Gemäß dem Produktsicherheits- und Telekommunikationsinfrastrukturgesetz 2023 (PSTI) vom Vereinigten Königreich am 29. April 2023 herausgegeben, beginnt das Vereinigte Königreich ab dem 29. April 2024 mit der Durchsetzung von Netzwerksicherheitsanforderungen für angeschlossene Verbrauchergeräte, die für England, Schottland, Wales und Nordirland gelten. Unternehmen, die dagegen verstoßen, müssen mit Geldstrafen von bis zu 10 Millionen Pfund oder 4 % ihres weltweiten Umsatzes rechnen.
1. Einführung in das PSTI-Gesetz:
Die UK Consumer Connect-Produktsicherheitsrichtlinie tritt am 29. April 2024 in Kraft und wird durchgesetzt. Ab diesem Datum verlangt das Gesetz von Herstellern von Produkten, die mit britischen Verbrauchern verbunden werden können, die Einhaltung von Mindestsicherheitsanforderungen. Diese Mindestsicherheitsanforderungen basieren auf den UK Consumer Internet of Things Security Practice Guidelines, dem weltweit führenden Consumer Internet of Things-Sicherheitsstandard ETSI EN 303 645 und Empfehlungen der britischen Behörde für Cyber-Bedrohungstechnologie, dem National Cybersecurity Centre. Dieses System wird auch sicherstellen, dass andere Unternehmen in der Lieferkette dieser Produkte eine Rolle dabei spielen, den Verkauf unsicherer Konsumgüter an britische Verbraucher und Unternehmen zu verhindern.
Dieses System umfasst zwei Gesetze:
1) Teil 1 des Gesetzes über Produktsicherheit und Telekommunikationsinfrastruktur (PSTI) von 2022;
2) Das Produktsicherheits- und Telekommunikationsinfrastrukturgesetz (Sicherheitsanforderungen für verwandte vernetzte Produkte) von 2023.
2. Das PSTI-Gesetz umfasst die Produktpalette:
1) PSTI-kontrollierte Produktpalette:
Hierzu zählen unter anderem auch internetfähige Produkte. Zu den typischen Produkten gehören: Smart-TV, IP-Kamera, Router, intelligente Beleuchtung und Haushaltsprodukte.
2) Produkte außerhalb des PSTI-Kontrollbereichs:
Einschließlich Computer (a) Desktop-Computer; (b) Laptop-Computer; (c) Tablets, die nicht in der Lage sind, eine Verbindung zu Mobilfunknetzen herzustellen (speziell für Kinder unter 14 Jahren entsprechend dem Verwendungszweck des Herstellers konzipiert, keine Ausnahme), medizinische Produkte, Smart-Meter-Produkte, Ladegeräte für Elektrofahrzeuge und Bluetooth -on-one-Verbindungsprodukte. Bitte beachten Sie, dass für diese Produkte möglicherweise auch Cybersicherheitsanforderungen gelten, sie jedoch nicht unter das PSTI-Gesetz fallen und möglicherweise durch andere Gesetze geregelt werden.
3. Drei wichtige Punkte, die das PSTI-Gesetz befolgen muss:
Der PSTI-Gesetzentwurf umfasst zwei Hauptteile: Produktsicherheitsanforderungen und Richtlinien für die Telekommunikationsinfrastruktur. Für die Produktsicherheit gibt es drei wesentliche Punkte, die besondere Aufmerksamkeit erfordern:
1) Passwortanforderungen, basierend auf den gesetzlichen Bestimmungen 5.1-1, 5.1-2. Das PSTI-Gesetz verbietet die Verwendung universeller Standardkennwörter. Dies bedeutet, dass das Produkt ein eindeutiges Standardkennwort festlegen muss oder dass Benutzer bei der ersten Verwendung ein Kennwort festlegen müssen.
2) Fragen des Sicherheitsmanagements: Basierend auf den gesetzlichen Bestimmungen 5.2-1 müssen Hersteller Richtlinien zur Offenlegung von Schwachstellen entwickeln und öffentlich bekannt geben, um sicherzustellen, dass Personen, die Schwachstellen entdecken, Hersteller benachrichtigen können, und um sicherzustellen, dass Hersteller Kunden umgehend benachrichtigen und Reparaturmaßnahmen ergreifen können.
3) Der Sicherheitsaktualisierungszyklus, basierend auf den gesetzlichen Bestimmungen 5.3-13, müssen Hersteller den kürzesten Zeitraum klären und offenlegen, in dem sie Sicherheitsaktualisierungen bereitstellen, damit Verbraucher den Supportzeitraum für Sicherheitsaktualisierungen ihrer Produkte verstehen können.
4. PSTI-Gesetz und ETSI EN 303 645-Testverfahren:
1) Probendatenvorbereitung: 3 Probensätze, einschließlich Host und Zubehör, unverschlüsselte Software, Benutzerhandbücher/Spezifikationen/zugehörige Dienste und Anmeldekontoinformationen
2) Einrichtung einer Testumgebung: Richten Sie eine Testumgebung gemäß dem Benutzerhandbuch ein
3) Durchführung der Netzwerksicherheitsbewertung: Dateiüberprüfung und technische Tests, Überprüfung von Lieferantenfragebögen und Bereitstellung von Feedback
4) Schwachstellenbehebung: Bereitstellung von Beratungsdiensten zur Behebung von Schwachstellen
5) Stellen Sie einen PSTI-Bewertungsbericht oder einen ETSI EN 303645-Bewertungsbericht bereit
5. PSTI-Gesetzdokumente:
1) Das britische System für Produktsicherheit und Telekommunikationsinfrastruktur (Produktsicherheit).
https://www.gov.uk/ Government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2)Produktsicherheits- und Telekommunikationsinfrastrukturgesetz 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Die Produktsicherheits- und Telekommunikationsinfrastrukturverordnung (Sicherheitsanforderungen für relevante anschließbare Produkte) von 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Derzeit sind es noch weniger als 2 Monate. Es wird empfohlen, dass große Hersteller, die in den britischen Markt exportieren, die PSTI-Zertifizierung so schnell wie möglich abschließen, um einen reibungslosen Eintritt in den britischen Markt zu gewährleisten.
Zeitpunkt der Veröffentlichung: 11. März 2024
