Volgens de Product Safety and Telecommunications Infrastructure Act 2023, uitgegeven door het Verenigd Koninkrijk op 29 april 2023, zal het Verenigd Koninkrijk vanaf 29 april 2024 beginnen met het handhaven van netwerkbeveiligingsvereisten voor aangesloten consumentenapparaten, van toepassing op Engeland, Schotland, Wales en Noord-Ierland. Op dit moment is dit nog maar iets meer dan drie maanden geleden en moeten grote fabrikanten die naar de Britse markt exporteren zo snel mogelijk de PSTI-certificering voltooien om een soepele toegang tot de Britse markt te garanderen. Er is een verwachte respijtperiode van twaalf maanden vanaf de datum van aankondiging tot aan de implementatie.
1.PSTI-wetdocumenten:
①Het Britse regime voor productbeveiliging en telecommunicatie-infrastructuur (productbeveiliging).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Wet op productbeveiliging en telecommunicatie-infrastructuur 2022.https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③De productbeveiligings- en telecommunicatie-infrastructuur (beveiligingsvereisten voor relevante aansluitbare producten) voorschriften 2023.https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Het wetsvoorstel bestaat uit twee delen:
Deel 1: Betreffende productveiligheidseisen
Het ontwerp van de verordening inzake productveiligheid en telecommunicatie-infrastructuur (beveiligingsvereisten voor gerelateerde aangesloten producten), geïntroduceerd door de Britse regering in 2023. Het ontwerp gaat in op de eisen van fabrikanten, importeurs en distributeurs als verplichte entiteiten, en heeft het recht om boetes op te leggen van maximaal £ 10 miljoen of 4% van de wereldwijde inkomsten van het bedrijf uit overtreders. Bedrijven die de regelgeving blijven overtreden, krijgen bovendien een boete van £ 20.000 extra per dag.
Deel 2: Richtlijnen voor de telecommunicatie-infrastructuur, ontwikkeld om de installatie, het gebruik en het upgraden van dergelijke apparatuur te versnellen
Deze sectie vereist dat IoT-fabrikanten, importeurs en distributeurs voldoen aan specifieke cyberbeveiligingsvereisten. Het ondersteunt de introductie van breedband- en 5G-netwerken tot gigabits om burgers te beschermen tegen de risico's van onveilige consumentenapparaten.
De Wet op de Elektronische Communicatie bepaalt het recht van netwerkexploitanten en infrastructuuraanbieders om digitale communicatie-infrastructuur op openbaar en particulier terrein te installeren en te onderhouden. De herziening van de elektronische-communicatiewet in 2017 heeft de implementatie, het onderhoud en de modernisering van digitale infrastructuur goedkoper en eenvoudiger gemaakt. De nieuwe maatregelen met betrekking tot de telecommunicatie-infrastructuur in het ontwerp van het PSTI-wetsvoorstel zijn gebaseerd op de herziene Electronic Communications Act van 2017, die de lancering van toekomstgerichte gigabitbreedband- en 5G-netwerken zal helpen garanderen.
De PSTI Act is een aanvulling op Deel 1 van de Product Security and Communication Infrastructure Act 2022, waarin de minimale beveiligingseisen zijn vastgelegd voor het leveren van producten aan Britse consumenten. Gebaseerd op ETSI EN 303 645 v2.1.1, secties 5.1-1, 5.1-2, 5.2-1 en 5.3-13, evenals ISO/IEC 29147:2018-normen, worden overeenkomstige voorschriften en vereisten voorgesteld voor wachtwoorden, minimale beveiliging updatetijdcycli en hoe u beveiligingsproblemen kunt melden.
Betrokken productomvang:
Verbonden beveiligingsgerelateerde producten, zoals rook- en mistmelders, brandmelders en deursloten, aangesloten domotica-apparaten, slimme deurbellen en alarmsystemen, IoT-basisstations en hubs die meerdere apparaten verbinden, slimme huisassistenten, smartphones, aangesloten camera's (IP en CCTV), draagbare apparaten, aangesloten koelkasten, wasmachines, diepvriezers, koffiemachines, gamecontrollers en andere soortgelijke producten.
Toepassingsgebied van vrijgestelde producten:
Producten die in Noord-Ierland worden verkocht, slimme meters, oplaadpunten voor elektrische voertuigen en medische apparaten, evenals computertablets voor gebruik ouder dan 14 jaar.
