Gemäß dem vom Vereinigten Königreich am 29. April 2023 erlassenen Product Safety and Telecommunications Infrastructure Act 2023 wird das Vereinigte Königreich ab dem 29. April 2024 mit der Durchsetzung von Netzwerksicherheitsanforderungen für angeschlossene Verbrauchergeräte beginnen, die für England, Schottland, Wales und Nordirland gelten. Bisher sind gerade einmal etwas mehr als drei Monate vergangen, und große Hersteller, die in den britischen Markt exportieren, müssen die PSTI-Zertifizierung so schnell wie möglich abschließen, um einen reibungslosen Eintritt in den britischen Markt zu gewährleisten. Vom Datum der Ankündigung bis zur Umsetzung wird mit einer Nachfrist von 12 Monaten gerechnet.
1.Dokumente des PSTI-Gesetzes:
①Das britische System für Produktsicherheit und Telekommunikationsinfrastruktur (Produktsicherheit).
https://www.gov.uk/ Government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Product Security and Telecommunications Infrastructure Act 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Die Produktsicherheits- und Telekommunikationsinfrastrukturverordnung (Sicherheitsanforderungen für relevante anschließbare Produkte) von 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Der Gesetzentwurf gliedert sich in zwei Teile:
Teil 1: Bezüglich Produktsicherheitsanforderungen
Der von der britischen Regierung im Jahr 2023 vorgelegte Entwurf der Verordnung zur Produktsicherheit und Telekommunikationsinfrastruktur (Sicherheitsanforderungen für verbundene verbundene Produkte). Der Entwurf geht auf die Forderungen von Herstellern, Importeuren und Händlern als Verpflichteten ein und sieht das Recht vor, Bußgelder zu verhängen von bis zu 10 Millionen Pfund oder 4 % des weltweiten Umsatzes des Unternehmens bei Verstößen. Unternehmen, die weiterhin gegen Vorschriften verstoßen, werden außerdem mit einer zusätzlichen Geldstrafe von 20.000 £ pro Tag belegt.
Teil 2: Richtlinien zur Telekommunikationsinfrastruktur, entwickelt, um die Installation, Nutzung und Aufrüstung solcher Geräte zu beschleunigen
Dieser Abschnitt verlangt von IoT-Herstellern, Importeuren und Händlern die Einhaltung spezifischer Cybersicherheitsanforderungen. Es unterstützt die Einführung von Breitband- und 5G-Netzen bis zu Gigabit, um die Bürger vor den Risiken zu schützen, die durch unsichere, mit Verbrauchern verbundene Geräte entstehen.
Das Gesetz über elektronische Kommunikation legt das Recht von Netzbetreibern und Infrastrukturanbietern fest, digitale Kommunikationsinfrastruktur auf öffentlichen und privaten Grundstücken zu installieren und zu unterhalten. Die Überarbeitung des Gesetzes über elektronische Kommunikation im Jahr 2017 machte den Aufbau, die Wartung und die Modernisierung der digitalen Infrastruktur kostengünstiger und einfacher. Die neuen Maßnahmen im Zusammenhang mit der Telekommunikationsinfrastruktur im Entwurf des PSTI-Gesetzes basieren auf dem überarbeiteten Gesetz über elektronische Kommunikation von 2017, das dazu beitragen wird, die Einführung zukunftsorientierter Gigabit-Breitband- und 5G-Netze sicherzustellen.
Das PSTI-Gesetz ergänzt Teil 1 des Product Security and Communication Infrastructure Act 2022, der die Mindestsicherheitsanforderungen für die Bereitstellung von Produkten an britische Verbraucher festlegt. Basierend auf ETSI EN 303 645 v2.1.1, Abschnitte 5.1-1, 5.1-2, 5.2-1 und 5.3-13, sowie den ISO/IEC 29147:2018-Standards werden entsprechende Regelungen und Anforderungen für Passwörter und Mindestsicherheit vorgeschlagen Update-Zeitzyklen und wie man Sicherheitsprobleme meldet.
Beteiligter Produktumfang:
Vernetzte sicherheitsbezogene Produkte wie Rauch- und Nebelmelder, Feuermelder und Türschlösser, vernetzte Hausautomationsgeräte, intelligente Türklingeln und Alarmsysteme, IoT-Basisstationen und Hubs, die mehrere Geräte verbinden, Smart-Home-Assistenten, Smartphones, vernetzte Kameras (IP und CCTV), tragbare Geräte, vernetzte Kühlschränke, Waschmaschinen, Gefrierschränke, Kaffeemaschinen, Gamecontroller und andere ähnliche Produkte.
Umfang der ausgenommenen Produkte:
In Nordirland verkaufte Produkte, intelligente Messgeräte, Ladestationen für Elektrofahrzeuge und medizinische Geräte sowie Computer-Tablets für die Nutzung ab 14 Jahren.
