Enligt Product Safety and Telecommunications Infrastructure Act 2023 utfärdad av Storbritannien den 29 april 2023 kommer Storbritannien att börja tillämpa nätverkssäkerhetskrav för anslutna konsumentenheter från och med den 29 april 2024, tillämpliga på England, Skottland, Wales och Nordirland. Hittills har det bara gått drygt 3 månader, och stora tillverkare som exporterar till den brittiska marknaden måste slutföra PSTI-certifiering så snart som möjligt för att säkerställa ett smidigt inträde på den brittiska marknaden. Det finns en förväntad respitperiod på 12 månader från tillkännagivandedatum till implementering.
1.PSTI Act Documents:
① Regimen för produktsäkerhet och telekommunikationsinfrastruktur (Produktsäkerhet) i Storbritannien.
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Product Security and Telecommunications Infrastructure Act 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Föreskrifterna för produktsäkerhet och telekommunikationsinfrastruktur (säkerhetskrav för relevanta anslutningsbara produkter) 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Lagförslaget är uppdelat i två delar:
Del 1: Angående produktsäkerhetskrav
Utkastet till förordningen om produktsäkerhet och telekommunikationsinfrastruktur (säkerhetskrav för relaterade anslutna produkter) infördes av den brittiska regeringen 2023. Utkastet tar upp de krav som ställs av tillverkare, importörer och distributörer som skyldiga enheter, och har rätt att utdöma böter. upp till 10 miljoner pund eller 4 % av företagets globala intäkter på överträdare. Företag som fortsätter att bryta mot reglerna kommer också att bötfällas med ytterligare 20 000 £ per dag.
Del 2: Riktlinjer för telekommunikationsinfrastruktur, utvecklade för att påskynda installation, användning och uppgradering av sådan utrustning
Det här avsnittet kräver att IoT-tillverkare, importörer och distributörer följer specifika cybersäkerhetskrav. Det stöder införandet av bredbands- och 5G-nätverk upp till gigabit för att skydda medborgarna från riskerna med osäkra konsumentanslutna enheter.
Lagen om elektronisk kommunikation fastställer nätoperatörers och infrastrukturleverantörers rätt att installera och underhålla digital kommunikationsinfrastruktur på offentlig och privat mark. Revideringen av lagen om elektronisk kommunikation 2017 gjorde utbyggnad, underhåll och uppgradering av digital infrastruktur billigare och enklare. De nya åtgärderna relaterade till telekommunikationsinfrastruktur i utkastet till PSTI-lagförslaget är baserade på den reviderade elektroniska kommunikationslagen från 2017, som kommer att bidra till att säkerställa lanseringen av framtida orienterade gigabit-bredbands- och 5G-nätverk.
PSTI-lagen kompletterar del 1 av Product Security and Communication Infrastructure Act 2022, som anger minimisäkerhetskraven för att tillhandahålla produkter till brittiska konsumenter. Baserat på ETSI EN 303 645 v2.1.1, avsnitt 5.1-1, 5.1-2, 5.2-1 och 5.3-13, samt ISO/IEC 29147:2018 standarder, föreslås motsvarande föreskrifter och krav för lösenord, minsta säkerhet uppdatera tidscykler och hur man rapporterar säkerhetsproblem.
Produktomfattning involverad:
Uppkopplade säkerhetsrelaterade produkter, såsom rök- och dimdetektorer, branddetektorer och dörrlås, anslutna hemautomationsenheter, smarta dörrklockor och larmsystem, IoT-basstationer och hubbar som ansluter flera enheter, smarta hemassistenter, smartphones, anslutna kameror (IP och CCTV), bärbara enheter, anslutna kylskåp, tvättmaskiner, frysar, kaffemaskiner, spelkontroller och andra liknande produkter.
Omfattning av undantagna produkter:
Produkter som säljs i Nordirland, smarta mätare, laddningspunkter för elfordon och medicinsk utrustning, samt surfplattor för användning över 14 år.
