Obwohl die EU bei der Durchsetzung der Cybersicherheitsanforderungen scheinbar nur langsam vorgeht, wird das Vereinigte Königreich dies nicht tun. Gemäß den britischen Produktsicherheits- und Telekommunikationsinfrastrukturvorschriften 2023 wird das Vereinigte Königreich ab dem 29. April 2024 damit beginnen, Netzwerksicherheitsanforderungen für angeschlossene Verbrauchergeräte durchzusetzen.
1. Beteiligte Produkte
Die Product Security and Telecommunications Infrastructure Regulations 2022 im Vereinigten Königreich legen den Umfang der Produkte fest, die eine Kontrolle der Netzwerksicherheit erfordern. Natürlich umfasst es auch Produkte mit Internet-Konnektivität, ist aber nicht auf Produkte mit Internet-Konnektivität beschränkt. Zu den typischen Produkten gehören Smart-TVs, IP-Kameras, Router, intelligente Beleuchtung und Haushaltsprodukte.
Zu den besonders ausgeschlossenen Produkten gehören Computer, medizinische Produkte, Smart-Meter-Produkte und Ladegeräte für Elektrofahrzeuge. Bitte beachten Sie, dass für diese Produkte möglicherweise auch Netzwerksicherheitsanforderungen gelten, sie jedoch nicht in den Geltungsbereich der PSTI-Vorschriften fallen und möglicherweise durch andere Vorschriften geregelt werden.
2. Spezifische Anforderungen?
Die Anforderungen der PSTI-Vorschriften an die Netzwerksicherheit gliedern sich hauptsächlich in drei Aspekte
Passwort
Wartungszyklus
Schwachstellenbericht
Diese Anforderungen können direkt gemäß den PSTI-Vorschriften oder anhand der Netzwerksicherheitsnorm ETSI EN 303 645 für Verbraucherprodukte des Internets der Dinge bewertet werden, um die Produktkonformität mit den PSTI-Vorschriften nachzuweisen. Das heißt, die Erfüllung der Norm ETSI EN 303 645 ist gleichbedeutend mit der Erfüllung der Anforderungen der britischen PSTI-Vorschriften.
3. Bezüglich ETSI EN 303 645
Die Norm ETSI EN 303 645 wurde erstmals im Jahr 2020 veröffentlicht und entwickelte sich schnell zum international am weitesten verbreiteten Standard zur Bewertung der Netzwerksicherheit von IoT-Geräten außerhalb Europas. Die Verwendung des Standards ETSI EN 303 645 ist die praxistauglichste Methode zur Netzwerksicherheitsbewertung, die nicht nur ein gutes Maß an Grundsicherheit gewährleistet, sondern auch die Grundlage für mehrere Authentifizierungsschemata bildet. Im Jahr 2023 wurde dieser Standard von der IECEE offiziell als Zertifizierungsstandard für das CB-Schema des internationalen Zertifizierungssystems für Elektroprodukte akzeptiert.
4.Wie kann die Einhaltung regulatorischer Anforderungen nachgewiesen werden?
Die Mindestanforderung besteht darin, die drei Anforderungen des PSTI-Gesetzes in Bezug auf Passwörter, Wartungszyklen und Schwachstellenmeldung zu erfüllen und eine Selbsterklärung zur Einhaltung dieser Anforderungen abzugeben.
Um Ihren Kunden die Einhaltung von Vorschriften besser nachweisen zu können und wenn Ihr Zielmarkt nicht auf das Vereinigte Königreich beschränkt ist, ist es sinnvoll, internationale Standards zur Bewertung heranzuziehen. Dies ist auch ein wichtiger Bestandteil der Vorbereitung auf die Cybersicherheitsanforderungen, die die Europäische Union ab August 2025 durchsetzen wird.
5. Stellen Sie fest, ob Ihr Produkt in den Geltungsbereich der PSTI-Vorschriften fällt.
Wir arbeiten mit mehreren lokal anerkannten, maßgeblichen Labors zusammen, um lokalisierte Netzwerk-Informationssicherheitsbewertungs-, Beratungs- und Zertifizierungsdienste für IoT-Geräte anzubieten. Zu unseren Dienstleistungen gehören:
Bieten Sie während der Entwicklungsphase von Netzwerkprodukten Beratung zum Informationssicherheitsdesign und Vorprüfungen an.
Legen Sie eine Bewertung vor, um nachzuweisen, dass das Produkt die Netzwerksicherheitsanforderungen der RED-Richtlinie erfüllt
Bewerten Sie gemäß ETSI/EN 303 645 oder nationalen Cybersicherheitsvorschriften und stellen Sie ein Konformitätszertifikat oder eine Zertifizierung aus.
Zeitpunkt der Veröffentlichung: 28. Dezember 2023