Pagal 2023 m. Gaminių saugos ir telekomunikacijų infrastruktūros įstatymą (PSTI), kurį JK išleido 2023 m. balandžio 29 d., nuo 2024 m. balandžio 29 d. JK pradės taikyti tinklo saugumo reikalavimus prijungtiems vartotojų įrenginiams, taikomus Anglijai, Škotijai, Velse ir Šiaurės Airijai. Pažeidusioms įmonėms gresia baudos iki 10 milijonų svarų sterlingų arba 4% jų pasaulinių pajamų.
1. Įvadas į PSTI įstatymą:
JK „Consumer Connect“ produktų saugos politika įsigalios ir bus vykdoma 2024 m. balandžio 29 d. Nuo šios datos įstatymai reikalaus gaminių, kuriuos galima prijungti prie Didžiosios Britanijos vartotojų, gamintojai laikytis minimalių saugos reikalavimų. Šie minimalūs saugumo reikalavimai yra pagrįsti JK vartotojų daiktų interneto saugumo praktikos gairėmis, pasaulyje pirmaujančiu vartotojų daiktų interneto saugos standartu ETSI EN 303 645 ir JK autoritetingos institucijos kibernetinių grėsmių technologijų srityje Nacionalinio kibernetinio saugumo centro rekomendacijomis. Ši sistema taip pat užtikrins, kad kitos šių produktų tiekimo grandinės įmonės atliktų savo vaidmenį užkertant kelią nesaugių vartojimo prekių pardavimui Didžiosios Britanijos vartotojams ir įmonėms.
Šią sistemą sudaro du teisės aktai:
1) 2022 m. Produktų saugos ir telekomunikacijų infrastruktūros (PSTI) įstatymo 1 dalis;
2) 2023 m. Produkto saugos ir telekomunikacijų infrastruktūros (susijusių prijungtų produktų saugos reikalavimai) aktas.
2. PSTI įstatymas apima gaminių asortimentą:
1) PSTI kontroliuojamų produktų asortimentas:
Tai apima, bet tuo neapsiribojant, prie interneto prijungtus produktus. Tipiški produktai yra: išmanusis televizorius, IP kamera, maršrutizatorius, išmanusis apšvietimas ir namų apyvokos produktai.
2) Produktai, kuriems netaikoma PSTI kontrolė:
Įskaitant kompiuterius a) stalinius kompiuterius; b) nešiojamasis kompiuteris; c) planšetiniai kompiuteriai, neturintys galimybės prisijungti prie korinio ryšio tinklų (skirti specialiai vaikams iki 14 metų pagal gamintojo numatytą naudojimą, ne išimtis), medicinos gaminiai, išmaniųjų skaitiklių gaminiai, elektromobilių įkrovikliai ir „Bluetooth“ -vieno ryšio produktai. Atkreipiame dėmesį, kad šiems produktams taip pat gali būti taikomi kibernetinio saugumo reikalavimai, tačiau jiems netaikomas PSTI įstatymas ir gali būti reglamentuojami kiti įstatymai.
3. Trys pagrindiniai punktai, kurių reikia laikytis priimant PSTI įstatymą:
PSTI įstatymo projektą sudaro dvi pagrindinės dalys: gaminių saugos reikalavimai ir telekomunikacijų infrastruktūros gairės. Siekiant užtikrinti gaminio saugumą, yra trys pagrindiniai punktai, į kuriuos reikia atkreipti ypatingą dėmesį:
1) Slaptažodžio reikalavimai, pagrįsti norminėmis nuostatomis 5.1-1, 5.1-2. PSTI įstatymas draudžia naudoti universalius numatytuosius slaptažodžius. Tai reiškia, kad gaminys turi nustatyti unikalų numatytąjį slaptažodį arba reikalauti, kad vartotojai nustatytų slaptažodį pirmą kartą naudojant.
2) Saugumo valdymo klausimai, remiantis reguliavimo nuostatomis 5.2-1, gamintojai turi parengti ir viešai atskleisti pažeidžiamumo atskleidimo politiką, kad užtikrintų, jog asmenys, aptikę pažeidžiamumą, galėtų apie tai pranešti gamintojams ir užtikrinti, kad gamintojai galėtų nedelsiant informuoti klientus ir numatyti taisymo priemones.
3) Saugos atnaujinimo ciklas, pagrįstas 5.3–13 norminėmis nuostatomis, gamintojai turi paaiškinti ir atskleisti trumpiausią laikotarpį, kurį jie pateiks saugos naujinimus, kad vartotojai suprastų savo gaminių saugos atnaujinimo palaikymo laikotarpį.
4. PSTI įstatymas ir ETSI EN 303 645 testavimo procesas:
1) Duomenų pavyzdžių paruošimas: 3 pavyzdžių rinkiniai, įskaitant pagrindinį kompiuterį ir priedus, nešifruotą programinę įrangą, vartotojo vadovus / specifikacijas / susijusias paslaugas ir prisijungimo paskyros informaciją
2) Bandymo aplinkos sukūrimas: sukurkite testavimo aplinką pagal vartotojo vadovą
3) Tinklo saugumo įvertinimo vykdymas: failų peržiūra ir techninis testavimas, tiekėjų anketų tikrinimas ir atsiliepimų teikimas
4) Silpnumo taisymas: suteikite konsultavimo paslaugas, kad išspręstumėte trūkumus
5) Pateikite PSTI vertinimo ataskaitą arba ETSI EN 303645 vertinimo ataskaitą
5. PSTI akto dokumentai:
1) JK produktų saugumo ir telekomunikacijų infrastruktūros (produktų saugumo) režimas.
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) 2022 m. Produktų saugos ir telekomunikacijų infrastruktūros įstatymas
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Produktų saugos ir telekomunikacijų infrastruktūros (atitinkamų prijungiamų produktų saugos reikalavimai) taisyklės 2023 m.
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Kol kas liko mažiau nei 2 mėnesiai. Didiesiems į JK rinką eksportuojantiems gamintojams rekomenduojama kuo greičiau užbaigti PSTI sertifikatą, kad būtų užtikrintas sklandus įėjimas į JK rinką.
Paskelbimo laikas: 2024-03-11