3. ETSI EN 303 645-standarden för säkerhet och integritet för IoT-produkter inkluderar följande 13 kategorier av krav:
1) Universell standardlösenordssäkerhet
2) Hantering och genomförande av svaghetsrapporter
3) Programuppdateringar
4) Smart säkerhetsparametersparning
5) Kommunikationssäkerhet
6) Minska exponeringen av attackytan
7) Skydda personlig information
8) Programvaruintegritet
9) System anti-interferens förmåga
10) Kontrollera systemtelemetridata
11) Bekvämt för användare att radera personlig information
12) Förenkla installation och underhåll av utrustning
13) Verifiera indata
Billkrav och motsvarande 2 standarder
Förbjud universella standardlösenord - ETSI EN 303 645 bestämmelser 5.1-1 och 5.1-2
Krav på implementeringsmetoder för att hantera sårbarhetsrapporter - ETSI EN 303 645 bestämmelser 5.2-1
ISO/IEC 29147 (2018) klausul 6.2
Kräv transparens i minsta säkerhetsuppdateringstid för produkter - ETSI EN 303 645 bestämmelse 5.3-13
PSTI kräver att produkterna uppfyller ovanstående tre säkerhetsstandarder innan de kan släppas ut på marknaden. Tillverkare, importörer och distributörer av relaterade produkter måste följa säkerhetskraven i denna lag. Tillverkare och importörer måste se till att deras produkter kommer med en överensstämmelse och vidta åtgärder i händelse av bristande efterlevnad, föra utredningsprotokoll etc. I annat fall kommer överträdare att dömas till böter på upp till 10 miljoner pund eller 4 % av företagets globala intäkter.
4.PSTI Act och ETSI EN 303 645 testprocess:
1) Förberedelse av provdata
3 uppsättningar prover inklusive värd och tillbehör, okrypterad programvara, användarmanualer/specifikationer/relaterade tjänster och inloggningskontoinformation
2) Testmiljöetablering
Upprätta en testmiljö baserad på användarmanualen
3) Utförande av nätverkssäkerhetsbedömning:
Dokumentgranskning och teknisk testning, inspektion av leverantörsfrågeformulär och återkoppling
4) Reparation av svagheter
Tillhandahålla konsulttjänster för att åtgärda svaghetsproblem
5) Tillhandahåll PSTI-utvärderingsrapport eller ETSIEN 303645 utvärderingsrapport
5.Hur bevisar man överensstämmelse med kraven i den brittiska PSTI-lagen?
Minimikravet är att uppfylla de tre kraven i PSTI-lagen avseende lösenord, programvaruunderhållscykler och sårbarhetsrapportering, och tillhandahålla tekniska dokument såsom utvärderingsrapporter för dessa krav, samtidigt som man gör en självförsäkran om efterlevnad. Vi föreslår att du använder ETSI EN 303 645 för utvärderingen av den brittiska PSTI-lagen. Detta är också den bästa förberedelsen för den obligatoriska implementeringen av EU:s CE RED-direktivs krav på cybersäkerhet från och med 1 augusti 2025!
BTF Testing Lab är en testinstitution ackrediterad av China National Accreditation Service for Conformity Assessment (CNAS), nummer: L17568. Efter år av utveckling har BTF laboratorium för elektromagnetisk kompatibilitet, laboratorium för trådlös kommunikation, SAR-laboratorium, säkerhetslaboratorium, tillförlitlighetslaboratorium, batteritestlaboratorium, kemisk testning och andra laboratorier. Har en perfekt elektromagnetisk kompatibilitet, radiofrekvens, produktsäkerhet, miljötillförlitlighet, materialfelanalys, ROHS/REACH och andra testmöjligheter. BTF Testing Lab är utrustat med professionella och kompletta testanläggningar, ett erfaret team av test- och certifieringsexperter och förmågan att lösa olika komplexa test- och certifieringsproblem. Vi följer de vägledande principerna om "rättvist, opartiskhet, noggrannhet och rigor" och följer strikt kraven i ISO/IEC 17025 test- och kalibreringslaboratorieledningssystem för vetenskaplig ledning. Vi är angelägna om att ge kunderna högsta kvalitet på service. Om du har några frågor är du välkommen att kontakta oss när som helst.
Posttid: 2024-jan-16
