Segundo a Lei de Infraestruturas de Telecomunicacións e Seguridade dos Produtos de 2023 (PSTI) emitida polo Reino Unido o 29 de abril de 2023, o Reino Unido comezará a facer cumprir os requisitos de seguridade da rede para os dispositivos de consumo conectados a partir do 29 de abril de 2024, aplicables a Inglaterra, Escocia, Gales e Irlanda do Norte. As empresas infractoras enfrontaranse a multas de ata 10 millóns de libras esterlinas ou o 4% dos seus ingresos globais.
1.Introdución á Lei PSTI:
A Política de seguridade dos produtos Consumer Connect do Reino Unido entrará en vigor e farase cumprir o 29 de abril de 2024. A partir desta data, a lei obrigará aos fabricantes de produtos que se poidan conectar a consumidores británicos que cumpran cos requisitos mínimos de seguridade. Estes requisitos mínimos de seguridade baséanse nas directrices de prácticas de seguridade da Internet das cousas do consumidor do Reino Unido, o estándar de seguridade de Internet das cousas para consumidores líder a nivel mundial ETSI EN 303 645 e as recomendacións do organismo autorizado do Reino Unido para a tecnoloxía de ameazas cibernéticas, o National Cybersecurity Center. Este sistema tamén garantirá que outras empresas da cadea de subministración destes produtos desempeñen un papel para evitar que se vendan bens de consumo inseguros a consumidores e empresas británicos.
Este sistema inclúe dúas lexislacións:
1) Parte 1 da Lei de 2022 sobre seguridade dos produtos e infraestruturas de telecomunicacións (PSTI);
2) A Lei de 2023 sobre seguridade do produto e infraestrutura de telecomunicacións (requisitos de seguridade para produtos conectados relacionados).
2. A Lei PSTI abrangue a gama de produtos:
1) Gama de produtos controlados por PSTI:
Inclúe, pero non se limita a, produtos conectados a Internet. Os produtos típicos inclúen: televisión intelixente, cámara IP, enrutador, iluminación intelixente e produtos domésticos.
2) Produtos fóra do ámbito do control PSTI:
Incluíndo ordenadores (a) ordenadores de escritorio; (b) Ordenador portátil; (c) Tabletas que non teñen a capacidade de conectarse a redes móbiles (deseñadas especificamente para nenos menores de 14 anos segundo o uso previsto do fabricante, non é unha excepción), produtos médicos, produtos de contadores intelixentes, cargadores de vehículos eléctricos e Bluetooth one. produtos de conexión -on-one. Teña en conta que estes produtos tamén poden ter requisitos de ciberseguridade, pero non están cubertos pola Lei PSTI e poden estar regulados por outras leis.
3. Tres puntos clave que debe seguir a Lei PSTI:
O proxecto de lei PSTI inclúe dúas partes principais: requisitos de seguridade dos produtos e directrices de infraestruturas de telecomunicacións. Para a seguridade do produto, hai tres puntos clave que requiren especial atención:
1) Requisitos de contrasinais, baseados nas disposicións regulamentarias 5.1-1, 5.1-2. A Lei PSTI prohibe o uso de contrasinais predeterminados universais. Isto significa que o produto debe establecer un contrasinal predeterminado único ou esixir aos usuarios que establezan un contrasinal no seu primeiro uso.
2) Cuestións de xestión de seguridade, baseándose nas disposicións regulamentarias 5.2-1, os fabricantes deben desenvolver e divulgar publicamente políticas de divulgación de vulnerabilidades para garantir que as persoas que descubran vulnerabilidades poidan notificar aos fabricantes e garantir que os fabricantes poidan notificar rapidamente aos clientes e proporcionar medidas de reparación.
3) O ciclo de actualización de seguridade, baseado nas disposicións regulamentarias 5.3-13, os fabricantes deben aclarar e revelar o período de tempo máis breve que proporcionarán actualizacións de seguridade, para que os consumidores poidan comprender o período de soporte de actualización de seguridade dos seus produtos.
4. Proceso de proba da Lei PSTI e ETSI EN 303 645:
1) Preparación de datos de mostra: 3 conxuntos de mostras, incluíndo host e accesorios, software sen cifrar, manuais de usuario/especificacións/servizos relacionados e información da conta de inicio de sesión
2) Establecemento do entorno de proba: estableza un ambiente de proba segundo o manual de usuario
3) Execución da avaliación da seguridade da rede: revisión de ficheiros e probas técnicas, comprobación de cuestionarios de provedores e feedback
4) Reparación de debilidades: proporcionar servizos de consultoría para solucionar problemas de debilidade
5) Proporcionar informe de avaliación PSTI ou informe de avaliación ETSI EN 303645
5. Documentos da Lei PSTI:
1) O réxime de seguridade do produto e infraestrutura de telecomunicacións do Reino Unido (seguridade do produto).
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) Lei de 2022 sobre seguridade dos produtos e infraestruturas de telecomunicacións
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Normativa de 2023 sobre a seguridade do produto e a infraestrutura de telecomunicacións (requisitos de seguridade para produtos conectables relevantes)
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Polo de agora, faltan menos de 2 meses. Recoméndase que os principais fabricantes que exportan ao mercado do Reino Unido completen a certificación PSTI canto antes para garantir a entrada sen problemas no mercado do Reino Unido.
Hora de publicación: 11-mar-2024
