Hoewel de EU lijkt te aarzelen bij het afdwingen van cyberveiligheidseisen, zal Groot-Brittannië dat niet doen. Volgens de Britse Product Safety and Telecommunications Infrastructure Regulations 2023 zal het Verenigd Koninkrijk vanaf 29 april 2024 beginnen met het afdwingen van netwerkbeveiligingsvereisten voor aangesloten consumentenapparaten.
1. Betrokken producten
De Product Security and Telecommunications Infrastructure Regulations 2022 in het Verenigd Koninkrijk specificeren de reikwijdte van producten waarvoor netwerkbeveiligingscontrole vereist is. Uiteraard omvat dit ook producten met internetverbinding, maar niet beperkt tot producten met internetverbinding. Typische producten zijn onder meer smart-tv's, IP-camera's, routers, slimme verlichting en huishoudelijke producten.
Speciaal uitgesloten producten zijn onder meer computers, medische producten, slimme meterproducten en opladers voor elektrische voertuigen. Houd er rekening mee dat deze producten mogelijk ook netwerkbeveiligingsvereisten hebben, maar dat deze niet binnen de reikwijdte van de PSTI-regelgeving vallen en mogelijk onder andere regelgeving vallen.
2. Specifieke eisen?
De vereisten van de PSTI-regelgeving voor netwerkbeveiliging zijn hoofdzakelijk onderverdeeld in drie aspecten
wachtwoord
Onderhoudscyclus
Kwetsbaarheidsrapport
Deze vereisten kunnen rechtstreeks worden geëvalueerd volgens de PSTI-regelgeving, of worden geëvalueerd door te verwijzen naar de netwerkbeveiligingsnorm ETSI EN 303 645 voor Internet of Things-producten voor consumenten om aan te tonen dat het product voldoet aan de PSTI-regelgeving. Dat wil zeggen dat het voldoen aan de ETSI EN 303 645-norm gelijk staat aan het voldoen aan de vereisten van de Britse PSTI-regelgeving.
3. Met betrekking tot ETSI EN 303 645
De ETSI EN 303 645-standaard werd voor het eerst uitgebracht in 2020 en werd al snel internationaal de meest gebruikte standaard voor de beoordeling van de netwerkbeveiliging van IoT-apparaten buiten Europa. Het gebruik van de ETSI EN 303 645-standaard is de meest praktische beoordelingsmethode voor netwerkbeveiliging, die niet alleen een goed niveau van basisbeveiliging garandeert, maar ook de basis vormt voor verschillende authenticatieschema's. In 2023 werd deze standaard officieel geaccepteerd door IECEE als de certificeringsstandaard voor het CB-schema van het internationale certificeringsschema voor elektrische producten.
4. Hoe kan ik de naleving van de wettelijke vereisten bewijzen?
De minimumvereiste is het voldoen aan de drie vereisten van de PSTI-wet met betrekking tot wachtwoorden, onderhoudscycli en rapportage van kwetsbaarheden, en het verstrekken van een eigen verklaring van naleving van deze vereisten.
Om de naleving van de regelgeving beter aan uw klanten aan te tonen en als uw doelmarkt niet beperkt is tot Groot-Brittannië, is het redelijk om internationale normen voor evaluatie te gebruiken. Dit is ook een belangrijk onderdeel van de voorbereiding om te voldoen aan de cyberbeveiligingsvereisten die de Europese Unie vanaf augustus 2025 zal opleggen.
5. Vaststellen of uw product binnen het toepassingsgebied van de PSTI-regelgeving valt?
We werken samen met meerdere lokaal erkende gezaghebbende laboratoria om gelokaliseerde netwerkinformatiebeveiligingsbeoordeling, advies en certificeringsdiensten voor IoT-apparaten te bieden. Onze diensten omvatten:
Bied advies over informatiebeveiligingsontwerp en pre-inspectie tijdens de ontwikkelingsfase van netwerkproducten.
Zorg voor een evaluatie om aan te tonen dat het product voldoet aan de netwerkbeveiligingseisen van de RED-richtlijn
Evalueer volgens ETSI/EN 303 645 of nationale cyberbeveiligingsvoorschriften en geef een conformiteitscertificaat of certificering af.
Posttijd: 28 december 2023
