Podle zákona o bezpečnosti produktů a telekomunikační infrastruktury z roku 2023 vydaného Spojeným královstvím dne 29. dubna 2023 začne Spojené království od 29. dubna 2024 prosazovat požadavky na zabezpečení sítě pro připojená spotřebitelská zařízení, které se vztahují na Anglii, Skotsko, Wales a Severní Irsko. Zatím to byly jen něco málo přes 3 měsíce a hlavní výrobci vyvážející na britský trh musí co nejdříve dokončit certifikaci PSTI, aby zajistili hladký vstup na britský trh. Očekávaná doba odkladu v délce 12 měsíců od data oznámení do implementace.
1. Dokumenty zákona PSTI:
①Režim zabezpečení produktů a telekomunikační infrastruktury Spojeného království (zabezpečení produktů).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Zákon o bezpečnosti produktů a telekomunikační infrastruktuře 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Nařízení o bezpečnosti produktů a telekomunikační infrastruktuře (požadavky na zabezpečení pro příslušné propojitelné produkty) 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Návrh zákona je rozdělen na dvě části:
Část 1: Požadavky na bezpečnost výrobku
Návrh vyhlášky o bezpečnosti produktů a telekomunikační infrastruktuře (požadavky na bezpečnost pro související připojené produkty), který zavedla vláda Spojeného království v roce 2023. Návrh řeší požadavky výrobců, dovozců a distributorů jako povinných subjektů a má právo ukládat pokuty až 10 milionů GBP nebo 4 % celosvětových příjmů společnosti z porušovatelů. Společnosti, které budou nadále porušovat předpisy, budou také pokutovány dodatečnou pokutou 20 000 GBP denně.
Část 2: Směrnice pro telekomunikační infrastrukturu vyvinuté za účelem urychlení instalace, používání a modernizace takového zařízení
Tato část vyžaduje, aby výrobci, dovozci a distributoři internetu věcí dodržovali specifické požadavky na kybernetickou bezpečnost. Podporuje zavádění širokopásmových a 5G sítí až do gigabitů pro ochranu občanů před riziky, která představují nebezpečná spotřebitelská připojená zařízení.
Zákon o elektronických komunikacích stanoví právo provozovatelů sítí a poskytovatelů infrastruktury instalovat a udržovat digitální komunikační infrastrukturu na veřejných a soukromých pozemcích. Revize zákona o elektronických komunikacích v roce 2017 zlevnila a zjednodušila zavádění, údržbu a modernizaci digitální infrastruktury. Nová opatření týkající se telekomunikační infrastruktury v návrhu zákona o PSTI vycházejí z revidovaného zákona o elektronických komunikacích z roku 2017, který pomůže zajistit spuštění gigabitového širokopásmového připojení a sítí 5G orientovaných na budoucnost.
Zákon PSTI doplňuje část 1 zákona o zabezpečení produktů a komunikační infrastruktuře z roku 2022, který stanoví minimální bezpečnostní požadavky pro poskytování produktů britským spotřebitelům. Na základě ETSI EN 303 645 v2.1.1, oddílů 5.1-1, 5.1-2, 5.2-1 a 5.3-13, jakož i norem ISO/IEC 29147:2018, jsou navrženy odpovídající předpisy a požadavky na hesla, minimální zabezpečení aktualizovat časové cykly a jak hlásit bezpečnostní problémy.
Rozsah zahrnutých produktů:
Propojené produkty související se zabezpečením, jako jsou detektory kouře a mlhy, detektory požáru a dveřní zámky, připojená domácí automatizační zařízení, chytré zvonky a poplašné systémy, IoT základní stanice a rozbočovače propojující více zařízení, inteligentní domácí asistenti, chytré telefony, připojené kamery (IP a CCTV), nositelná zařízení, připojené chladničky, pračky, mrazničky, kávovary, herní ovladače a další podobné produkty.
Rozsah osvobozených produktů:
Produkty prodávané v Severním Irsku, inteligentní měřiče, nabíjecí stanice pro elektromobily a lékařská zařízení, stejně jako počítačové tablety pro použití starší 14 let.
