Σύμφωνα με τον νόμο για την ασφάλεια προϊόντων και τις τηλεπικοινωνιακές υποδομές του 2023 (PSTI) που εκδόθηκε από το Ηνωμένο Βασίλειο στις 29 Απριλίου 2023, το ΗΒ θα αρχίσει να επιβάλλει τις απαιτήσεις ασφάλειας δικτύου για συνδεδεμένες καταναλωτικές συσκευές από τις 29 Απριλίου 2024, οι οποίες θα ισχύουν για την Αγγλία, τη Σκωτία, την Ουαλία και τη Βόρεια Ιρλανδία. Οι εταιρείες που παραβαίνουν θα αντιμετωπίσουν πρόστιμα έως και 10 εκατομμυρίων λιρών ή 4% των παγκόσμιων εσόδων τους.
1. Εισαγωγή στον νόμο PSTI:
Η Πολιτική Ασφάλειας Προϊόντων Consumer Connect του Ηνωμένου Βασιλείου θα τεθεί σε ισχύ και θα τεθεί σε ισχύ στις 29 Απριλίου 2024. Από αυτήν την ημερομηνία, ο νόμος θα απαιτεί από τους κατασκευαστές προϊόντων που μπορούν να συνδεθούν με Βρετανούς καταναλωτές να συμμορφώνονται με τις ελάχιστες απαιτήσεις ασφάλειας. Αυτές οι ελάχιστες απαιτήσεις ασφαλείας βασίζονται στις Οδηγίες Πρακτικής Ασφάλειας Καταναλωτικού Διαδικτύου των Πραγμάτων του Ηνωμένου Βασιλείου, στο παγκοσμίως κορυφαίο πρότυπο ασφάλειας για τους καταναλωτές στο Διαδίκτυο των πραγμάτων ETSI EN 303 645 και σε συστάσεις από τον έγκυρο φορέα του Ηνωμένου Βασιλείου για την τεχνολογία απειλών στον κυβερνοχώρο, το Εθνικό Κέντρο Κυβερνοασφάλειας. Αυτό το σύστημα θα διασφαλίσει επίσης ότι άλλες επιχειρήσεις στην αλυσίδα εφοδιασμού αυτών των προϊόντων διαδραματίζουν ρόλο στην αποτροπή της πώλησης μη ασφαλών καταναλωτικών αγαθών σε Βρετανούς καταναλωτές και επιχειρήσεις.
Αυτό το σύστημα περιλαμβάνει δύο νομοθετήματα:
1) Μέρος 1 του νόμου του 2022 για την ασφάλεια των προϊόντων και τις τηλεπικοινωνιακές υποδομές (PSTI).
2) Ο νόμος του 2023 για την ασφάλεια προϊόντων και τις τηλεπικοινωνιακές υποδομές (Απαιτήσεις ασφαλείας για τα σχετικά συνδεδεμένα προϊόντα).
2. Ο νόμος PSTI καλύπτει τη σειρά προϊόντων:
1) Ελεγχόμενη σειρά προϊόντων PSTI:
Περιλαμβάνει, αλλά δεν περιορίζεται σε, προϊόντα συνδεδεμένα στο Διαδίκτυο. Τα τυπικά προϊόντα περιλαμβάνουν: έξυπνη τηλεόραση, κάμερα IP, δρομολογητή, έξυπνο φωτισμό και προϊόντα οικιακής χρήσης.
2) Προϊόντα εκτός του πεδίου ελέγχου PSTI:
Συμπεριλαμβανομένων των υπολογιστών (α) των επιτραπέζιων υπολογιστών· (β) Φορητός υπολογιστής. (γ) Ταμπλέτες που δεν έχουν τη δυνατότητα σύνδεσης σε δίκτυα κινητής τηλεφωνίας (που έχουν σχεδιαστεί ειδικά για παιδιά κάτω των 14 ετών σύμφωνα με την προβλεπόμενη χρήση του κατασκευαστή, όχι εξαίρεση), ιατρικά προϊόντα, προϊόντα έξυπνων μετρητών, φορτιστές ηλεκτρικών οχημάτων και Bluetooth ένα -προϊόντα σύνδεσης σε ένα. Λάβετε υπόψη ότι αυτά τα προϊόντα μπορεί επίσης να έχουν απαιτήσεις κυβερνοασφάλειας, αλλά δεν καλύπτονται από τον νόμο PSTI και ενδέχεται να ρυθμίζονται από άλλους νόμους.
