Ison-Britannian 29. huhtikuuta 2023 julkaiseman Product Safety and Telecommunications Infrastructure Act 2023 -lain mukaan Yhdistynyt kuningaskunta aloittaa verkkoturvallisuusvaatimusten täytäntöönpanon liitettyjen kuluttajalaitteiden osalta 29. huhtikuuta 2024 alkaen Englannissa, Skotlannissa, Walesissa ja Pohjois-Irlannissa. Tähän mennessä siitä on kulunut vain hieman yli 3 kuukautta, ja Iso-Britannian markkinoille vievien suurten valmistajien on suoritettava PSTI-sertifiointi mahdollisimman pian varmistaakseen sujuvan pääsyn Yhdistyneen kuningaskunnan markkinoille. Odotettavissa on 12 kuukauden lisäaika ilmoituspäivästä käyttöönottoon asti.
1.PSTI-lakiasiakirjat:
①Ison-Britannian tuoteturvallisuus- ja televiestintäinfrastruktuurin (tuoteturvallisuus) järjestelmä.
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Tuoteturvallisuus- ja televiestintäinfrastruktuurilaki 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Tuoteturvallisuus- ja televiestintäinfrastruktuuria (Relevant Connectable Products -turvallisuusvaatimukset) koskevat määräykset 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Lakiesitys on jaettu kahteen osaan:
Osa 1: Tuoteturvallisuusvaatimukset
Yhdistyneen kuningaskunnan hallituksen vuonna 2023 esittämä luonnos tuoteturvallisuutta ja televiestintäinfrastruktuuria koskevaksi asetukseksi (turvavaatimukset liitetyille tuotteille). Luonnos vastaa valmistajien, maahantuojien ja jakelijoiden velvollisuuksina esittämiin vaatimuksiin, ja siinä on oikeus määrätä sakkoja. jopa 10 miljoonaa puntaa tai 4 % yrityksen maailmanlaajuisista tuloista rikkojista. Yrityksille, jotka jatkavat säännösten rikkomista, määrätään lisäksi 20 000 punnan päiväsakko.
Osa 2: Tietoliikenneinfrastruktuurin ohjeet, jotka on kehitetty nopeuttamaan tällaisten laitteiden asennusta, käyttöä ja päivitystä
Tämä osio edellyttää, että IoT-valmistajat, maahantuojat ja jakelijat noudattavat tiettyjä kyberturvallisuusvaatimuksia. Se tukee laajakaista- ja 5G-verkkojen käyttöönottoa gigabitteihin asti kansalaisten suojelemiseksi vaarallisten kuluttajiin kytkettyjen laitteiden aiheuttamilta riskeiltä.
Sähköistä viestintää koskevassa laissa säädetään verkko-operaattoreiden ja infrastruktuurin tarjoajien oikeudesta asentaa ja ylläpitää digitaalista viestintäinfrastruktuuria julkiselle ja yksityiselle maalle. Sähköisen viestinnän lain uudistus vuonna 2017 teki digitaalisen infrastruktuurin käyttöönotosta, ylläpidosta ja päivittämisestä halvempaa ja helpompaa. PSTI-lakiluonnoksen uudet tietoliikenneinfrastruktuuriin liittyvät toimenpiteet perustuvat vuoden 2017 uudistettuun sähköisen viestinnän lakiin, joka auttaa varmistamaan tulevaisuuteen suuntautuneiden gigabitin laajakaista- ja 5G-verkkojen käynnistämisen.
PSTI-laki täydentää vuoden 2022 Product Security and Communication Infrastructure Act -lain osaa 1, jossa määritellään vähimmäisturvavaatimukset tuotteiden tarjoamiselle brittiläisille kuluttajille. ETSI EN 303 645 v2.1.1, osioiden 5.1-1, 5.1-2, 5.2-1 ja 5.3-13 sekä ISO/IEC 29147:2018 -standardien perusteella ehdotetaan vastaavia määräyksiä ja vaatimuksia salasanoille, vähimmäisturvallisuudelle päivitysaikajaksot ja tietoturvaongelmien ilmoittaminen.
Mukana oleva tuotevalikoima:
Yhdistetyt tietoturvaan liittyvät tuotteet, kuten savu- ja sumuilmaisimet, palovaroittimet ja ovien lukot, liitetyt kodin automaatiolaitteet, älykkäät ovikellot ja hälytysjärjestelmät, IoT-tukiasemat ja useita laitteita yhdistävät keskittimet, älykodin avustajat, älypuhelimet, liitetyt kamerat (IP ja CCTV), puettavat laitteet, liitetyt jääkaapit, pesukoneet, pakastimet, kahvinkeittimet, peliohjaimet ja muut vastaavat tuotteet.
Vapautettujen tuotteiden laajuus:
Pohjois-Irlannissa myytävät tuotteet, älymittarit, sähköajoneuvojen latauspisteet ja lääkinnälliset laitteet sekä yli 14 vuotta vanhoja tietokonetabletteja.
