V skladu z Zakonom o varnosti izdelkov in telekomunikacijski infrastrukturi iz leta 2023 (PSTI), ki ga je Združeno kraljestvo izdalo 29. aprila 2023, bo Združeno kraljestvo od 29. aprila 2024 začelo uveljavljati zahteve glede varnosti omrežja za povezane potrošniške naprave, ki veljajo za Anglijo, Škotsko, Wales in Severno Irsko. Podjetja, ki kršijo pravila, bodo kaznovana z denarno kaznijo do 10 milijonov funtov ali 4 % svojih svetovnih prihodkov.
1. Uvod v zakon PSTI:
Politika varnosti izdelkov Consumer Connect v Združenem kraljestvu bo začela veljati in se bo začela izvajati 29. aprila 2024. Od tega datuma bo zakon od proizvajalcev izdelkov, ki jih je mogoče povezati z britanskimi potrošniki, zahteval, da izpolnjujejo minimalne varnostne zahteve. Te minimalne varnostne zahteve temeljijo na Smernicah varnostne prakse za potrošniški internet stvari v Združenem kraljestvu, vodilnem svetovnem varnostnem standardu za internet stvari za potrošnike ETSI EN 303 645 in priporočilih avtoritativnega organa Združenega kraljestva za tehnologijo kibernetskih groženj, Nacionalnega centra za kibernetsko varnost. Ta sistem bo tudi zagotovil, da imajo druga podjetja v dobavni verigi teh izdelkov vlogo pri preprečevanju prodaje nevarnega potrošniškega blaga britanskim potrošnikom in podjetjem.
Ta sistem vključuje dva dela zakonodaje:
1) 1. del Zakona o varnosti izdelkov in telekomunikacijski infrastrukturi (PSTI) iz leta 2022;
2) Zakon o varnosti izdelkov in telekomunikacijski infrastrukturi (varnostne zahteve za povezane povezane izdelke) iz leta 2023.
2. Zakon o PSTI zajema paleto izdelkov:
1) Paleta izdelkov pod nadzorom PSTI:
Vključuje, vendar ni omejeno na izdelke, povezane z internetom. Tipični izdelki vključujejo: pametno televizijo, IP kamero, usmerjevalnik, inteligentno razsvetljavo in gospodinjske izdelke.
2) Izdelki izven obsega nadzora PSTI:
Vključno z računalniki (a) namizni računalniki; (b) prenosni računalnik; (c) Tablični računalniki, ki se ne morejo povezati z mobilnimi omrežji (zasnovani posebej za otroke, mlajše od 14 let, glede na predvideno uporabo proizvajalca, niso izjema), medicinski izdelki, izdelki pametnih števcev, polnilniki za električna vozila in Bluetooth -izdelki za povezavo na enem. Upoštevajte, da imajo lahko ti izdelki tudi zahteve glede kibernetske varnosti, vendar niso zajeti v zakonu PSTI in jih lahko urejajo drugi zakoni.
3. Tri ključne točke, ki jih mora upoštevati zakon PSTI:
Predlog zakona PSTI vključuje dva glavna dela: zahteve glede varnosti izdelkov in smernice za telekomunikacijsko infrastrukturo. Za varnost izdelka je treba posebno pozornost nameniti trem ključnim točkam:
1) Zahteve za geslo, ki temeljijo na regulativnih določbah 5.1-1, 5.1-2. Zakon PSTI prepoveduje uporabo univerzalnih privzetih gesel. To pomeni, da mora izdelek nastaviti edinstveno privzeto geslo ali zahtevati, da uporabniki nastavijo geslo ob prvi uporabi.
2) Težave z upravljanjem varnosti. Na podlagi regulativnih določb 5.2-1 morajo proizvajalci razviti in javno razkriti politike razkritja ranljivosti, da zagotovijo, da lahko posamezniki, ki odkrijejo ranljivosti, obvestijo proizvajalce in zagotovijo, da lahko proizvajalci takoj obvestijo stranke in zagotovijo ukrepe za popravilo.
3) Cikel varnostnih posodobitev, ki temelji na regulativnih določbah 5.3–13, morajo proizvajalci pojasniti in razkriti najkrajše časovno obdobje, v katerem bodo zagotovili varnostne posodobitve, da lahko potrošniki razumejo obdobje podpore za varnostne posodobitve svojih izdelkov.
4. Zakon o PSTI in postopek testiranja ETSI EN 303 645:
1) Priprava vzorčnih podatkov: 3 sklopi vzorcev, vključno z gostiteljem in dodatki, nešifrirano programsko opremo, uporabniškimi priročniki/specifikacijami/povezanimi storitvami in podatki o računu za prijavo
2) Vzpostavitev testnega okolja: Vzpostavite testno okolje v skladu z uporabniškim priročnikom
3) Izvedba ocene varnosti omrežja: pregled datotek in tehnično testiranje, preverjanje vprašalnikov dobaviteljev in zagotavljanje povratnih informacij
4) Popravilo slabosti: Zagotovite svetovalne storitve za odpravo težav s šibkostjo
5) Predložite poročilo o oceni PSTI ali poročilo o oceni ETSI EN 303645
5. Dokumenti zakona o PSTI:
1)Režim Združenega kraljestva glede varnosti izdelkov in telekomunikacijske infrastrukture (varnost izdelkov).
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2)Zakon o varnosti izdelkov in telekomunikacijski infrastrukturi iz leta 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Predpisi o varnosti izdelkov in telekomunikacijski infrastrukturi (varnostne zahteve za ustrezne povezljive izdelke) 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Do tega trenutka sta manj kot 2 meseca. Priporočljivo je, da večji proizvajalci, ki izvažajo na trg Združenega kraljestva, čim prej dokončajo certifikacijo PSTI, da zagotovijo nemoten vstop na trg Združenega kraljestva.
Čas objave: mar-11-2024
