Secondo il Product Safety and Telecommunications Infrastructure Act 2023 emesso dal Regno Unito il 29 aprile 2023, il Regno Unito inizierà ad applicare i requisiti di sicurezza di rete per i dispositivi consumer connessi a partire dal 29 aprile 2024, applicabili a Inghilterra, Scozia, Galles e Irlanda del Nord. A partire da ora, sono passati solo poco più di 3 mesi e i principali produttori che esportano nel mercato del Regno Unito devono completare la certificazione PSTI il prima possibile per garantire un ingresso agevole nel mercato del Regno Unito. È previsto un periodo di grazia di 12 mesi dalla data di annuncio fino all'implementazione.
1.Documenti della legge PSTI:
①Il regime britannico per la sicurezza dei prodotti e le infrastrutture di telecomunicazione (sicurezza del prodotto).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Legge del 2022 sulla sicurezza dei prodotti e sulle infrastrutture delle telecomunicazioni.https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Regolamenti 2023 sulla sicurezza dei prodotti e sull'infrastruttura delle telecomunicazioni (requisiti di sicurezza per i prodotti collegabili rilevanti)https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Il disegno di legge si articola in due parti:
Parte 1: Per quanto riguarda i requisiti di sicurezza del prodotto
La bozza dell'ordinanza sull'infrastruttura per la sicurezza dei prodotti e le telecomunicazioni (requisiti di sicurezza per i prodotti connessi correlati) introdotta dal governo del Regno Unito nel 2023. La bozza affronta le richieste avanzate da produttori, importatori e distributori come entità obbligate e ha il diritto di imporre sanzioni fino a 10 milioni di sterline o il 4% delle entrate globali dell'azienda per i trasgressori. Le aziende che continuano a violare le norme verranno inoltre multate con ulteriori 20.000 sterline al giorno.
Parte 2: Linee guida per l'infrastruttura delle telecomunicazioni, sviluppate per accelerare l'installazione, l'uso e l'aggiornamento di tali apparecchiature
Questa sezione richiede che produttori, importatori e distributori IoT rispettino specifici requisiti di sicurezza informatica. Sostiene l’introduzione della banda larga e delle reti 5G fino ai gigabit per proteggere i cittadini dai rischi posti dai dispositivi connessi non sicuri dei consumatori.
La legge sulle comunicazioni elettroniche sancisce il diritto degli operatori di rete e dei fornitori di infrastrutture di installare e mantenere infrastrutture di comunicazione digitale su suolo pubblico e privato. La revisione della legge sulle comunicazioni elettroniche nel 2017 ha reso la realizzazione, la manutenzione e l’aggiornamento delle infrastrutture digitali più economici e semplici. Le nuove misure relative alle infrastrutture di telecomunicazione nel progetto di legge PSTI si basano sulla revisione della legge sulle comunicazioni elettroniche del 2017, che contribuirà a garantire il lancio di reti Gigabit a banda larga e 5G orientate al futuro.
Il PSTI Act integra la Parte 1 del Product Security and Communication Infrastructure Act 2022, che stabilisce i requisiti minimi di sicurezza per la fornitura di prodotti ai consumatori britannici. Sulla base della norma ETSI EN 303 645 v2.1.1, sezioni 5.1-1, 5.1-2, 5.2-1 e 5.3-13, nonché degli standard ISO/IEC 29147:2018, vengono proposti regolamenti e requisiti corrispondenti per password, sicurezza minima aggiornare i cicli temporali e come segnalare problemi di sicurezza.
Ambito del prodotto coinvolto:
Prodotti connessi relativi alla sicurezza, come rilevatori di fumo e nebbia, rilevatori di incendio e serrature per porte, dispositivi di automazione domestica connessi, campanelli e sistemi di allarme intelligenti, stazioni base e hub IoT che collegano più dispositivi, assistenti domestici intelligenti, smartphone, fotocamere connesse (IP e CCTV), dispositivi indossabili, frigoriferi connessi, lavatrici, congelatori, macchine da caffè, controller di gioco e altri prodotti simili.
Ambito dei prodotti esentati:
Prodotti venduti in Irlanda del Nord, contatori intelligenti, punti di ricarica per veicoli elettrici e dispositivi medici, nonché tablet per computer utilizzabili dai maggiori di 14 anni.
