V skladu z Zakonom o varnosti izdelkov in telekomunikacijski infrastrukturi iz leta 2023, ki ga je Združeno kraljestvo izdalo 29. aprila 2023, bo Združeno kraljestvo od 29. aprila 2024 začelo uveljavljati zahteve glede varnosti omrežja za povezane potrošniške naprave, ki veljajo za Anglijo, Škotsko, Wales in Severno Irsko. Od zdaj je minilo le nekaj več kot 3 mesece in večji proizvajalci, ki izvažajo na trg Združenega kraljestva, morajo čim prej dokončati certifikat PSTI, da zagotovijo nemoten vstop na trg Združenega kraljestva. Od datuma objave do izvedbe je pričakovano obdobje odloga 12 mesecev.
1. Dokumenti zakona PSTI:
①Režim Združenega kraljestva glede varnosti izdelkov in telekomunikacijske infrastrukture (varnost izdelkov).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Product Security and Telecommunications Infrastructure Act 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Predpisi o varnosti izdelkov in telekomunikacijski infrastrukturi (varnostne zahteve za ustrezne povezljive izdelke) 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Predlog zakona je razdeljen na dva dela:
1. del: V zvezi z zahtevami glede varnosti izdelkov
Osnutek uredbe o varnosti izdelkov in telekomunikacijski infrastrukturi (varnostne zahteve za povezane povezane izdelke), ki ga je vlada Združenega kraljestva uvedla leta 2023. Osnutek obravnava zahteve proizvajalcev, uvoznikov in distributerjev kot zavezanih subjektov in ima pravico do nalaganja glob. do 10 milijonov funtov ali 4 % globalnega prihodka podjetja za kršitelje. Podjetja, ki bodo še naprej kršila predpise, bodo kaznovana tudi z dodatnimi £20000 na dan.
2. del: Smernice za telekomunikacijsko infrastrukturo, razvite za pospešitev namestitve, uporabe in nadgradnje takšne opreme
Ta razdelek od proizvajalcev, uvoznikov in distributerjev interneta stvari zahteva, da izpolnjujejo posebne zahteve glede kibernetske varnosti. Podpira uvedbo širokopasovnih omrežij in omrežij 5G do gigabitov za zaščito državljanov pred tveganji, ki jih predstavljajo nevarne potrošniške povezane naprave.
Zakon o elektronskih komunikacijah določa pravico omrežnih operaterjev in ponudnikov infrastrukture do postavitve in vzdrževanja digitalne komunikacijske infrastrukture na javnih in zasebnih zemljiščih. Revizija zakona o elektronskih komunikacijah leta 2017 je pocenila in olajšala postavitev, vzdrževanje in nadgradnjo digitalne infrastrukture. Novi ukrepi v zvezi s telekomunikacijsko infrastrukturo v osnutku predloga zakona PSTI temeljijo na revidiranem Zakonu o elektronskih komunikacijah iz leta 2017, ki bo pomagal zagotoviti zagon v prihodnost usmerjenih gigabitnih širokopasovnih omrežij in omrežij 5G.
Zakon PSTI dopolnjuje 1. del zakona o varnosti izdelkov in komunikacijski infrastrukturi iz leta 2022, ki določa minimalne varnostne zahteve za zagotavljanje izdelkov britanskim potrošnikom. Na podlagi ETSI EN 303 645 v2.1.1, razdelki 5.1-1, 5.1-2, 5.2-1 in 5.3-13 ter standardov ISO/IEC 29147:2018 so predlagani ustrezni predpisi in zahteve za gesla, minimalno varnost časovne cikle posodobitev in kako prijaviti varnostne težave.
Vključen obseg izdelka:
Povezani varnostni izdelki, kot so detektorji dima in megle, požarni detektorji in vratne ključavnice, povezane naprave za avtomatizacijo doma, pametni zvonci in alarmni sistemi, IoT bazne postaje in vozlišča, ki povezujejo več naprav, pametni pomočniki za dom, pametni telefoni, povezane kamere (IP in CCTV), nosljive naprave, povezani hladilniki, pralni stroji, zamrzovalniki, kavni avtomati, igralni krmilniki in drugi podobni izdelki.
Obseg izvzetih izdelkov:
Izdelki, ki se prodajajo na Severnem Irskem, pametni števci, polnilna mesta za električna vozila in medicinske naprave ter računalniški tablični računalniki, starejši od 14 let.