3. Τρία βασικά σημεία που πρέπει να ακολουθούνται από τον νόμο PSTI:
Το νομοσχέδιο PSTI περιλαμβάνει δύο βασικά μέρη: απαιτήσεις ασφάλειας προϊόντων και κατευθυντήριες γραμμές για την τηλεπικοινωνιακή υποδομή. Για την ασφάλεια του προϊόντος, υπάρχουν τρία βασικά σημεία που χρήζουν ιδιαίτερης προσοχής:
1) Απαιτήσεις κωδικού πρόσβασης, με βάση τις κανονιστικές διατάξεις 5.1-1, 5.1-2. Ο νόμος PSTI απαγορεύει τη χρήση καθολικών προεπιλεγμένων κωδικών πρόσβασης. Αυτό σημαίνει ότι το προϊόν πρέπει να ορίσει έναν μοναδικό προεπιλεγμένο κωδικό πρόσβασης ή να απαιτεί από τους χρήστες να ορίσουν έναν κωδικό πρόσβασης κατά την πρώτη τους χρήση.
2) Ζητήματα διαχείρισης ασφάλειας, με βάση τις κανονιστικές διατάξεις 5.2-1, οι κατασκευαστές πρέπει να αναπτύξουν και να αποκαλύψουν δημόσια πολιτικές αποκάλυψης ευπάθειας για να διασφαλίσουν ότι τα άτομα που ανακαλύπτουν ευπάθειες μπορούν να ειδοποιήσουν τους κατασκευαστές και να εξασφαλίσουν ότι οι κατασκευαστές μπορούν να ειδοποιήσουν αμέσως τους πελάτες και να παρέχουν μέτρα επισκευής.
3) Ο κύκλος ενημέρωσης ασφαλείας, βάσει των κανονιστικών διατάξεων 5.3-13, οι κατασκευαστές πρέπει να διευκρινίσουν και να αποκαλύψουν τη συντομότερη χρονική περίοδο που θα παρέχουν ενημερώσεις ασφαλείας, ώστε οι καταναλωτές να μπορούν να κατανοήσουν την περίοδο υποστήριξης της ενημέρωσης ασφαλείας των προϊόντων τους.
4. PSTI Act και ETSI EN 303 645 Testing Process:
1) Προετοιμασία δειγμάτων δεδομένων: 3 σετ δειγμάτων, συμπεριλαμβανομένων κεντρικού υπολογιστή και αξεσουάρ, μη κρυπτογραφημένο λογισμικό, εγχειρίδια χρήστη/προδιαγραφές/σχετικές υπηρεσίες και πληροφορίες λογαριασμού σύνδεσης
2) Δημιουργία περιβάλλοντος δοκιμής: Δημιουργήστε ένα περιβάλλον δοκιμής σύμφωνα με το εγχειρίδιο χρήστη
3) Εκτέλεση αξιολόγησης ασφάλειας δικτύου: έλεγχος αρχείων και τεχνικές δοκιμές, έλεγχος ερωτηματολογίων προμηθευτών και παροχή σχολίων
4) Επισκευή αδυναμιών: Παρέχετε συμβουλευτικές υπηρεσίες για την επίλυση προβλημάτων αδυναμιών
5) Παρέχετε έκθεση αξιολόγησης PSTI ή έκθεση αξιολόγησης ETSI EN 303645
5. Έγγραφα του νόμου PSTI:
1) Το καθεστώς ασφάλειας προϊόντων και τηλεπικοινωνιακής υποδομής του Ηνωμένου Βασιλείου (ασφάλεια προϊόντων).
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) Νόμος 2022 για την ασφάλεια προϊόντων και τις τηλεπικοινωνιακές υποδομές
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Κανονισμοί 2023 για την ασφάλεια προϊόντων και την υποδομή τηλεπικοινωνιών (Απαιτήσεις ασφαλείας για σχετικά συνδεόμενα προϊόντα)
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Προς το παρόν, είναι λιγότερο από 2 μήνες μακριά. Συνιστάται στους μεγάλους κατασκευαστές που εξάγουν στην αγορά του Ηνωμένου Βασιλείου να ολοκληρώσουν την πιστοποίηση PSTI το συντομότερο δυνατό για να διασφαλίσουν την ομαλή είσοδο στην αγορά του Ηνωμένου Βασιλείου.
Ώρα δημοσίευσης: Μαρ-11-2024