3. Norma ETSI EN 303 645 pro bezpečnost a soukromí produktů IoT zahrnuje následujících 13 kategorií požadavků:
1) Univerzální výchozí zabezpečení heslem
2) Správa a provádění zpráv o slabosti
3) Aktualizace softwaru
4) Chytré ukládání bezpečnostních parametrů
5) Bezpečnost komunikace
6) Snižte expozici útočné plochy
7) Ochrana osobních údajů
8) Integrita softwaru
9) Schopnost systému proti rušení
10) Zkontrolujte telemetrická data systému
11) Pohodlné pro uživatele k odstranění osobních údajů
12) Zjednodušte instalaci a údržbu zařízení
13) Ověřte vstupní data
Požadavky na vyúčtování a odpovídající 2 normy
Zakázat univerzální výchozí hesla - ETSI EN 303 645 ustanovení 5.1-1 a 5.1-2
Požadavky na implementaci metod pro správu zpráv o zranitelnosti - ETSI EN 303 645 ustanovení 5.2-1
ISO/IEC 29147 (2018) ustanovení 6.2
Vyžadovat transparentnost minimálního časového cyklu aktualizace zabezpečení pro produkty – ustanovení 5.3-13 normy ETSI EN 303 645
PSTI vyžaduje, aby výrobky před uvedením na trh splňovaly tři výše uvedené bezpečnostní normy. Výrobci, dovozci a distributoři souvisejících produktů musí dodržovat bezpečnostní požadavky tohoto zákona. Výrobci a dovozci musí zajistit, aby jejich produkty byly opatřeny prohlášením o shodě, a přijmout opatření v případě nedodržení shody, vést záznamy o vyšetřování atd. V opačném případě budou porušovatelé pokutováni až do výše 10 milionů GBP nebo 4 % z globálních příjmů společnosti.
4. Zákon o PSTI a zkušební proces ETSI EN 303 645:
1) Příprava ukázkových dat
3 sady vzorků včetně hostitele a příslušenství, nešifrovaného softwaru, uživatelské příručky/specifikace/související služby a přihlašovací údaje k účtu
2) Vytvoření testovacího prostředí
Vytvořte testovací prostředí na základě uživatelské příručky
3) Provedení posouzení zabezpečení sítě:
Kontrola dokumentů a technické testování, kontrola dodavatelských dotazníků a poskytování zpětné vazby
4) Oprava slabosti
Poskytujte konzultační služby k odstranění problémů se slabými stránkami
5) Poskytněte zprávu o hodnocení PSTI nebo zprávu o hodnocení ETSIEN 303645
5.Jak prokázat shodu s požadavky britského zákona o PSTI?
Minimálním požadavkem je splnit tři požadavky zákona PSTI týkající se hesel, cyklů údržby softwaru a hlášení zranitelnosti a poskytnout technické dokumenty, jako jsou zprávy o hodnocení těchto požadavků, a zároveň učinit vlastní prohlášení o shodě. Pro hodnocení britského zákona o PSTI doporučujeme použít ETSI EN 303 645. Toto je také nejlepší příprava na povinnou implementaci požadavků směrnice EU CE RED na kybernetickou bezpečnost od 1. srpna 2025!
BTF Testing Lab je testovací instituce akreditovaná Čínskou národní akreditační službou pro posuzování shody (CNAS), číslo: L17568. Po letech vývoje má BTF laboratoř elektromagnetické kompatibility, laboratoř bezdrátové komunikace, laboratoř SAR, bezpečnostní laboratoř, laboratoř spolehlivosti, laboratoř pro testování baterií, chemické testovací laboratoře a další laboratoře. Má dokonalou elektromagnetickou kompatibilitu, rádiovou frekvenci, bezpečnost produktu, environmentální spolehlivost, analýzu selhání materiálu, ROHS/REACH a další testovací schopnosti. BTF Testing Lab je vybavena profesionálními a kompletními testovacími zařízeními, zkušeným týmem testovacích a certifikačních expertů a schopností řešit různé složité testovací a certifikační problémy. Dodržujeme hlavní zásady „spravedlnosti, nestrannosti, přesnosti a přísnosti“ a přísně dodržujeme požadavky systému řízení zkušebních a kalibračních laboratoří ISO/IEC 17025 pro vědecké řízení. Zavázali jsme se poskytovat zákazníkům služby nejvyšší kvality. Máte-li jakékoli dotazy, neváhejte nás kdykoli kontaktovat.
Čas odeslání: 16. ledna 2024
