke sustava
11) Pogodno za korisnike za brisanje osobnih podataka
12) Pojednostavite instalaciju i održavanje opreme
13) Provjerite ulazne podatke
Zahtjevi zakona i odgovarajuća 2 standarda
Zabrani univerzalne zadane lozinke - ETSI EN 303 645 odredbe 5.1-1 i 5.1-2
Zahtjevi za provedbu metoda za upravljanje izvješćima o ranjivostima - odredbe ETSI EN 303 645 5.2-1
ISO/IEC 29147 (2018) klauzula 6.2
Zahtijevajte transparentnost u minimalnom vremenskom ciklusu sigurnosnog ažuriranja za proizvode - odredba ETSI EN 303 645 5.3-13
PSTI zahtijeva da proizvodi ispunjavaju gornja tri sigurnosna standarda prije nego što se mogu staviti na tržište. Proizvođači, uvoznici i distributeri povezanih proizvoda moraju se pridržavati sigurnosnih zahtjeva ovog zakona. Proizvođači i uvoznici moraju osigurati da njihovi proizvodi dolaze s izjavom o sukladnosti i poduzeti radnje u slučaju neusklađenosti, voditi evidenciju istrage itd. U suprotnom, prekršitelji će biti kažnjeni do 10 milijuna funti ili 4% globalnog prihoda tvrtke.
4.PSTI Act i ETSI EN 303 645 Proces testiranja:
1) Priprema podataka uzorka
3 seta uzoraka uključujući host i dodatnu opremu, nekriptirani softver, korisničke priručnike/specifikacije/povezane usluge i podatke o računu za prijavu
2) Uspostavljanje testnog okruženja
Uspostavite okruženje za testiranje na temelju korisničkog priručnika
3) Izvršenje procjene sigurnosti mreže:
Pregled dokumenata i tehničko testiranje, pregled upitnika dobavljača i davanje povratnih informacija
4) Popravak slabosti
Pružanje konzultantskih usluga za rješavanje problema sa slabostima
5) Dostavite izvješće o ocjeni PSTI ili izvješće o ocjeni ETSIEN 303645
5. Kako dokazati usklađenost sa zahtjevima UK PSTI Act?
Minimalni zahtjev je ispunjavanje tri zahtjeva iz PSTI zakona u vezi sa lozinkama, ciklusima održavanja softvera i izvješćivanjem o ranjivostima, te pružanje tehničkih dokumenata kao što su izvješća o procjeni za te zahtjeve, uz davanje vlastite izjave o usklađenosti. Predlažemo korištenje ETSI EN 303 645 za procjenu UK PSTI Act. Ovo je ujedno i najbolja priprema za obveznu implementaciju kibersigurnosnih zahtjeva EU CE RED direktive počevši od 1. kolovoza 2025.!
BTF Testing Lab je ispitna ustanova koju je akreditirala Kineska nacionalna akreditacijska služba za ocjenu sukladnosti (CNAS), broj: L17568. Nakon godina razvoja, BTF ima laboratorij za elektromagnetsku kompatibilnost, laboratorij za bežičnu komunikaciju, laboratorij za SAR, laboratorij za sigurnost, laboratorij za pouzdanost, laboratorij za ispitivanje baterija, kemijska ispitivanja i druge laboratorije. Ima savršenu elektromagnetsku kompatibilnost, radiofrekvenciju, sigurnost proizvoda, ekološku pouzdanost, analizu kvarova materijala, ROHS/REACH i druge mogućnosti testiranja. BTF Testing Lab opremljen je profesionalnim i cjelovitim uređajima za testiranje, iskusnim timom stručnjaka za testiranje i certificiranje te sposobnošću rješavanja raznih složenih problema testiranja i certificiranja. Pridržavamo se vodećih načela "poštenosti, nepristranosti, točnosti i strogosti" i strogo slijedimo zahtjeve ISO/IEC 17025 sustava upravljanja laboratorijem za ispitivanje i kalibraciju za znanstveno upravljanje. Posvećeni smo pružanju usluga najviše kvalitete korisnicima. Ako imate pitanja, slobodno nam se obratite u bilo koje vrijeme.
Vrijeme objave: 16. siječnja 2024
