Segundo a Lei de Infraestructura de Telecomunicacións e Seguridade dos Produtos de 2023 emitida polo Reino Unido o 29 de abril de 2023, o Reino Unido comezará a facer cumprir os requisitos de seguridade da rede para os dispositivos de consumo conectados a partir do 29 de abril de 2024, aplicables a Inglaterra, Escocia, Gales e Irlanda do Norte. Polo de agora, só pasaron pouco máis de 3 meses, e os principais fabricantes que exportan ao mercado do Reino Unido deben completar a certificación PSTI o antes posible para garantir a entrada sen problemas no mercado do Reino Unido. Hai un período de carencia previsto de 12 meses desde a data do anuncio ata a posta en marcha.
1. Documentos da Lei PSTI:
①O réxime de seguridade do produto e infraestrutura de telecomunicacións do Reino Unido (seguridade do produto).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Product Security and Telecommunications Infrastructure Act 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③O Regulamento de 2023 sobre a seguridade do produto e a infraestrutura de telecomunicacións (requisitos de seguridade para produtos conectables relevantes) https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. O proxecto de lei divídese en dúas partes:
Parte 1: Sobre os requisitos de seguridade do produto
O borrador da Ordenanza sobre seguridade do produto e infraestrutura de telecomunicacións (requisitos de seguridade para produtos conectados relacionados) introducido polo goberno do Reino Unido en 2023. O borrador aborda as demandas feitas por fabricantes, importadores e distribuidores como entidades obrigadas e ten dereito a impoñer multas. de ata 10 millóns de libras esterlinas ou o 4% dos ingresos globais da empresa por infractores. As empresas que continúen infrinxindo a normativa tamén serán multadas con 20.000 libras adicionais por día.
Parte 2: Directrices de infraestrutura de telecomunicacións, desenvolvidas para acelerar a instalación, o uso e a actualización destes equipos.
Esta sección esixe que os fabricantes, importadores e distribuidores de IoT cumpran requisitos específicos de ciberseguridade. Admite a introdución de redes de banda ancha e 5G de ata gigabits para protexer aos cidadáns dos riscos que supoñen os dispositivos conectados de consumidores inseguros.
A Lei de Comunicacións Electrónicas establece o dereito dos operadores de redes e provedores de infraestruturas a instalar e manter infraestruturas de comunicación dixital en terreos públicos e privados. A revisión da Lei de Comunicacións Electrónicas en 2017 fixo que o despregamento, o mantemento e a actualización da infraestrutura dixital fosen máis baratos e sinxelos. As novas medidas relacionadas coa infraestrutura de telecomunicacións do proxecto de lei PSTI baséanse na Lei de comunicacións electrónicas revisada de 2017, que axudará a garantir o lanzamento de redes de banda ancha e 5G orientadas ao futuro.
A Lei PSTI complementa a Parte 1 da Lei de Infraestructura de Comunicacións e Seguridade dos Produtos de 2022, que establece os requisitos mínimos de seguridade para ofrecer produtos aos consumidores británicos. Con base na ETSI EN 303 645 v2.1.1, seccións 5.1-1, 5.1-2, 5.2-1 e 5.3-13, así como as normas ISO/IEC 29147:2018, propóñense as normas e requisitos correspondentes para contrasinais, seguridade mínima actualizar os ciclos de tempo e como informar problemas de seguridade.
Alcance do produto implicado:
Produtos relacionados coa seguridade conectados, como detectores de fume e néboa, detectores de incendios e pechaduras de portas, dispositivos de domótica conectados, timbres e sistemas de alarma intelixentes, estacións base de IoT e concentradores que conectan varios dispositivos, asistentes domésticos intelixentes, teléfonos intelixentes, cámaras conectadas (IP e CCTV), dispositivos portátiles, frigoríficos conectados, lavadoras, conxeladores, máquinas de café, controladores de xogos e outros produtos similares.
Alcance dos produtos exentos:
Produtos vendidos en Irlanda do Norte, contadores intelixentes, puntos de carga de vehículos eléctricos e dispositivos médicos, así como tabletas informáticas para maiores de 14 anos.
