Volgens die Wet op Produkveiligheid en Telekommunikasie-infrastruktuur 2023 (PSTI) uitgereik deur die VK op 29 April 2023, sal die VK vanaf 29 April 2024 netwerksekuriteitsvereistes vir gekoppelde verbruikerstoestelle begin afdwing, van toepassing op Engeland, Skotland, Wallis en Noord-Ierland. Oortreding van maatskappye sal boetes van tot £ 10 miljoen of 4% van hul wêreldwye inkomste in die gesig staar.
1. Inleiding tot die PSTI-wet:
Die UK Consumer Connect-produkveiligheidsbeleid sal in werking tree en op 29 April 2024 afgedwing word. Vanaf hierdie datum sal die wet vereis dat vervaardigers van produkte wat aan Britse verbruikers gekoppel kan word, aan minimum veiligheidsvereistes moet voldoen. Hierdie minimum sekuriteitsvereistes is gebaseer op die UK Consumer Internet of Things Sekuriteitspraktykriglyne, die wêreldwye toonaangewende verbruikers Internet of Things sekuriteitstandaard ETSI EN 303 645, en aanbevelings van die VK se gesaghebbende liggaam vir kuberbedreigingstegnologie, die Nasionale Kuberveiligheidsentrum. Hierdie stelsel sal ook verseker dat ander besighede in die voorsieningsketting van hierdie produkte ’n rol speel om te verhoed dat onveilige verbruikersgoedere aan Britse verbruikers en besighede verkoop word.
Hierdie stelsel sluit twee stukke wetgewing in:
1) Deel 1 van die Wet op Produkveiligheid en Telekommunikasie-infrastruktuur (PSTI) van 2022;
2) Die Wet op Produksekuriteit en Telekommunikasie-infrastruktuur (Sekuriteitsvereistes vir verwante gekoppelde produkte) van 2023.
2. Die PSTI-wet dek die produkreeks:
1) PSTI-beheerde produkreeks:
Dit sluit in, maar is nie beperk tot, internet-gekoppelde produkte. Tipiese produkte sluit in: slim-TV, IP-kamera, router, intelligente beligting en huishoudelike produkte.
2) Produkte buite die bestek van PSTI-beheer:
Insluitend rekenaars (a) tafelrekenaars; (b) Skootrekenaar; (c) Tablette wat nie die vermoë het om aan sellulêre netwerke te koppel nie (spesifiek ontwerp vir kinders jonger as 14 jaar volgens die vervaardiger se beoogde gebruik, nie 'n uitsondering nie), mediese produkte, slimmeterprodukte, elektriese voertuiglaaiers en Bluetooth een -op-een verbinding produkte. Neem asseblief kennis dat hierdie produkte ook kuberveiligheidsvereistes kan hê, maar dit word nie deur die PSTI-wet gedek nie en kan deur ander wette gereguleer word.
3. Drie sleutelpunte wat deur die PSTI-wet gevolg moet word:
Die PSTI-wetsontwerp sluit twee groot dele in: produkveiligheidsvereistes en riglyne vir telekommunikasie-infrastruktuur. Vir produkveiligheid is daar drie sleutelpunte wat spesiale aandag verg:
1) Wagwoordvereistes, gebaseer op regulatoriese bepalings 5.1-1, 5.1-2. Die PSTI-wet verbied die gebruik van universele verstekwagwoorde. Dit beteken dat die produk 'n unieke verstekwagwoord moet stel of vereis dat gebruikers 'n wagwoord by hul eerste gebruik moet stel.
2) Sekuriteitsbestuurkwessies, gebaseer op regulatoriese bepalings 5.2-1, moet vervaardigers ontwikkel en openbaarmakingsbeleide oor kwesbaarheid openbaar maak om te verseker dat individue wat kwesbaarhede ontdek vervaardigers kan in kennis stel en verseker dat vervaardigers kliënte onmiddellik in kennis kan stel en herstelmaatreëls kan verskaf.
3) Die veiligheidsopdateringsiklus, gebaseer op regulatoriese bepalings 5.3-13, moet vervaardigers duidelik maak en die kortste tydperk wat hulle veiligheidsopdaterings sal verskaf, openbaar maak sodat verbruikers die veiligheidsopdateringondersteuningstydperk van hul produkte kan verstaan.
4. PSTI Wet en ETSI EN 303 645 Toetsproses:
1) Voorbeelddatavoorbereiding: 3 stelle monsters insluitend gasheer en bykomstighede, ongeënkripteerde sagteware, gebruikershandleidings/spesifikasies/verwante dienste, en aanmeldrekeninginligting
2) Toetsomgewing-instelling: Vestig 'n toetsomgewing volgens die gebruikershandleiding
3) Uitvoering van netwerksekuriteitsevaluering: lêerhersiening en tegniese toetsing, kontrolering van verskaffersvraelyste en verskaffing van terugvoer
4) Swakheid herstel: Verskaf raadgewende dienste om swakheid probleme op te los
5) Verskaf PSTI-evalueringsverslag of ETSI EN 303645-evalueringsverslag
5. PSTI Wet Dokumente:
1) Die Britse produksekuriteit en telekommunikasie-infrastruktuur (produksekuriteit) regime.
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) Wet op Produksekuriteit en Telekommunikasie-infrastruktuur 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Die Produksekuriteit- en Telekommunikasie-infrastruktuur (Sekuriteitsvereistes vir relevante koppelbare produkte) Regulasies 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Van nou af is dit minder as 2 maande weg. Dit word aanbeveel dat groot vervaardigers wat na die VK-mark uitvoer so gou moontlik PSTI-sertifisering voltooi om gladde toetrede tot die VK-mark te verseker.
Postyd: Mar-11-2024
