Podľa zákona o bezpečnosti produktov a telekomunikačnej infraštruktúry z roku 2023 vydaného Spojeným kráľovstvom 29. apríla 2023 začne Spojené kráľovstvo od 29. apríla 2024 presadzovať požiadavky na bezpečnosť siete pre pripojené spotrebiteľské zariadenia, ktoré sa vzťahujú na Anglicko, Škótsko, Wales a Severné Írsko. Doteraz to boli len niečo málo cez 3 mesiace a hlavní výrobcovia vyvážajúci na britský trh musia čo najskôr dokončiť certifikáciu PSTI, aby sa zabezpečil hladký vstup na britský trh. Očakáva sa obdobie odkladu 12 mesiacov od dátumu oznámenia až po implementáciu.
1. Dokumenty zákona o PSTI:
①Režim bezpečnosti produktov a telekomunikačnej infraštruktúry Spojeného kráľovstva (bezpečnosť produktov).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Zákon o bezpečnosti produktov a telekomunikačnej infraštruktúre z roku 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Nariadenia o bezpečnosti produktov a telekomunikačnej infraštruktúre (požiadavky na zabezpečenie príslušných pripojiteľných produktov) 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Návrh zákona je rozdelený na dve časti:
Časť 1: Požiadavky na bezpečnosť výrobkov
Návrh vyhlášky o bezpečnosti produktov a telekomunikačnej infraštruktúre (bezpečnostné požiadavky na súvisiace prepojené produkty), ktorý zaviedla vláda Spojeného kráľovstva v roku 2023. Návrh rieši požiadavky výrobcov, dovozcov a distribútorov ako povinných subjektov a má právo ukladať pokuty až 10 miliónov £ alebo 4 % z celosvetových príjmov spoločnosti z porušovateľov. Spoločnosti, ktoré budú naďalej porušovať predpisy, budú tiež pokutované dodatočnou pokutou 20 000 £ denne.
Časť 2: Smernice pre telekomunikačnú infraštruktúru vyvinuté na urýchlenie inštalácie, používania a modernizácie takýchto zariadení
Táto časť vyžaduje, aby výrobcovia, dovozcovia a distribútori internetu vecí dodržiavali špecifické požiadavky na kybernetickú bezpečnosť. Podporuje zavádzanie širokopásmových a 5G sietí až do gigabitov na ochranu občanov pred rizikami, ktoré predstavujú nebezpečné spotrebiteľské pripojené zariadenia.
Zákon o elektronických komunikáciách stanovuje právo prevádzkovateľov sietí a poskytovateľov infraštruktúry inštalovať a udržiavať digitálnu komunikačnú infraštruktúru na verejných a súkromných pozemkoch. Revízia zákona o elektronických komunikáciách v roku 2017 zlacnila a zjednodušila nasadenie, údržbu a modernizáciu digitálnej infraštruktúry. Nové opatrenia týkajúce sa telekomunikačnej infraštruktúry v návrhu zákona o PSTI vychádzajú z revidovaného zákona o elektronických komunikáciách z roku 2017, ktorý pomôže zabezpečiť spustenie gigabitových širokopásmových a 5G sietí orientovaných na budúcnosť.
Zákon PSTI dopĺňa časť 1 zákona o bezpečnosti produktov a komunikačnej infraštruktúre z roku 2022, ktorý stanovuje minimálne bezpečnostné požiadavky na poskytovanie produktov britským spotrebiteľom. Na základe ETSI EN 303 645 v2.1.1, sekcií 5.1-1, 5.1-2, 5.2-1 a 5.3-13, ako aj noriem ISO/IEC 29147:2018 sú navrhnuté zodpovedajúce predpisy a požiadavky pre heslá, minimálnu bezpečnosť aktualizovať časové cykly a ako nahlásiť bezpečnostné problémy.
Rozsah zahrnutých produktov:
Prepojené produkty súvisiace s bezpečnosťou, ako sú detektory dymu a hmly, detektory požiaru a zámky dverí, pripojené domáce automatizačné zariadenia, inteligentné zvončeky a poplašné systémy, základňové stanice internetu vecí a rozbočovače spájajúce viacero zariadení, inteligentné domáce asistentky, smartfóny, pripojené kamery (IP a CCTV), nositeľné zariadenia, pripojené chladničky, práčky, mrazničky, kávovary, herné ovládače a iné podobné produkty.
Rozsah oslobodených produktov:
Produkty predávané v Severnom Írsku, inteligentné merače, nabíjacie stanice pre elektrické vozidlá a lekárske zariadenia, ako aj počítačové tablety na používanie staršie ako 14 rokov.
