D'acord amb la Llei de seguretat dels productes i infraestructures de telecomunicacions de 2023 (PSTI) emesa pel Regne Unit el 29 d'abril de 2023, el Regne Unit començarà a fer complir els requisits de seguretat de la xarxa per als dispositius de consum connectats a partir del 29 d'abril de 2024, aplicables a Anglaterra, Escòcia, Gal·les i Irlanda del Nord. Les empreses infractores s'enfrontaran a multes de fins a 10 milions de lliures esterlines o el 4% dels seus ingressos globals.
1. Introducció a la Llei PSTI:
La política de seguretat dels productes Consumer Connect del Regne Unit entrarà en vigor i s'aplicarà el 29 d'abril de 2024. A partir d'aquesta data, la llei exigirà que els fabricants de productes que es puguin connectar a consumidors britànics compleixin els requisits mínims de seguretat. Aquests requisits mínims de seguretat es basen en les Directrius de pràctiques de seguretat de l'Internet de les coses per al consumidor del Regne Unit, l'estàndard de seguretat de l'Internet de les coses per als consumidors líder a nivell mundial ETSI EN 303 645 i les recomanacions de l'organisme autoritzat del Regne Unit per a la tecnologia de ciberamenaces, el National Cybersecurity Center. Aquest sistema també garantirà que altres empreses de la cadena de subministrament d'aquests productes tinguin un paper en la prevenció de la venda de béns de consum insegurs a consumidors i empreses britàniques.
Aquest sistema inclou dues lleis:
1) Part 1 de la Llei de seguretat dels productes i infraestructures de telecomunicacions (PSTI) de 2022;
2) Llei de 2023 sobre seguretat del producte i infraestructures de telecomunicacions (requisits de seguretat per a productes connectats relacionats).
2. La Llei PSTI cobreix la gamma de productes:
1) Gamma de productes controlats per PSTI:
Inclou, però no es limita a, productes connectats a Internet. Els productes típics inclouen: televisió intel·ligent, càmera IP, encaminador, il·luminació intel·ligent i productes per a la llar.
2) Productes fora de l'àmbit del control PSTI:
Inclosos ordinadors (a) ordinadors de sobretaula; (b) Ordinador portàtil; (c) Tauletes que no tenen la capacitat de connectar-se a xarxes cel·lulars (dissenyades específicament per a nens menors de 14 anys segons l'ús previst del fabricant, no una excepció), productes mèdics, productes de comptador intel·ligent, carregadors de vehicles elèctrics i Bluetooth. - productes de connexió en un. Tingueu en compte que aquests productes també poden tenir requisits de ciberseguretat, però no estan coberts per la Llei PSTI i poden estar regulats per altres lleis.
3. Tres punts clau que ha de seguir la Llei PSTI:
El projecte de llei PSTI inclou dues parts principals: requisits de seguretat dels productes i directrius d'infraestructura de telecomunicacions. Per a la seguretat del producte, hi ha tres punts clau que necessiten una atenció especial:
1) Requisits de contrasenya, basats en les disposicions normatives 5.1-1, 5.1-2. La Llei PSTI prohibeix l'ús de contrasenyes predeterminades universals. Això vol dir que el producte ha d'establir una contrasenya predeterminada única o requerir que els usuaris estableixin una contrasenya el primer ús.
2) Problemes de gestió de seguretat, basant-se en les disposicions reguladores 5.2-1, els fabricants han de desenvolupar i divulgar públicament polítiques de divulgació de vulnerabilitats per garantir que les persones que descobreixen vulnerabilitats puguin notificar els fabricants i garantir que els fabricants puguin notificar ràpidament als clients i proporcionar mesures de reparació.
3) El cicle d'actualització de seguretat, basat en les disposicions reglamentàries 5.3-13, els fabricants han d'aclarir i revelar el període de temps més curt en què proporcionaran actualitzacions de seguretat, de manera que els consumidors puguin entendre el període de suport d'actualització de seguretat dels seus productes.
4. PSTI Act i ETSI EN 303 645 Procés de prova:
1) Preparació de dades de mostra: 3 conjunts de mostres que inclouen amfitrió i accessoris, programari sense xifrar, manuals d'usuari/especificacions/serveis relacionats i informació del compte d'inici de sessió
2) Establiment de l'entorn de prova: establiu un entorn de prova segons el manual d'usuari
3) Execució de l'avaluació de la seguretat de la xarxa: revisió de fitxers i proves tècniques, comprovació de qüestionaris de proveïdors i aportació de comentaris
4) Reparació de debilitats: proporcioneu serveis de consultoria per solucionar problemes de debilitat
5) Proporcioneu un informe d'avaluació PSTI o un informe d'avaluació ETSI EN 303645
5. Documents de la Llei PSTI:
1) El règim de seguretat del producte i infraestructures de telecomunicacions del Regne Unit (seguretat del producte).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2) Llei de Seguretat del Producte i Infraestructura de Telecomunicacions de 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) La normativa de 2023 sobre seguretat del producte i infraestructura de telecomunicacions (requisits de seguretat per a productes connectables rellevants)
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
A hores d'ara, falten menys de 2 mesos. Es recomana que els principals fabricants que exporten al mercat del Regne Unit completin la certificació PSTI tan aviat com sigui possible per garantir una entrada fluida al mercat del Regne Unit.
Hora de publicació: 11-mar-2024