3. Die Norm ETSI EN 303 645 für Sicherheit und Datenschutz von IoT-Produkten umfasst die folgenden 13 Anforderungskategorien:
1) Universelle Standard-Passwortsicherheit
2) Verwaltung und Ausführung von Schwachstellenberichten
3) Software-Updates
4) Intelligente Speicherung von Sicherheitsparametern
5) Kommunikationssicherheit
6) Reduzieren Sie die Angriffsfläche
7) Schutz personenbezogener Daten
8) Softwareintegrität
9) Anti-Interferenz-Fähigkeit des Systems
10) Überprüfen Sie die Telemetriedaten des Systems
11) Praktisch für Benutzer zum Löschen persönlicher Daten
12) Vereinfachen Sie die Installation und Wartung der Geräte
13) Überprüfen Sie die Eingabedaten
Rechnungsanforderungen und entsprechende 2 Standards
Universelle Standardpasswörter verbieten – ETSI EN 303 645 Bestimmungen 5.1-1 und 5.1-2
Anforderungen an die Implementierung von Methoden zur Verwaltung von Schwachstellenberichten – ETSI EN 303 645, Bestimmungen 5.2-1
ISO/IEC 29147 (2018) Abschnitt 6.2
Fordern Sie Transparenz im Mindestzeitzyklus für Sicherheitsaktualisierungen für Produkte – ETSI EN 303 645 Bestimmung 5.3-13
PSTI verlangt, dass Produkte die oben genannten drei Sicherheitsstandards erfüllen, bevor sie auf den Markt gebracht werden dürfen. Hersteller, Importeure und Händler verwandter Produkte müssen die Sicherheitsanforderungen dieses Gesetzes einhalten. Hersteller und Importeure müssen sicherstellen, dass ihre Produkte mit einer Konformitätserklärung versehen sind, und bei Verstößen gegen die Vorschriften Maßnahmen ergreifen, Untersuchungsaufzeichnungen führen usw. Andernfalls werden Verstöße mit einer Geldstrafe von bis zu 10 Millionen Pfund oder 4 % des weltweiten Umsatzes des Unternehmens belegt.
4. PSTI-Gesetz und ETSI EN 303 645-Testverfahren:
1) Beispieldatenvorbereitung
3 Mustersätze, darunter Host und Zubehör, unverschlüsselte Software, Benutzerhandbücher/Spezifikationen/zugehörige Dienste und Anmeldekontoinformationen
2) Einrichtung einer Testumgebung
Richten Sie eine Testumgebung basierend auf dem Benutzerhandbuch ein
3) Durchführung der Netzwerksicherheitsbewertung:
Dokumentenprüfung und technische Tests, Einsicht in Lieferantenfragebögen und Bereitstellung von Feedback
4) Schwachstellenreparatur
Bereitstellung von Beratungsdiensten zur Behebung von Schwachstellen
5)Stellen Sie einen PSTI-Bewertungsbericht oder einen ETSIEN 303645-Bewertungsbericht bereit
5.Wie kann die Einhaltung der Anforderungen des britischen PSTI-Gesetzes nachgewiesen werden?
Die Mindestanforderung besteht darin, die drei Anforderungen des PSTI-Gesetzes in Bezug auf Passwörter, Softwarewartungszyklen und Schwachstellenberichterstattung zu erfüllen, technische Dokumente wie Bewertungsberichte für diese Anforderungen bereitzustellen und gleichzeitig eine Selbsterklärung zur Konformität abzugeben. Wir empfehlen die Verwendung von ETSI EN 303 645 für die Bewertung des britischen PSTI-Gesetzes. Dies ist auch die beste Vorbereitung für die verpflichtende Umsetzung der Cybersicherheitsanforderungen der EU CE RED-Richtlinie ab dem 1. August 2025!
BTF Testing Lab ist eine vom China National Accreditation Service for Conformity Assessment (CNAS) akkreditierte Prüfinstitution, Nummer: L17568. Nach Jahren der Entwicklung verfügt BTF über ein Labor für elektromagnetische Verträglichkeit, ein Labor für drahtlose Kommunikation, ein SAR-Labor, ein Sicherheitslabor, ein Zuverlässigkeitslabor, ein Batterietestlabor, chemische Tests und andere Labore. Verfügt über perfekte elektromagnetische Verträglichkeit, Hochfrequenz, Produktsicherheit, Umweltzuverlässigkeit, Materialfehleranalyse, ROHS/REACH und andere Testfunktionen. Das BTF Testing Lab verfügt über professionelle und umfassende Testeinrichtungen, ein erfahrenes Team von Test- und Zertifizierungsexperten und die Fähigkeit, verschiedene komplexe Test- und Zertifizierungsprobleme zu lösen. Wir halten uns an die Leitprinzipien „Fairness, Unparteilichkeit, Genauigkeit und Strenge“ und halten uns strikt an die Anforderungen des Prüf- und Kalibrierungslabormanagementsystems ISO/IEC 17025 für wissenschaftliches Management. Wir sind bestrebt, unseren Kunden Service von höchster Qualität zu bieten. Bei Fragen können Sie sich gerne jederzeit an uns wenden.
Zeitpunkt der Veröffentlichung: 16. Januar 2024
