Enligt Product Safety and Telecommunications Infrastructure Act 2023 (PSTI) utfärdat av Storbritannien den 29 april 2023 kommer Storbritannien att börja tillämpa nätverkssäkerhetskrav för anslutna konsumentenheter från och med den 29 april 2024, tillämpliga på England, Skottland, Wales och Nordirland. Företag som bryter mot dem kommer att få böter på upp till 10 miljoner pund eller 4 % av sina globala intäkter.
1. Introduktion till PSTI-lagen:
UK Consumer Connect Product Safety Policy kommer att träda i kraft och tillämpas den 29 april 2024. Från och med detta datum kommer lagen att kräva att tillverkare av produkter som kan kopplas till brittiska konsumenter uppfyller minimisäkerhetskraven. Dessa minimisäkerhetskrav är baserade på UK Consumer Internet of Things Security Practice Guidelines, den globalt ledande konsumentsäkerhetsstandarden Internet of Things ETSI EN 303 645 och rekommendationer från Storbritanniens auktoritativa organ för cyberhotsteknik, National Cybersecurity Center. Detta system kommer också att säkerställa att andra företag i leveranskedjan för dessa produkter spelar en roll för att förhindra att osäkra konsumtionsvaror säljs till brittiska konsumenter och företag.
Detta system innehåller två lagar:
1) Del 1 av lagen om produktsäkerhet och telekommunikationsinfrastruktur (PSTI) från 2022;
2) The Product Security and Telecommunications Infrastructure (Security Requirements for Related Connected Products) Act från 2023.
2. PSTI-lagen täcker produktsortimentet:
1) PSTI-kontrollerat produktsortiment:
Det inkluderar, men är inte begränsat till, internetanslutna produkter. Typiska produkter inkluderar: smart-tv, IP-kamera, router, intelligent belysning och hushållsprodukter.
2) Produkter utanför omfattningen av PSTI-kontroll:
Inklusive datorer (a) stationära datorer; (b) Bärbar dator; (c) Surfplattor som inte har möjlighet att ansluta till mobilnät (utformade specifikt för barn under 14 år enligt tillverkarens avsedda användning, inte ett undantag), medicinska produkter, smarta mätarprodukter, elfordonsladdare och Bluetooth en -on-one anslutningsprodukter. Observera att dessa produkter också kan ha krav på cybersäkerhet, men de omfattas inte av PSTI-lagen och kan regleras av andra lagar.
3. Tre nyckelpunkter som ska följas av PSTI-lagen:
PSTI-lagförslaget innehåller två huvuddelar: produktsäkerhetskrav och riktlinjer för telekommunikationsinfrastruktur. För produktsäkerhet finns det tre nyckelpunkter som kräver särskild uppmärksamhet:
1) Lösenordskrav, baserat på bestämmelserna 5.1-1, 5.1-2. PSTI-lagen förbjuder användning av universella standardlösenord. Detta innebär att produkten måste ställa in ett unikt standardlösenord eller kräva att användarna ställer in ett lösenord vid första användningen.
2) Säkerhetshanteringsfrågor, baserat på regleringsbestämmelser 5.2-1, måste tillverkare utveckla och offentliggöra policyer för avslöjande av sårbarheter för att säkerställa att individer som upptäcker sårbarheter kan meddela tillverkare och säkerställa att tillverkare omedelbart kan meddela kunder och tillhandahålla reparationsåtgärder.
3) Säkerhetsuppdateringscykeln, baserad på bestämmelserna 5.3-13, måste tillverkarna klargöra och avslöja den kortaste tidsperioden de kommer att tillhandahålla säkerhetsuppdateringar, så att konsumenterna kan förstå säkerhetsuppdateringsstödperioden för sina produkter.
4. PSTI Act och ETSI EN 303 645 testprocess:
1) Förberedelse av provdata: 3 uppsättningar prover inklusive värd och tillbehör, okrypterad programvara, användarmanualer/specifikationer/relaterade tjänster och inloggningskontoinformation
2) Etablering av testmiljö: Etablera en testmiljö enligt användarmanualen
3) Utförande av nätverkssäkerhetsbedömning: filgranskning och teknisk testning, kontroll av leverantörsfrågeformulär och ge feedback
4) Reparation av svagheter: Tillhandahålla konsulttjänster för att åtgärda svaghetsproblem
5) Tillhandahåll PSTI-utvärderingsrapport eller ETSI EN 303645 utvärderingsrapport
5. PSTI Act Documents:
1) Regimen för produktsäkerhet och telekommunikationsinfrastruktur (Produktsäkerhet) i Storbritannien.
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2)Product Security and Telecommunications Infrastructure Act 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Förordningarna för produktsäkerhet och telekommunikationsinfrastruktur (säkerhetskrav för relevanta anslutningsbara produkter) 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Just nu är det mindre än 2 månader kvar. Det rekommenderas att stora tillverkare som exporterar till den brittiska marknaden genomför PSTI-certifiering så snart som möjligt för att säkerställa ett smidigt inträde på den brittiska marknaden.
Posttid: Mar-11-2024
