Podľa zákona o bezpečnosti produktov a telekomunikačnej infraštruktúre z roku 2023 (PSTI) vydaný Spojeným kráľovstvom 29. apríla 2023, Spojené kráľovstvo začne od 29. apríla 2024 presadzovať požiadavky na bezpečnosť siete pre pripojené spotrebiteľské zariadenia, ktoré sa vzťahujú na Anglicko, Škótsko, Wales a Severné Írsko. Spoločnosti, ktoré porušia pravidlá, budú čeliť pokutám až do výšky 10 miliónov GBP alebo 4 % ich celosvetových príjmov.
1. Úvod do zákona o PSTI:
Zásady bezpečnosti produktov Spojeného kráľovstva Consumer Connect nadobudnú platnosť a budú sa presadzovať 29. apríla 2024. Od tohto dátumu bude zákon vyžadovať, aby výrobcovia produktov, ktoré možno pripojiť k britským spotrebiteľom, spĺňali minimálne bezpečnostné požiadavky. Tieto minimálne bezpečnostné požiadavky sú založené na pokynoch Spojeného kráľovstva pre bezpečnosť spotrebiteľského internetu vecí, celosvetovo poprednom spotrebiteľskom bezpečnostnom štandarde internetu vecí ETSI EN 303 645 a odporúčaniach autoritatívneho orgánu Spojeného kráľovstva pre technológiu kybernetických hrozieb, Národného centra kybernetickej bezpečnosti. Tento systém tiež zabezpečí, aby ostatné podniky v dodávateľskom reťazci týchto produktov zohrávali úlohu pri predchádzaní predaju nebezpečného spotrebného tovaru britským spotrebiteľom a podnikom.
Tento systém zahŕňa dva právne predpisy:
1) Časť 1 zákona o bezpečnosti produktov a telekomunikačnej infraštruktúre (PSTI) z roku 2022;
2) Zákon o bezpečnosti produktov a telekomunikačnej infraštruktúre (požiadavky na bezpečnosť pre súvisiace pripojené produkty) z roku 2023.
2. Zákon o PSTI pokrýva sortiment:
1) Sortiment kontrolovaných produktov PSTI:
Zahŕňa, ale nie je obmedzený na, produkty pripojené na internet. Medzi typické produkty patria: smart TV, IP kamera, router, inteligentné osvetlenie a produkty pre domácnosť.
2) Produkty mimo kontroly PSTI:
Vrátane počítačov (a) stolové počítače; b) prenosný počítač; (c) Tablety, ktoré nemajú možnosť pripojenia k mobilným sieťam (určené špeciálne pre deti mladšie ako 14 rokov podľa zamýšľaného použitia výrobcu, nie výnimkou), medicínske produkty, inteligentné merače, nabíjačky do elektrických vozidiel a Bluetooth - produkty pripojenia na jedno. Upozorňujeme, že tieto produkty môžu mať aj požiadavky na kybernetickú bezpečnosť, ale nevzťahuje sa na ne zákon PSTI a môžu byť regulované inými zákonmi.
3. Tri kľúčové body, ktorými sa má zákon o PSTI riadiť:
Návrh zákona PSTI obsahuje dve hlavné časti: požiadavky na bezpečnosť produktov a smernice pre telekomunikačnú infraštruktúru. Pre bezpečnosť produktu existujú tri kľúčové body, ktoré si vyžadujú osobitnú pozornosť:
1) Požiadavky na heslo na základe regulačných ustanovení 5.1-1, 5.1-2. Zákon PSTI zakazuje používanie univerzálnych predvolených hesiel. To znamená, že produkt musí nastaviť jedinečné predvolené heslo alebo vyžadovať, aby si používatelia nastavili heslo pri prvom použití.
2) Problémy riadenia bezpečnosti, na základe regulačných ustanovení 5.2-1, musia výrobcovia vypracovať a zverejniť zásady zverejňovania zraniteľností, aby sa zabezpečilo, že jednotlivci, ktorí objavia zraniteľné miesta, môžu informovať výrobcov a zabezpečiť, aby výrobcovia mohli okamžite informovať zákazníkov a poskytnúť opravné opatrenia.
3) Cyklus bezpečnostných aktualizácií na základe regulačných ustanovení 5.3-13 musia výrobcovia objasniť a zverejniť najkratšie časové obdobie, počas ktorého budú bezpečnostné aktualizácie poskytovať, aby spotrebitelia pochopili obdobie podpory bezpečnostných aktualizácií ich produktov.
4. Zákon o PSTI a skúšobný proces ETSI EN 303 645:
1) Príprava údajov vzorky: 3 sady vzoriek vrátane hostiteľa a príslušenstva, nešifrovaný softvér, používateľské príručky/špecifikácie/súvisiace služby a informácie o prihlasovacom účte
2) Vytvorenie testovacieho prostredia: Vytvorte testovacie prostredie podľa používateľskej príručky
3) Vykonávanie hodnotenia bezpečnosti siete: kontrola súborov a technické testovanie, kontrola dodávateľských dotazníkov a poskytovanie spätnej väzby
4) Oprava slabých stránok: Poskytnite konzultačné služby na odstránenie problémov so slabými stránkami
5) Poskytnite hodnotiacu správu PSTI alebo hodnotiacu správu ETSI EN 303645
5. Dokumenty zákona o PSTI:
1)Režim bezpečnosti produktov a telekomunikačnej infraštruktúry Spojeného kráľovstva (bezpečnosť produktov).
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) Zákon o bezpečnosti produktov a telekomunikačnej infraštruktúre z roku 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Nariadenia o bezpečnosti produktov a telekomunikačnej infraštruktúre (požiadavky na bezpečnosť pre príslušné pripojiteľné produkty) z roku 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Odteraz je to menej ako 2 mesiace. Odporúča sa, aby hlavní výrobcovia vyvážajúci na trh Spojeného kráľovstva čo najskôr dokončili certifikáciu PSTI, aby sa zabezpečil hladký vstup na trh Spojeného kráľovstva.
Čas odoslania: Mar-11-2024