3. De ETSI EN 303 645-norm voor de veiligheid en privacy van IoT-producten omvat de volgende 13 categorieën vereisten:
1) Universele standaardwachtwoordbeveiliging
2) Beheer en uitvoering van zwakterapporten
3) Software-updates
4) Slimme besparing van veiligheidsparameters
5) Communicatiebeveiliging
6) Verminder de blootstelling van het aanvalsoppervlak
7) Bescherming van persoonlijke informatie
8) Software-integriteit
9) Anti-interferentievermogen van het systeem
10) Controleer de systeemtelemetriegegevens
11) Handig voor gebruikers om persoonlijke informatie te verwijderen
12) Vereenvoudig de installatie en het onderhoud van apparatuur
13) Controleer invoergegevens
Factuurvereisten en bijbehorende 2 normen
Universele standaardwachtwoorden verbieden - ETSI EN 303 645 bepalingen 5.1-1 en 5.1-2
Vereisten voor het implementeren van methoden voor het beheren van kwetsbaarheidsrapporten - ETSI EN 303 645 bepalingen 5.2-1
ISO/IEC 29147 (2018) clausule 6.2
Transparantie vereisen in de minimale tijdscyclus voor beveiligingsupdates voor producten - ETSI EN 303 645 bepaling 5.3-13
PSTI vereist dat producten aan de bovengenoemde drie veiligheidsnormen voldoen voordat ze op de markt kunnen worden gebracht. Fabrikanten, importeurs en distributeurs van aanverwante producten moeten voldoen aan de veiligheidseisen van deze wet. Fabrikanten en importeurs moeten ervoor zorgen dat hun producten worden geleverd met een conformiteitsverklaring en actie ondernemen als de naleving niet wordt nageleefd, onderzoeksgegevens bijhouden, enz. Anders krijgen overtreders een boete van maximaal £ 10 miljoen of 4% van de wereldwijde omzet van het bedrijf.
4.PSTI-wet en ETSI EN 303 645-testproces:
1)Voorbereiding van voorbeeldgegevens
3 sets met voorbeelden, inclusief host en accessoires, niet-gecodeerde software, gebruikershandleidingen/specificaties/gerelateerde services en inlogaccountinformatie
2) Inrichting van de testomgeving
Creëer een testomgeving op basis van de gebruikershandleiding
3) Uitvoering van netwerkbeveiligingsbeoordeling:
Documentbeoordeling en technische tests, inspectie van vragenlijsten van leveranciers en het geven van feedback
4) Reparatie van zwakte
Bied adviesdiensten aan om zwakteproblemen op te lossen
5) Verstrek een PSTI-evaluatierapport of een ETSIEN 303645-evaluatierapport
5. Hoe bewijs ik dat aan de vereisten van de Britse PSTI Act wordt voldaan?
De minimumvereiste is het voldoen aan de drie vereisten van de PSTI-wet met betrekking tot wachtwoorden, software-onderhoudscycli en rapportage van kwetsbaarheden, en het verstrekken van technische documenten zoals evaluatierapporten voor deze vereisten, terwijl ook een eigen verklaring van naleving wordt afgelegd. Wij stellen voor om ETSI EN 303 645 te gebruiken voor de evaluatie van de Britse PSTI Act. Dit is ook de beste voorbereiding op de verplichte implementatie van de cybersecurityvereisten van de EU CE RED-richtlijn vanaf 1 augustus 2025!
BTF Testing Lab is een testinstituut geaccrediteerd door de China National Accreditation Service for Conformity Assessment (CNAS), nummer: L17568. Na jaren van ontwikkeling beschikt BTF over een laboratorium voor elektromagnetische compatibiliteit, een laboratorium voor draadloze communicatie, een SAR-laboratorium, een veiligheidslaboratorium, een betrouwbaarheidslaboratorium, een batterijtestlaboratorium, chemische tests en andere laboratoria. Heeft een perfecte elektromagnetische compatibiliteit, radiofrequentie, productveiligheid, milieubetrouwbaarheid, analyse van materiaalfouten, ROHS/REACH en andere testmogelijkheden. BTF Testing Lab is uitgerust met professionele en complete testfaciliteiten, een ervaren team van test- en certificeringsexperts en de mogelijkheid om diverse complexe test- en certificeringsproblemen op te lossen. We houden ons aan de leidende principes van "eerlijkheid, onpartijdigheid, nauwkeurigheid en nauwkeurigheid" en volgen strikt de vereisten van het ISO/IEC 17025 test- en kalibratielaboratoriumbeheersysteem voor wetenschappelijk management. Wij streven ernaar om klanten service van de hoogste kwaliteit te bieden. Als u vragen heeft, kunt u altijd contact met ons opnemen.
Posttijd: 16 januari 2024
