Tuoteturvallisuutta ja televiestintäinfrastruktuuria koskevan lain 2023 mukaisesti (PSTI), jonka Iso-Britannia julkaisi 29. huhtikuuta 2023, Yhdistynyt kuningaskunta aloittaa verkkoturvallisuusvaatimusten täytäntöönpanon liitetyille kuluttajalaitteille 29. huhtikuuta 2024 alkaen, ja niitä sovelletaan Englantiin, Skotlantiin, Walesiin ja Pohjois-Irlantiin. Sääntöjä rikkovat yritykset saavat sakkoja, jotka ovat enintään 10 miljoonaa puntaa tai 4 prosenttia niiden maailmanlaajuisista tuloista.
1. Johdatus PSTI-lakiin:
Yhdistyneen kuningaskunnan Consumer Connect -tuoteturvallisuuspolitiikka tulee voimaan ja astuu voimaan 29. huhtikuuta 2024. Tästä päivästä alkaen laki edellyttää brittiläisiin kuluttajiin liitettävien tuotteiden valmistajien noudattavan turvallisuutta koskevia vähimmäisvaatimuksia. Nämä vähimmäisturvavaatimukset perustuvat Yhdistyneen kuningaskunnan esineiden internetin turvakäytännön ohjeisiin, maailmanlaajuisesti johtavaan esineiden internetin kuluttajastandardiin ETSI EN 303 645 sekä Yhdistyneen kuningaskunnan toimivaltaisen kyberuhkateknologiaelimen, National Cybersecurity Centerin, suosituksiin. Tällä järjestelmällä varmistetaan myös, että muut näiden tuotteiden toimitusketjun yritykset osallistuvat estämään vaarallisten kulutustavaroiden myymisen brittiläisille kuluttajille ja yrityksille.
Tämä järjestelmä sisältää kaksi lainsäädäntöä:
1) Vuoden 2022 tuoteturvallisuus- ja televiestintäinfrastruktuurilain (PSTI) osa 1;
2) Vuoden 2023 tuoteturvallisuus- ja televiestintäinfrastruktuurilaki (turvallisuusvaatimukset liittyville yhdistetyille tuotteille).
2. PSTI-laki kattaa tuotevalikoiman:
1) PSTI-ohjattu tuotevalikoima:
Se sisältää, mutta ei rajoittuen, Internetiin yhdistetyt tuotteet. Tyypillisiä tuotteita ovat: älytelevisio, IP-kamera, reititin, älykäs valaistus ja kotitaloustuotteet.
2) Tuotteet, jotka eivät kuulu PSTI-valvonnan piiriin:
Mukaan lukien tietokoneet a) pöytätietokoneet; b) kannettava tietokone; (c) Tabletit, joilla ei voi muodostaa yhteyttä matkapuhelinverkkoihin (suunniteltu erityisesti alle 14-vuotiaille lapsille valmistajan käyttötarkoituksen mukaan, ei poikkeus), lääketieteelliset tuotteet, älymittarit, sähköajoneuvojen laturit ja Bluetooth -on-one-yhteystuotteet. Huomaa, että näillä tuotteilla voi olla myös kyberturvallisuusvaatimuksia, mutta ne eivät kuulu PSTI-lain piiriin ja niitä voivat säännellä muut lait.
3. Kolme keskeistä kohtaa, joita PSTI-laissa on noudatettava:
PSTI-laki sisältää kaksi suurta osaa: tuoteturvallisuusvaatimukset ja tietoliikenneinfrastruktuuriohjeet. Tuoteturvallisuuden kannalta on kolme keskeistä seikkaa, joihin on kiinnitettävä erityistä huomiota:
1) Salasanavaatimukset, jotka perustuvat säännöksiin 5.1-1, 5.1-2. PSTI-laki kieltää yleisten oletussalasanojen käytön. Tämä tarkoittaa, että tuotteen on asetettava yksilöllinen oletussalasana tai vaadittava käyttäjiä asettamaan salasana ensimmäisen käyttökerran yhteydessä.
2) Sääntelysäännösten 5.2-1 perusteella valmistajien on kehitettävä ja julkistettava haavoittuvuuksien paljastamiskäytännöt turvallisuuden hallintaan liittyvissä kysymyksissä varmistaakseen, että haavoittuvuuksia löytäneet henkilöt voivat ilmoittaa niistä valmistajille ja varmistaa, että valmistajat voivat ilmoittaa asiasta asiakkaille viipymättä ja tarjota korjaustoimenpiteitä.
3) Turvallisuuspäivityssykli, joka perustuu säännösten kohtiin 5.3-13, valmistajien on selvennettävä ja julkistettava lyhin aika, jonka he toimittavat turvallisuuspäivitykset, jotta kuluttajat ymmärtävät tuotteidensa turvallisuuspäivitysten tukijakson.
4. PSTI-laki ja ETSI EN 303 645 -testausprosessi:
1) Esimerkkitietojen valmistelu: 3 näytesarjaa, mukaan lukien isäntä ja lisävarusteet, salaamaton ohjelmisto, käyttöoppaat/erittelyt/liittyvät palvelut ja kirjautumistilin tiedot
2) Testiympäristön perustaminen: Luo testiympäristö käyttöoppaan mukaisesti
3) Verkkoturvallisuuden arvioinnin suorittaminen: tiedostojen tarkistus ja tekninen testaus, toimittajien kyselylomakkeiden tarkistaminen ja palautteen antaminen
4) Heikkouksien korjaaminen: Tarjoa konsulttipalveluita heikkouksien korjaamiseksi
5) Toimita PSTI-arviointiraportti tai ETSI EN 303645 -arviointiraportti
5. PSTI-lakiasiakirjat:
1) Yhdistyneen kuningaskunnan tuoteturvallisuutta ja televiestintäinfrastruktuuria koskeva järjestelmä (tuoteturvallisuus).
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) Tuoteturvallisuus- ja televiestintäinfrastruktuurilaki 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Tuotteen tietoturva- ja televiestintäinfrastruktuuria koskevat määräykset (turvavaatimukset asiaankuuluville yhdistettäville tuotteille) 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Toistaiseksi siihen on alle 2 kuukautta. On suositeltavaa, että suuret valmistajat, jotka vievät vientiä Yhdistyneen kuningaskunnan markkinoille, täyttävät PSTI-sertifioinnin mahdollisimman pian varmistaakseen sujuvan pääsyn Yhdistyneen kuningaskunnan markkinoille.
Postitusaika: 11.3.2024