3. Standard ETSI EN 303 645 za varnost in zasebnost izdelkov IoT vključuje naslednjih 13 kategorij zahtev:
1) Univerzalna varnost privzetega gesla
2) Upravljanje in izvedba poročil o slabostih
3) Posodobitve programske opreme
4) Pametno varčevanje varnostnih parametrov
5) Varnost komunikacije
6) Zmanjšajte izpostavljenost napadalne površine
7) Varovanje osebnih podatkov
8) Integriteta programske opreme
9) Sposobnost sistema proti motnjam
10) Preverite telemetrične podatke sistema
11) Priročno za uporabnike, da izbrišejo osebne podatke
12) Poenostavite namestitev in vzdrževanje opreme
13) Preverite vhodne podatke
Zahteve za račun in ustrezna 2 standarda
Prepoved univerzalnih privzetih gesel – določbe 5.1-1 in 5.1-2 ETSI EN 303 645
Zahteve za izvajanje metod za upravljanje poročil o ranljivosti - ETSI EN 303 645 določbe 5.2-1
ISO/IEC 29147 (2018), klavzula 6.2
Zahtevajte preglednost v minimalnem časovnem ciklu varnostne posodobitve za izdelke – določba ETSI EN 303 645 5.3-13
PSTI zahteva, da izdelki izpolnjujejo zgornje tri varnostne standarde, preden jih lahko damo na trg. Proizvajalci, uvozniki in distributerji povezanih izdelkov morajo izpolnjevati varnostne zahteve tega zakona. Proizvajalci in uvozniki morajo zagotoviti, da so njihovi izdelki opremljeni z izjavo o skladnosti, in ukrepati v primeru neskladnosti, voditi evidenco preiskav itd. V nasprotnem primeru bodo kršitelji kaznovani z globo do 10 milijonov GBP ali 4 % globalnega prihodka podjetja.
4. PSTI Act in ETSI EN 303 645 Postopek testiranja:
1) Priprava vzorčnih podatkov
3 kompleti vzorcev, vključno z gostiteljem in dodatki, nešifrirano programsko opremo, uporabniškimi priročniki/specifikacijami/povezanimi storitvami in podatki o računu za prijavo
2) Vzpostavitev testnega okolja
Vzpostavite preskusno okolje na podlagi uporabniškega priročnika
3) Izvedba ocene varnosti omrežja:
Pregled dokumentov in tehnično testiranje, pregled vprašalnikov dobaviteljev in posredovanje povratnih informacij
4) Popravilo slabosti
Zagotavljanje svetovalnih storitev za odpravo težav s slabostmi
5) Predložite poročilo o oceni PSTI ali poročilo o oceni ETSIEN 303645
5. Kako dokazati skladnost z zahtevami zakona Združenega kraljestva o PSTI?
Minimalna zahteva je izpolnjevanje treh zahtev zakona PSTI v zvezi z gesli, cikli vzdrževanja programske opreme in poročanjem o ranljivostih ter predložitev tehničnih dokumentov, kot so ocenjevalna poročila za te zahteve, hkrati pa podati lastno izjavo o skladnosti. Predlagamo uporabo standarda ETSI EN 303 645 za oceno zakona Združenega kraljestva o PSTI. To je tudi najboljša priprava na obvezno izvajanje zahtev kibernetske varnosti direktive EU CE RED s 1. avgustom 2025!
BTF Testing Lab je testna ustanova, ki jo je akreditirala Kitajska nacionalna akreditacijska služba za oceno skladnosti (CNAS), številka: L17568. Po letih razvoja ima BTF laboratorij za elektromagnetno združljivost, laboratorij za brezžično komunikacijo, laboratorij SAR, laboratorij za varnost, laboratorij za zanesljivost, laboratorij za testiranje baterij, kemijsko testiranje in druge laboratorije. Ima popolno elektromagnetno združljivost, radijsko frekvenco, varnost izdelkov, okoljsko zanesljivost, analizo napak materiala, ROHS/REACH in druge zmogljivosti testiranja. BTF Testing Lab je opremljen s profesionalnimi in popolnimi zmogljivostmi za testiranje, izkušeno ekipo strokovnjakov za testiranje in certificiranje ter zmožnostjo reševanja različnih zapletenih problemov testiranja in certificiranja. Držimo se vodilnih načel "pravičnosti, nepristranskosti, točnosti in strogosti" in dosledno upoštevamo zahteve sistema vodenja preskusnih in kalibracijskih laboratorijev ISO/IEC 17025 za znanstveno upravljanje. Zavezani smo k zagotavljanju storitev najvišje kakovosti strankam. Če imate kakršna koli vprašanja, se obrnite na nas kadar koli.
Čas objave: 16. januarja 2024
