Volgens de Product Safety and Telecommunications Infrastructure Act 2023 (PSTI) uitgegeven door het Verenigd Koninkrijk op 29 april 2023, zal het Verenigd Koninkrijk vanaf 29 april 2024 beginnen met het handhaven van netwerkbeveiligingsvereisten voor aangesloten consumentenapparaten, van toepassing op Engeland, Schotland, Wales en Noord-Ierland. Bedrijven die de regels overtreden, riskeren boetes tot £ 10 miljoen of 4% van hun wereldwijde omzet.
1. Inleiding tot de PSTI-wet:
Het UK Consumer Connect Product Safety Policy wordt van kracht en wordt gehandhaafd op 29 april 2024. Vanaf deze datum vereist de wet dat fabrikanten van producten die met Britse consumenten kunnen worden verbonden, voldoen aan de minimale veiligheidseisen. Deze minimale beveiligingsvereisten zijn gebaseerd op de UK Consumer Internet of Things Security Practice Guidelines, de wereldwijd toonaangevende consumenten Internet of Things-beveiligingsstandaard ETSI EN 303 645, en aanbevelingen van de Britse autoriteit op het gebied van cyberdreigingstechnologie, het National Cybersecurity Center. Dit systeem zal er ook voor zorgen dat andere bedrijven in de toeleveringsketen van deze producten een rol spelen bij het voorkomen dat onveilige consumptiegoederen aan Britse consumenten en bedrijven worden verkocht.
Dit systeem omvat twee stukken wetgeving:
1) Deel 1 van de Product Safety and Telecommunications Infrastructure (PSTI) Act van 2022;
2) De wet op productbeveiliging en telecommunicatie-infrastructuur (beveiligingsvereisten voor gerelateerde aangesloten producten) van 2023.
2. De PSTI-wet heeft betrekking op het productassortiment:
1) PSTI-gecontroleerd productassortiment:
Het omvat, maar is niet beperkt tot, op het internet aangesloten producten. Typische producten zijn onder meer: smart TV, IP-camera, router, intelligente verlichting en huishoudelijke producten.
2) Producten die buiten het bereik van de PSTI-controle vallen:
Inclusief computers (a) desktopcomputers; (b) Laptopcomputer; (c) Tablets die geen verbinding kunnen maken met mobiele netwerken (specifiek ontworpen voor kinderen jonger dan 14 jaar volgens het beoogde gebruik van de fabrikant, geen uitzondering), medische producten, slimme meterproducten, opladers voor elektrische voertuigen en Bluetooth -op-één verbindingsproducten. Houd er rekening mee dat deze producten mogelijk ook cyberbeveiligingsvereisten hebben, maar dat ze niet onder de PSTI-wet vallen en mogelijk onder andere wetten vallen.
3. Drie belangrijke punten die door de PSTI-wet moeten worden gevolgd:
Het PSTI-wetsvoorstel omvat twee hoofdonderdelen: productveiligheidseisen en richtlijnen voor de telecommunicatie-infrastructuur. Voor productveiligheid zijn er drie belangrijke punten die speciale aandacht behoeven:
1) Wachtwoordvereisten, gebaseerd op wettelijke bepalingen 5.1-1, 5.1-2. De PSTI-wet verbiedt het gebruik van universele standaardwachtwoorden. Dit betekent dat het product een uniek standaardwachtwoord moet instellen of dat gebruikers bij het eerste gebruik een wachtwoord moeten instellen.
2) Problemen met beveiligingsbeheer Op basis van wettelijke bepalingen 5.2-1 moeten fabrikanten een beleid voor de openbaarmaking van kwetsbaarheden ontwikkelen en openbaar maken om ervoor te zorgen dat personen die kwetsbaarheden ontdekken fabrikanten op de hoogte kunnen stellen en ervoor kunnen zorgen dat fabrikanten klanten onmiddellijk op de hoogte kunnen stellen en reparatiemaatregelen kunnen treffen.
3) Tijdens de veiligheidsupdatecyclus moeten fabrikanten, op basis van de wettelijke bepalingen 5.3-13, de kortste periode waarin zij veiligheidsupdates zullen verstrekken, verduidelijken en bekendmaken, zodat consumenten inzicht krijgen in de ondersteuningsperiode voor veiligheidsupdates van hun producten.
4. PSTI-wet en ETSI EN 303 645-testproces:
1) Voorbereiding van monstergegevens: 3 sets monsters, inclusief host en accessoires, niet-gecodeerde software, gebruikershandleidingen/specificaties/gerelateerde services en inlogaccountinformatie
2) Inrichting van een testomgeving: Breng een testomgeving tot stand volgens de gebruikershandleiding
3) Uitvoering van netwerkbeveiligingsbeoordelingen: bestandsbeoordeling en technische tests, vragenlijsten van leveranciers controleren en feedback geven
4) Reparatie van zwakke punten: Bied adviesdiensten aan om zwakteproblemen op te lossen
5) Zorg voor een PSTI-evaluatierapport of een ETSI EN 303645-evaluatierapport
5. PSTI-wetdocumenten:
1) Het Britse regime voor productbeveiliging en telecommunicatie-infrastructuur (productbeveiliging).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2)Wet op productbeveiliging en telecommunicatie-infrastructuur 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) De regelgeving voor productbeveiliging en telecommunicatie-infrastructuur (beveiligingsvereisten voor relevante aansluitbare producten) van 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Momenteel is het minder dan 2 maanden geleden. Het wordt aanbevolen dat grote fabrikanten die naar de Britse markt exporteren de PSTI-certificering zo snel mogelijk voltooien om een soepele toegang tot de Britse markt te garanderen.
Posttijd: 11 maart 2024