3. A norma ETSI EN 303 645 para a seguridade e a privacidade dos produtos IoT inclúe as seguintes 13 categorías de requisitos:
1) Seguridade de contrasinal predeterminada universal
2) Xestión e execución do informe de debilidades
3) Actualizacións de software
4) Aforro intelixente de parámetros de seguridade
5) Seguridade das comunicacións
6) Reducir a exposición da superficie de ataque
7) Protección da información persoal
8) Integridade do software
9) Capacidade anti-interferencia do sistema
10) Comprobe os datos de telemetría do sistema
11) Conveniente para que os usuarios eliminen información persoal
12) Simplifique a instalación e o mantemento dos equipos
13) Verifique os datos de entrada
Requisitos da factura e as 2 normas correspondentes
Prohibir contrasinais predeterminados universais - ETSI EN 303 645 disposicións 5.1-1 e 5.1-2
Requisitos para implementar métodos de xestión de informes de vulnerabilidade - ETSI EN 303 645 disposicións 5.2-1
ISO/IEC 29147 (2018) cláusula 6.2
Esixir transparencia no ciclo de tempo mínimo de actualización de seguridade dos produtos - ETSI EN 303 645 disposición 5.3-13
PSTI esixe que os produtos cumpran os tres estándares de seguridade anteriores antes de que poidan ser postos no mercado. Os fabricantes, importadores e distribuidores de produtos relacionados deben cumprir os requisitos de seguridade desta lei. Os fabricantes e importadores deben asegurarse de que os seus produtos veñen cunha declaración de conformidade e tomar medidas en caso de incumprimento, manter rexistros de investigación, etc. En caso contrario, os infractores serán multados con ata 10 millóns de libras esterlinas ou o 4% dos ingresos globais da empresa.
4. Proceso de proba da Lei PSTI e ETSI EN 303 645:
1) Preparación de datos de mostra
3 conxuntos de mostras, incluíndo host e accesorios, software sen cifrar, manuais de usuario/especificacións/servizos relacionados e información da conta de inicio de sesión
2) Establecemento do ambiente de proba
Establecer un ambiente de proba baseado no manual de usuario
3) Execución da avaliación da seguridade da rede:
Revisión de documentos e probas técnicas, inspección de cuestionarios de provedores e subministración de comentarios
4) Reparación de debilidades
Proporcionar servizos de consultoría para solucionar problemas de debilidade
5) Presentar informe de avaliación PSTI ou informe de avaliación ETSIEN 303645
5.Como demostrar o cumprimento dos requisitos da Lei PSTI do Reino Unido?
O requisito mínimo é cumprir os tres requisitos da Lei PSTI en relación con contrasinais, ciclos de mantemento de software e informes de vulnerabilidades, e proporcionar documentos técnicos, como informes de avaliación destes requisitos, ao tempo que fai unha autodeclaración de cumprimento. Suxerímoslle utilizar a ETSI EN 303 645 para a avaliación da Lei PSTI do Reino Unido. Esta é tamén a mellor preparación para a implementación obrigatoria dos requisitos de ciberseguridade da directiva CE RED da UE a partir do 1 de agosto de 2025.
BTF Testing Lab é unha institución de proba acreditada polo Servizo Nacional de Acreditación de China para a Avaliación da Conformidade (CNAS), número: L17568. Despois de anos de desenvolvemento, BTF ten laboratorio de compatibilidade electromagnética, laboratorio de comunicación sen fíos, laboratorio SAR, laboratorio de seguridade, laboratorio de fiabilidade, laboratorio de probas de batería, probas químicas e outros laboratorios. Ten unha perfecta compatibilidade electromagnética, radiofrecuencia, seguridade do produto, fiabilidade ambiental, análise de fallos de materiais, ROHS/REACH e outras capacidades de proba. BTF Testing Lab está equipado con instalacións de probas profesionais e completas, un equipo experimentado de expertos en probas e certificación e a capacidade de resolver varios problemas complexos de probas e certificación. Cumprimos os principios reitores de "xustidade, imparcialidade, precisión e rigor" e seguimos estrictamente os requisitos do sistema de xestión científica do laboratorio de probas e calibración ISO/IEC 17025. Comprometémonos a ofrecer aos clientes o servizo da máis alta calidade. Se tes algunha dúbida, póñase en contacto connosco en calquera momento.
Hora de publicación: 16-xan-2024
