Podle zákona o bezpečnosti výrobků a telekomunikační infrastruktuře z roku 2023 (PSTI) vydaného Spojeným královstvím 29. dubna 2023, začne Spojené království od 29. dubna 2024 prosazovat požadavky na zabezpečení sítě pro připojená spotřebitelská zařízení, které se vztahují na Anglii, Skotsko, Wales a Severní Irsko. Společnosti, které poruší pravidla, budou čelit pokutám až do výše 10 milionů GBP nebo 4 % jejich globálních příjmů.
1. Úvod do zákona PSTI:
Zásady bezpečnosti produktů pro spotřebitele ve Spojeném království vstoupí v platnost a budou uplatňovány 29. dubna 2024. Od tohoto data bude zákon vyžadovat, aby výrobci produktů, které lze připojit k britským spotřebitelům, splňovali minimální bezpečnostní požadavky. Tyto minimální požadavky na zabezpečení jsou založeny na pokynech pro bezpečnostní praktiky spotřebitelského internetu věcí ve Spojeném království, celosvětově předním spotřebitelském bezpečnostním standardu internetu věcí ETSI EN 303 645 a doporučeních britského autoritativního orgánu pro technologie kybernetických hrozeb, Národního centra kybernetické bezpečnosti. Tento systém také zajistí, že další podniky v dodavatelském řetězci těchto produktů budou hrát roli v zabránění prodeje nebezpečného spotřebního zboží britským spotřebitelům a podnikům.
Tento systém zahrnuje dva právní předpisy:
1) Část 1 zákona o bezpečnosti výrobků a telekomunikační infrastruktuře (PSTI) z roku 2022;
2) Zákon o zabezpečení produktů a telekomunikační infrastruktuře (požadavky na zabezpečení pro související připojené produkty) z roku 2023.
2. Zákon o PSTI se vztahuje na sortiment:
1) Řada produktů kontrolovaná PSTI:
Zahrnuje, ale není omezen na, produkty připojené k internetu. Mezi typické produkty patří: smart TV, IP kamera, router, inteligentní osvětlení a produkty pro domácnost.
2) Produkty mimo rozsah kontroly PSTI:
Včetně počítačů (a) stolní počítače; (b) Přenosný počítač; (c) Tablety, které nemají možnost připojení k mobilním sítím (navrženy speciálně pro děti mladší 14 let podle zamýšleného použití výrobce, není výjimkou), zdravotnické produkty, produkty inteligentních měřičů, nabíječky elektrických vozidel a Bluetooth - produkty připojení na jednoho. Upozorňujeme, že tyto produkty mohou mít také požadavky na kybernetickou bezpečnost, ale nevztahuje se na ně zákon PSTI a mohou být regulovány jinými zákony.
3. Tři klíčové body, kterými se má zákon o PSTI řídit:
Návrh zákona PSTI obsahuje dvě hlavní části: požadavky na bezpečnost produktů a směrnice pro telekomunikační infrastrukturu. Pro bezpečnost produktu existují tři klíčové body, které vyžadují zvláštní pozornost:
1) Požadavky na heslo na základě regulačních ustanovení 5.1-1, 5.1-2. Zákon PSTI zakazuje používání univerzálních výchozích hesel. To znamená, že produkt musí nastavit jedinečné výchozí heslo nebo vyžadovat, aby uživatelé nastavili heslo při prvním použití.
2) Otázky řízení bezpečnosti, na základě regulačních ustanovení 5.2-1, musí výrobci vyvinout a zveřejnit zásady zveřejňování zranitelnosti, aby bylo zajištěno, že jednotlivci, kteří zranitelnost objeví, mohou informovat výrobce a zajistit, aby výrobci mohli neprodleně informovat zákazníky a poskytnout opatření k opravám.
3) Cyklus bezpečnostních aktualizací, na základě regulačních ustanovení 5.3-13, musí výrobci objasnit a zveřejnit nejkratší dobu, po kterou budou bezpečnostní aktualizace poskytovat, aby spotřebitelé porozuměli období podpory bezpečnostních aktualizací jejich produktů.
4. Zákon PSTI a zkušební proces ETSI EN 303 645:
1) Příprava ukázkových dat: 3 sady vzorků včetně hostitele a příslušenství, nešifrovaný software, uživatelské manuály/specifikace/související služby a přihlašovací údaje k účtu
2) Vytvoření testovacího prostředí: Vytvořte testovací prostředí podle uživatelské příručky
3) Provedení hodnocení bezpečnosti sítě: kontrola souborů a technické testování, kontrola dodavatelských dotazníků a poskytování zpětné vazby
4) Oprava slabých stránek: Poskytujte konzultační služby k vyřešení problémů se slabými stránkami
5) Poskytněte hodnotící zprávu PSTI nebo hodnotící zprávu ETSI EN 303645
5. Dokumenty zákona PSTI:
1)Režim bezpečnosti produktů a telekomunikační infrastruktury Spojeného království (zabezpečení produktů).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2) Zákon o bezpečnosti produktů a telekomunikační infrastruktuře z roku 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Předpisy o bezpečnosti produktů a telekomunikační infrastruktuře (požadavky na zabezpečení pro relevantní připojitelné produkty) z roku 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
V tuto chvíli je to méně než 2 měsíce. Doporučuje se, aby hlavní výrobci vyvážející na trh Spojeného království dokončili certifikaci PSTI co nejdříve, aby byl zajištěn hladký vstup na trh Spojeného království.
Čas odeslání: 11. března 2024