3. Norma ETSI EN 303 645 pre bezpečnosť a súkromie produktov internetu vecí zahŕňa týchto 13 kategórií požiadaviek:
1) Univerzálne predvolené zabezpečenie heslom
2) Správa a vykonávanie správ o slabých stránkach
3) Aktualizácie softvéru
4) Inteligentné ukladanie bezpečnostných parametrov
5) Bezpečnosť komunikácie
6) Znížte expozíciu útočného povrchu
7) Ochrana osobných údajov
8) Integrita softvéru
9) Schopnosť systému proti rušeniu
10) Skontrolujte telemetrické údaje systému
11) Pohodlné pre používateľov na odstránenie osobných údajov
12) Zjednodušte inštaláciu a údržbu zariadenia
13) Skontrolujte vstupné údaje
Požiadavky na faktúru a zodpovedajúce 2 normy
Zakázať univerzálne predvolené heslá - ETSI EN 303 645 ustanovenia 5.1-1 a 5.1-2
Požiadavky na implementáciu metód pre správu správ o zraniteľnosti - ETSI EN 303 645 ustanovenia 5.2-1
ISO/IEC 29147 (2018) ustanovenie 6.2
Vyžadovať transparentnosť minimálneho časového cyklu aktualizácie zabezpečenia pre produkty – ustanovenie 5.3-13 normy ETSI EN 303 645
PSTI vyžaduje, aby výrobky pred uvedením na trh spĺňali vyššie uvedené tri bezpečnostné normy. Výrobcovia, dovozcovia a distribútori súvisiacich produktov musia dodržiavať bezpečnostné požiadavky tohto zákona. Výrobcovia a dovozcovia musia zabezpečiť, aby sa ich produkty dodávali s vyhlásením o zhode a podniknúť kroky v prípade zlyhania, uchovávať záznamy o vyšetrovaní atď. V opačnom prípade budú porušovatelia pokutovaní až do výšky 10 miliónov GBP alebo 4 % z celosvetových príjmov spoločnosti.
4. Zákon o PSTI a skúšobný proces ETSI EN 303 645:
1) Príprava vzorových údajov
3 sady vzoriek vrátane hostiteľa a príslušenstva, nešifrovaného softvéru, používateľských príručiek/špecifikácií/súvisiacich služieb a informácií o prihlasovacom účte
2) Založenie testovacieho prostredia
Vytvorte testovacie prostredie na základe užívateľskej príručky
3) Vykonanie hodnotenia bezpečnosti siete:
Kontrola dokumentov a technické testovanie, kontrola dodávateľských dotazníkov a poskytovanie spätnej väzby
4) Oprava slabín
Poskytnite konzultačné služby na odstránenie problémov so slabosťou
5) Poskytnite hodnotiacu správu PSTI alebo hodnotiacu správu ETSIEN 303645
5.Ako preukázať súlad s požiadavkami zákona Spojeného kráľovstva o PSTI?
Minimálnou požiadavkou je splniť tri požiadavky zákona PSTI týkajúce sa hesiel, cyklov údržby softvéru a hlásenia o zraniteľnosti a poskytnúť technické dokumenty, ako sú hodnotiace správy pre tieto požiadavky, a zároveň urobiť vlastné vyhlásenie o zhode. Na hodnotenie zákona Spojeného kráľovstva o PSTI odporúčame použiť ETSI EN 303 645. Toto je zároveň najlepšia príprava na povinnú implementáciu požiadaviek kybernetickej bezpečnosti EÚ CE RED od 1. augusta 2025!
BTF Testing Lab je testovacia inštitúcia akreditovaná Čínskou národnou akreditačnou službou pre posudzovanie zhody (CNAS), číslo: L17568. Po rokoch vývoja má BTF laboratórium elektromagnetickej kompatibility, laboratórium bezdrôtovej komunikácie, laboratórium SAR, bezpečnostné laboratórium, laboratórium spoľahlivosti, laboratórium na testovanie batérií, chemické testovacie laboratóriá a ďalšie laboratóriá. Má dokonalú elektromagnetickú kompatibilitu, rádiovú frekvenciu, bezpečnosť produktu, environmentálnu spoľahlivosť, analýzu zlyhania materiálu, ROHS/REACH a ďalšie testovacie schopnosti. BTF Testing Lab je vybavené profesionálnymi a kompletnými testovacími zariadeniami, skúseným tímom testovacích a certifikačných expertov a schopnosťou riešiť rôzne komplexné testovacie a certifikačné problémy. Dodržiavame hlavné zásady „spravodlivosti, nestrannosti, presnosti a prísnosti“ a prísne dodržiavame požiadavky systému riadenia skúšobných a kalibračných laboratórií ISO/IEC 17025 pre vedecké riadenie. Zaviazali sme sa poskytovať zákazníkom služby najvyššej kvality. Ak máte akékoľvek otázky, neváhajte nás kedykoľvek kontaktovať.
Čas odoslania: 16. januára 2024
