Prema Zakonu o sigurnosti proizvoda i telekomunikacijskoj infrastrukturi iz 2023. (PSTI) koji je Ujedinjeno Kraljevstvo izdalo 29. travnja 2023., Ujedinjeno Kraljevstvo će početi provoditi mrežne sigurnosne zahtjeve za povezane potrošačke uređaje od 29. travnja 2024., primjenjivo na Englesku, Škotsku, Wales i Sjevernu Irsku. Tvrtke koje prekrše pravila suočit će se s kaznama do 10 milijuna funti ili 4% svojih globalnih prihoda.
1. Uvod u PSTI Act:
Politika sigurnosti proizvoda Consumer Connect u Velikoj Britaniji stupit će na snagu i početi se primjenjivati 29. travnja 2024. Počevši od tog datuma, zakon će zahtijevati od proizvođača proizvoda koji se mogu povezati s britanskim potrošačima da se pridržavaju minimalnih sigurnosnih zahtjeva. Ovi minimalni sigurnosni zahtjevi temelje se na Smjernicama britanske sigurnosne prakse interneta stvari za potrošače, globalno vodećem sigurnosnom standardu za internet stvari za potrošače ETSI EN 303 645 i preporukama britanskog autoritativnog tijela za tehnologiju kibernetičkih prijetnji, Nacionalnog centra za kibernetičku sigurnost. Ovaj sustav će također osigurati da druge tvrtke u opskrbnom lancu ovih proizvoda igraju ulogu u sprječavanju prodaje nesigurne robe široke potrošnje britanskim potrošačima i tvrtkama.
Ovaj sustav uključuje dva dijela zakona:
1) Dio 1 Zakona o sigurnosti proizvoda i telekomunikacijskoj infrastrukturi (PSTI) iz 2022.;
2) Zakon o sigurnosti proizvoda i telekomunikacijskoj infrastrukturi (sigurnosni zahtjevi za povezane povezane proizvode) iz 2023.
2. PSTI Act pokriva asortiman proizvoda:
1) PSTI kontrolirani asortiman proizvoda:
To uključuje, ali nije ograničeno na proizvode povezane s internetom. Tipični proizvodi uključuju: pametni TV, IP kameru, usmjerivač, inteligentnu rasvjetu i proizvode za kućanstvo.
2) Proizvodi izvan opsega PSTI kontrole:
Uključujući računala (a) stolna računala; (b) prijenosno računalo; (c) Tableti koji nemaju mogućnost povezivanja s mobilnim mrežama (posebno dizajnirani za djecu mlađu od 14 godina prema namjeni proizvođača, nisu iznimka), medicinski proizvodi, proizvodi pametnih mjerača, punjači za električna vozila i Bluetooth -on-one spajanje proizvoda. Imajte na umu da ovi proizvodi također mogu imati zahtjeve u pogledu kibernetičke sigurnosti, ali nisu obuhvaćeni Zakonom o PSTI i mogu biti regulirani drugim zakonima.
3. Tri ključne točke koje treba slijediti Zakon o PSTI:
Prijedlog zakona o PSTI uključuje dva glavna dijela: zahtjeve za sigurnost proizvoda i smjernice za telekomunikacijsku infrastrukturu. Za sigurnost proizvoda postoje tri ključne točke na koje treba obratiti posebnu pozornost:
1) Zahtjevi za lozinku, temeljeni na regulatornim odredbama 5.1-1, 5.1-2. PSTI Act zabranjuje korištenje univerzalnih zadanih lozinki. To znači da proizvod mora postaviti jedinstvenu zadanu lozinku ili zahtijevati od korisnika da postave lozinku prilikom prve upotrebe.
2) Pitanja upravljanja sigurnošću, na temelju regulatornih odredbi 5.2-1, proizvođači moraju razviti i javno objaviti politike otkrivanja ranjivosti kako bi se osiguralo da pojedinci koji otkriju ranjivosti mogu obavijestiti proizvođače i osigurati da proizvođači mogu odmah obavijestiti kupce i osigurati mjere popravka.
3) Ciklus sigurnosnog ažuriranja, na temelju regulatornih odredbi 5.3-13, proizvođači moraju pojasniti i otkriti najkraće vremensko razdoblje u kojem će osigurati sigurnosna ažuriranja, tako da potrošači mogu razumjeti razdoblje podrške za sigurnosno ažuriranje svojih proizvoda.
4. PSTI Act i ETSI EN 303 645 Proces testiranja:
1) Priprema podataka uzorka: 3 seta uzoraka uključujući host i dodatnu opremu, nešifrirani softver, korisničke priručnike/specifikacije/povezane usluge i podatke o računu za prijavu
2) Uspostavljanje testnog okruženja: Uspostavite testno okruženje prema korisničkom priručniku
3) Izvršenje procjene sigurnosti mreže: pregled datoteke i tehničko testiranje, provjera upitnika dobavljača i davanje povratnih informacija
4) Popravak slabosti: pružanje konzultantskih usluga za rješavanje problema slabosti
5) Dostavite izvješće o ocjeni PSTI ili izvješće o ocjeni ETSI EN 303645
5. Dokumenti Zakona o PSTI:
1) Režim britanske sigurnosti proizvoda i telekomunikacijske infrastrukture (Sigurnost proizvoda).
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2)Zakon o sigurnosti proizvoda i telekomunikacijskoj infrastrukturi iz 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Propisi o sigurnosti proizvoda i telekomunikacijskoj infrastrukturi (sigurnosni zahtjevi za relevantne povezive proizvode) 2023.
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Zasad je ostalo manje od 2 mjeseca. Preporuča se da glavni proizvođači koji izvoze na tržište Ujedinjenog Kraljevstva završe PSTI certifikaciju što je prije moguće kako bi osigurali nesmetan ulazak na tržište Ujedinjenog Kraljevstva.
Vrijeme objave: 11. ožujka 2024
