Съгласно Закона за безопасността на продуктите и телекомуникационната инфраструктура от 2023 г. (PSTI), издаден от Обединеното кралство на 29 април 2023 г., Обединеното кралство ще започне да прилага изисквания за мрежова сигурност за свързаните потребителски устройства от 29 април 2024 г., приложими за Англия, Шотландия, Уелс и Северна Ирландия. Компаниите нарушители ще бъдат изправени пред глоби до £10 милиона или 4% от глобалните си приходи.
1. Въведение в Закона за PSTI:
Политиката за безопасност на продуктите на Consumer Connect в Обединеното кралство ще влезе в сила и ще се прилага на 29 април 2024 г. От тази дата законът ще изисква производителите на продукти, които могат да бъдат свързани с британски потребители, да спазват минималните изисквания за безопасност. Тези минимални изисквания за сигурност се основават на Практическите указания за сигурност на потребителите в Интернет на нещата в Обединеното кралство, водещия в световен мащаб потребителски стандарт за сигурност в Интернет на нещата ETSI EN 303 645 и препоръки от авторитетния орган на Обединеното кралство за технологии за киберзаплахи, Националния център за киберсигурност. Тази система също така ще гарантира, че други предприятия във веригата за доставки на тези продукти играят роля в предотвратяването на продажбата на опасни потребителски стоки на британски потребители и предприятия.
Тази система включва два законодателни акта:
1) Част 1 от Закона за безопасността на продуктите и телекомуникационната инфраструктура (PSTI) от 2022 г.;
2) Законът за сигурността на продуктите и телекомуникационната инфраструктура (изисквания за сигурност за свързани свързани продукти) от 2023 г.
2. Законът за PSTI обхваща продуктовата гама:
1) Продуктова гама, контролирана от PSTI:
То включва, но не се ограничава до продукти, свързани с интернет. Типичните продукти включват: смарт телевизор, IP камера, рутер, интелигентно осветление и домакински продукти.
2) Продукти извън обхвата на PSTI контрола:
Включително компютри (а) настолни компютри; б) преносим компютър; (c) Таблети, които нямат възможност за свързване към клетъчни мрежи (предназначени специално за деца под 14 години според предвидената употреба на производителя, не са изключение), медицински продукти, продукти за интелигентни измервателни уреди, зарядни устройства за електрически превозни средства и Bluetooth -on-one продукти за свързване. Моля, имайте предвид, че тези продукти може също да имат изисквания за киберсигурност, но не са обхванати от Закона за PSTI и може да се регулират от други закони.
3. Три ключови точки, които трябва да бъдат следвани от Закона за PSTI:
Законопроектът за PSTI включва две основни части: изисквания за безопасност на продуктите и насоки за телекомуникационна инфраструктура. За безопасността на продукта има три ключови точки, на които трябва да се обърне специално внимание:
1) Изисквания за парола, базирани на регулаторни разпоредби 5.1-1, 5.1-2. Законът за PSTI забранява използването на универсални пароли по подразбиране. Това означава, че продуктът трябва да зададе уникална парола по подразбиране или да изисква от потребителите да зададат парола при първото си използване.
2) Проблеми с управлението на сигурността, въз основа на регулаторни разпоредби 5.2-1, производителите трябва да разработят и публично да разкрият политики за разкриване на уязвимости, за да гарантират, че лицата, които открият уязвимости, могат да уведомят производителите и да гарантират, че производителите могат незабавно да уведомят клиентите и да предоставят мерки за поправка.
3) Цикълът на актуализация на безопасността, въз основа на регулаторни разпоредби 5.3-13, производителите трябва да изяснят и разкрият най-краткия период от време, в който ще предоставят актуализации на безопасността, така че потребителите да могат да разберат периода на поддръжка на актуализацията на безопасността на техните продукти.
4. PSTI Act и ETSI EN 303 645 Процес на тестване:
1) Подготовка на примерни данни: 3 комплекта проби, включително хост и аксесоари, некриптиран софтуер, ръководства за потребителя/спецификации/свързани услуги и информация за акаунт за влизане
2) Създаване на тестова среда: Създайте тестова среда според ръководството за потребителя
3) Изпълнение на оценка на сигурността на мрежата: преглед на файла и техническо тестване, проверка на въпросниците на доставчиците и предоставяне на обратна връзка
4) Ремонт на слабости: Осигурете консултантски услуги за отстраняване на проблеми със слабости
5) Предоставете доклад за оценка на PSTI или доклад за оценка на ETSI EN 303645
5. Документи от Закона за PSTI:
1)Режимът на Обединеното кралство за сигурност на продукта и телекомуникационна инфраструктура (сигурност на продукта).
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2)Закон за сигурността на продуктите и телекомуникационната инфраструктура от 2022 г
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Наредби за сигурността на продуктите и телекомуникационната инфраструктура (изисквания за сигурност за съответните продукти, които могат да се свързват) 2023 г.
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Към момента остават по-малко от 2 месеца. Препоръчва се големите производители, изнасящи за пазара на Обединеното кралство, да завършат PSTI сертифициране възможно най-скоро, за да осигурят безпроблемно навлизане на пазара на Обединеното кралство.
Време на публикуване: 11 март 2024 г
