A termékbiztonságról és a távközlési infrastruktúráról szóló 2023. évi törvény szerint (PSTI) az Egyesült Királyság által 2023. április 29-én kiadott, az Egyesült Királyság 2024. április 29-től kezdi meg a hálózati biztonsági követelmények betartatását a csatlakoztatott fogyasztói eszközökre vonatkozóan, amelyek Angliára, Skóciára, Walesre és Észak-Írországra vonatkoznak. A jogsértő cégeket akár 10 millió fontig vagy globális bevételük 4%-áig terjedő pénzbírsággal sújthatják.
1. Bevezetés a PSTI-törvénybe:
Az Egyesült Királyság Consumer Connect termékbiztonsági szabályzata 2024. április 29-én lép hatályba és lép hatályba. Ettől a dátumtól kezdve a törvény előírja a brit fogyasztókhoz csatlakoztatható termékek gyártóinak, hogy megfeleljenek a minimális biztonsági követelményeknek. Ezek a minimális biztonsági követelmények az Egyesült Királyság fogyasztói tárgyak internete biztonsági gyakorlati irányelvein, a világ vezető fogyasztói tárgyak internete biztonsági szabványán, az ETSI EN 303 645 szabványon, valamint az Egyesült Királyság kiberfenyegetések technológiájával foglalkozó tekintélyes testülete, a National Cybersecurity Center ajánlásain alapulnak. Ez a rendszer azt is biztosítani fogja, hogy az e termékek ellátási láncában részt vevő többi vállalkozás szerepet játsszon a nem biztonságos fogyasztási cikkek brit fogyasztóknak és vállalkozásoknak történő értékesítésének megakadályozásában.
Ez a rendszer két jogszabályt tartalmaz:
1) A termékbiztonságról és a távközlési infrastruktúráról (PSTI) szóló 2022. évi törvény 1. része;
2) A termékbiztonságról és a távközlési infrastruktúráról (a kapcsolódó kapcsolódó termékekre vonatkozó biztonsági követelmények) szóló 2023. évi törvény.
2. A PSTI-törvény a következő termékekre terjed ki:
1) PSTI által vezérelt termékcsalád:
Ez magában foglalja, de nem kizárólagosan, az internethez kapcsolódó termékeket. Tipikus termékek: okostévé, IP-kamera, útválasztó, intelligens világítás és háztartási termékek.
2) A PSTI ellenőrzési körén kívül eső termékek:
Beleértve a számítógépeket a) asztali számítógépek; b) laptop számítógép; (c) Mobilhálózathoz való csatlakozásra nem képes táblagépek (kifejezetten 14 év alatti gyermekek számára a gyártó rendeltetésének megfelelően, nem kivétel), orvosi termékek, intelligens mérőeszközök, elektromos járműtöltők és Bluetooth egy -on-one csatlakozási termékek. Felhívjuk figyelmét, hogy ezeknek a termékeknek kiberbiztonsági követelményei is lehetnek, de nem tartoznak rájuk a PSTI-törvény hatálya alá, és más törvények is szabályozhatják őket.
3. Három kulcsfontosságú pont, amelyet a PSTI-törvénynek követnie kell:
A PSTI törvényjavaslat két fő részből áll: a termékbiztonsági követelményekről és a távközlési infrastruktúra irányelveiről. A termékbiztonság érdekében három kulcsfontosságú pontra kell különös figyelmet fordítani:
1) Jelszókövetelmények, az 5.1-1, 5.1-2 szabályozási rendelkezések alapján. A PSTI törvény tiltja az univerzális alapértelmezett jelszavak használatát. Ez azt jelenti, hogy a terméknek egyedi alapértelmezett jelszót kell beállítania, vagy meg kell kérnie a felhasználóktól, hogy az első használatkor jelszót állítsanak be.
2) Biztonságkezelési kérdések, az 5.2-1 szabályozási rendelkezések alapján a gyártóknak ki kell dolgozniuk és nyilvánosságra kell hozniuk a sebezhetőségre vonatkozó közzétételi szabályzatot annak biztosítása érdekében, hogy a sebezhetőséget felfedező egyének értesíthessék a gyártókat, és hogy a gyártók azonnal értesíthessék az ügyfeleket, és javítási intézkedéseket tegyenek.
3) A biztonsági frissítési ciklus, amely az 5.3-13 szabályozási rendelkezéseken alapul, a gyártóknak pontosítaniuk kell és nyilvánosságra kell hozniuk azt a legrövidebb időtartamot, amelyet a biztonsági frissítések nyújtására bocsátanak, hogy a fogyasztók megértsék termékeik biztonsági frissítésének támogatási időszakát.
4. PSTI törvény és ETSI EN 303 645 tesztelési folyamat:
1) Mintaadatok előkészítése: 3 mintakészlet, beleértve a gazdagépet és a tartozékokat, a titkosítatlan szoftvereket, a felhasználói kézikönyveket/specifikációkat/kapcsolódó szolgáltatásokat és a bejelentkezési fiók adatait
2) Tesztkörnyezet létrehozása: Hozzon létre egy tesztkörnyezetet a felhasználói kézikönyv szerint
3) Hálózatbiztonsági felmérés végrehajtása: fájlok áttekintése és műszaki tesztelése, beszállítói kérdőívek ellenőrzése és visszajelzés
4) Gyengeségek javítása: Tanácsadó szolgáltatásokat nyújtani a gyengeségek javításához
5) PSTI értékelési jelentés vagy ETSI EN 303645 értékelő jelentés benyújtása
5. PSTI-törvény dokumentumok:
1) Az Egyesült Királyság termékbiztonsági és távközlési infrastruktúrájának (termékbiztonsági) rendszere.
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) A termékbiztonságról és a távközlési infrastruktúráról szóló 2022. évi törvény
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) A termékbiztonsági és távközlési infrastruktúrára vonatkozó (a vonatkozó összekapcsolható termékek biztonsági követelményei) 2023. évi szabályzata
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Egyelőre kevesebb, mint 2 hónap van hátra. Javasoljuk, hogy az Egyesült Királyság piacára exportáló nagyobb gyártók a lehető leghamarabb teljesítsék a PSTI tanúsítványt, hogy biztosítsák a zökkenőmentes belépést az Egyesült Királyság piacára.
Feladás időpontja: 2024. március 11
