Den 27 oktober 2023 publicerade Europeiska unionens officiella tidning en ändring av RED Authorization Regulation (EU) 2022/30, där datumbeskrivningen av den obligatoriska implementeringstiden i artikel 3 uppdaterades till 1 augusti 2025.
RED Authorization Regulation (EU) 2022/30 är en officiell tidning för Europeiska unionen som föreskriver att tillverkare av relevanta produkter måste ta hänsyn till cybersäkerhetskraven i RED-direktivet, nämligen RED 3(3) (d), RED 3( 3) (e) och RED 3(3) (f), i deras referens och produktion.
Artikel 3.3(d) radioutrustning skadar inte nätet eller dess funktion eller missbrukar nätverksresurser, vilket orsakar en oacceptabel försämring av tjänsten
Denna klausul är tillämplig på utrustning som ansluter till internet, direkt eller indirekt.
Artikel 3.3(e) radioutrustning innehåller skyddsåtgärder för att säkerställa att användarens och abonnentens personuppgifter och integritet skyddas
Denna klausul är tillämplig på utrustning som kan behandla personuppgifter, trafikdata eller platsdata. Också utrustning exklusivt för barnomsorg, utrustning som kan bäras på, fästas vid eller hänga från någon del av huvudet eller kroppen, inklusive kläder och annan internetansluten utrustning.
Artikel 3.3 f radioutrustning stöder vissa funktioner som säkerställer skydd mot bedrägerier
Denna klausul är tillämplig på utrustning som ansluter till internet, direkt eller indirekt och tillåter användaren att överföra pengar, penningvärde eller virtuell valuta.
Förbereder inför förordningen
Även om förordningen inte gäller förrän den 1 augusti 2025 kommer förberedelser att vara en väsentlig del av att vara redo att uppfylla kraven. Det första för en tillverkare att göra är att titta på sin radioutrustning och fråga sig, hur cybersäkert är detta? Vad gör du redan för att göra den säker från attack? Om svaret är "ingenting", har du förmodligen en del att göra.
När det gäller överensstämmelse med RED bör tillverkaren titta specifikt på de krav som anges ovan och överväga hur de uppfyller dessa krav. Bedömningsstandarderna kommer, när de är fullständiga, att ge tydliga och detaljerade sätt att visa att kraven uppfylls.
Vissa tillverkare vet redan hur man utvärderar sina produkter och hur man visar att de uppfyller standardiseringskraven och kraven som anges i detta dokument. Vissa tillverkare kan redan ha gjort en sådan bedömning av sina egna kvalitetssystem. För andra tillverkare,BTFkommer att finnas tillgänglig för att hjälpa till.Thär är några användbara standarder som redan finns i omlopp och dessa kan användas för att hjälpa tillverkaren och testlaboratorier med bedömningsmetoder. ETSI EN 303 645 innehåller avsnitt specifikt relaterade till de ämnen som beskrivs ovan, såsom uppdatering av programvara, övervakning av datatrafik och minimering av utsatta attackytor.
BTF:s cybersäkerhetsteam är tillgängligt för att hjälpa till att förklara standarderna och vägleda tillverkare genom processen att tillämpa standarderna och utföra cyberbedömningar.Om du har några frågor är du välkommen att kontakta oss!
Posttid: 2023-november