3.IoT-tuotteiden tietoturvaa ja yksityisyyttä koskeva ETSI EN 303 645 -standardi sisältää seuraavat 13 vaatimusluokkaa:
1) Universaali oletussalasanan suojaus
2) Heikkousraporttien hallinta ja toteutus
3) Ohjelmistopäivitykset
4) Älykäs turvaparametrien tallennus
5) Viestinnän turvallisuus
6) Vähennä hyökkäyspinnan altistumista
7) Henkilötietojen suojaaminen
8) Ohjelmiston eheys
9) Järjestelmän häiriöntorjuntakyky
10) Tarkista järjestelmän telemetriatiedot
11) Kätevä käyttäjien poistaa henkilökohtaisia tietoja
12) Yksinkertaistaa laitteiden asennusta ja huoltoa
13) Tarkista syöttötiedot
Laskuvaatimukset ja vastaavat 2 standardia
Estä yleiset oletussalasanat - ETSI EN 303 645 säännökset 5.1-1 ja 5.1-2
Vaatimukset haavoittuvuusraporttien hallintamenetelmien käyttöönottoon - ETSI EN 303 645 säännökset 5.2-1
ISO/IEC 29147 (2018) lauseke 6.2
Vaadi läpinäkyvyyttä tuotteiden vähimmäistietoturvapäivitysjaksossa - ETSI EN 303 645 -säännös 5.3-13
PSTI edellyttää, että tuotteet täyttävät edellä mainitut kolme turvallisuusstandardia ennen kuin ne voidaan saattaa markkinoille. Muihin liittyvien tuotteiden valmistajien, maahantuojien ja jakelijoiden on noudatettava tämän lain turvallisuusvaatimuksia. Valmistajien ja maahantuojien on varmistettava, että heidän tuotteidensa mukana tulee vaatimustenmukaisuuslausunto, ja ryhdyttävä toimiin, jos vaatimustenmukaisuus epäonnistuu, ja säilytettävä tutkimusasiakirjoja jne. Muussa tapauksessa rikkojille määrätään jopa 10 miljoonan punnan sakko tai 4 % yrityksen kokonaistuloista.
4. PSTI-laki ja ETSI EN 303 645 -testausprosessi:
1) Näytetietojen valmistelu
3 näytesarjaa, mukaan lukien isäntä ja lisävarusteet, salaamaton ohjelmisto, käyttöoppaat/erittelyt/liittyvät palvelut ja kirjautumistilitiedot
2) Testiympäristön perustaminen
Luo testausympäristö käyttöoppaan perusteella
3) Verkon suojauksen arvioinnin suorittaminen:
Asiakirjojen tarkistus ja tekninen testaus, toimittajien kyselylomakkeiden tarkastus ja palautteen antaminen
4) Heikkouden korjaus
Tarjoa konsulttipalveluita heikkouksien korjaamiseksi
5) Toimita PSTI-arviointiraportti tai ETSIEN 303645 -arviointiraportti
5.Kuinka todistaa Yhdistyneen kuningaskunnan PSTI-lain vaatimusten noudattaminen?
Vähimmäisvaatimus on täyttää PSTI-lain kolme vaatimusta koskien salasanoja, ohjelmistojen ylläpitojaksoja ja haavoittuvuusraportointia ja toimittaa teknisiä asiakirjoja, kuten arviointiraportteja näistä vaatimuksista, sekä antaa itsevakuutus vaatimustenmukaisuudesta. Suosittelemme käyttämään ETSI EN 303 645 -standardia Yhdistyneen kuningaskunnan PSTI-lain arvioinnissa. Tämä on myös paras valmistautuminen EU CE RED -direktiivin kyberturvallisuusvaatimusten pakolliseen toimeenpanoon 1.8.2025 alkaen!
BTF Testing Lab on Kiinan kansallisen vaatimustenmukaisuuden arvioinnin akkreditointipalvelun (CNAS) akkreditoima testauslaitos, numero: L17568. Vuosien kehitystyön jälkeen BTF:llä on sähkömagneettisen yhteensopivuuden laboratorio, langattoman viestinnän laboratorio, SAR-laboratorio, turvallisuuslaboratorio, luotettavuuslaboratorio, akun testauslaboratorio, kemiallinen testaus ja muut laboratoriot. Siinä on täydellinen sähkömagneettinen yhteensopivuus, radiotaajuus, tuoteturvallisuus, ympäristöluotettavuus, materiaalivikojen analyysi, ROHS/REACH ja muut testausominaisuudet. BTF Testing Lab on varustettu ammattimaisilla ja täydellisillä testaustiloilla, kokeneella testaus- ja sertifiointiasiantuntijoiden tiimillä sekä kyvyllä ratkaista erilaisia monimutkaisia testaus- ja sertifiointiongelmia. Noudatamme "oikeudenmukaisuuden, puolueettomuuden, tarkkuuden ja kurinalaisuuden" ohjaavia periaatteita ja noudatamme tiukasti ISO/IEC 17025 -testaus- ja kalibrointilaboratorion hallintajärjestelmän tieteellisen hallinnan vaatimuksia. Olemme sitoutuneet tarjoamaan asiakkaillemme korkealaatuista palvelua. Jos sinulla on kysyttävää, ota meihin yhteyttä milloin tahansa.
Postitusaika: 16.1.2024