3.Lo standard ETSI EN 303 645 per la sicurezza e la privacy dei prodotti IoT comprende le seguenti 13 categorie di requisiti:
1) Sicurezza della password predefinita universale
2) Gestione ed esecuzione dei rapporti di debolezza
3) Aggiornamenti del software
4) Salvataggio intelligente dei parametri di sicurezza
5) Sicurezza delle comunicazioni
6) Ridurre l'esposizione della superficie di attacco
7) Protezione delle informazioni personali
8) Integrità del software
9) Abilità anti-interferenza del sistema
10) Controllare i dati di telemetria del sistema
11) Comodo per gli utenti eliminare le informazioni personali
12) Semplificare l'installazione e la manutenzione delle apparecchiature
13) Verificare i dati di input
Requisiti di legge e 2 standard corrispondenti
Vietare password predefinite universali - disposizioni ETSI EN 303 645 5.1-1 e 5.1-2
Requisiti per l'implementazione dei metodi per la gestione dei report sulle vulnerabilità - ETSI EN 303 645 disposizioni 5.2-1
ISO/IEC 29147 (2018) punto 6.2
Richiedere trasparenza nel ciclo temporale minimo di aggiornamento della sicurezza per i prodotti - ETSI EN 303 645 disposizione 5.3-13
PSTI richiede che i prodotti soddisfino i tre standard di sicurezza sopra menzionati prima di poter essere immessi sul mercato. Produttori, importatori e distributori di prodotti correlati devono rispettare i requisiti di sicurezza di questa legge. I produttori e gli importatori devono garantire che i loro prodotti siano dotati di una dichiarazione di conformità e agire in caso di mancata conformità, conservando i registri delle indagini, ecc. In caso contrario, i trasgressori saranno multati fino a 10 milioni di sterline o al 4% delle entrate globali dell'azienda.
4. Legge PSTI e processo di test ETSI EN 303 645:
1)Preparazione dei dati del campione
3 set di campioni inclusi host e accessori, software non crittografato, manuali utente/specifiche/servizi correlati e informazioni sull'account di accesso
2)Creazione dell'ambiente di test
Stabilire un ambiente di test basato sul manuale dell'utente
3)Esecuzione della valutazione della sicurezza della rete:
Revisione della documentazione e test tecnici, ispezione dei questionari dei fornitori e fornitura di feedback
4)Riparazione delle debolezze
Fornire servizi di consulenza per risolvere i problemi di debolezza
5) Fornire un rapporto di valutazione PSTI o un rapporto di valutazione ETSIEN 303645
5.Come dimostrare la conformità ai requisiti della legge PSTI del Regno Unito?
Il requisito minimo è soddisfare i tre requisiti della legge PSTI relativi a password, cicli di manutenzione del software e segnalazione delle vulnerabilità e fornire documenti tecnici come rapporti di valutazione per tali requisiti, facendo anche un'autodichiarazione di conformità. Suggeriamo di utilizzare ETSI EN 303 645 per la valutazione della legge PSTI del Regno Unito. Questa è anche la migliore preparazione per l'attuazione obbligatoria dei requisiti di sicurezza informatica della direttiva UE CE RED a partire dal 1° agosto 2025!
BTF Testing Lab è un istituto di test accreditato dal China National Accreditation Service for Conformity Assessment (CNAS), numero: L17568. Dopo anni di sviluppo, BTF dispone di un laboratorio di compatibilità elettromagnetica, un laboratorio di comunicazione wireless, un laboratorio SAR, un laboratorio di sicurezza, un laboratorio di affidabilità, un laboratorio di test sulle batterie, test chimici e altri laboratori. Ha una perfetta compatibilità elettromagnetica, radiofrequenza, sicurezza del prodotto, affidabilità ambientale, analisi dei guasti dei materiali, ROHS/REACH e altre capacità di test. BTF Testing Lab è dotato di strutture di test professionali e complete, un team esperto di esperti di test e certificazione e la capacità di risolvere vari problemi complessi di test e certificazione. Aderiamo ai principi guida di "equità, imparzialità, accuratezza e rigore" e seguiamo rigorosamente i requisiti del sistema di gestione dei laboratori di prova e calibrazione ISO/IEC 17025 per la gestione scientifica. Ci impegniamo a fornire ai clienti un servizio della massima qualità. Se avete domande, non esitate a contattarci in qualsiasi momento.
Orario di pubblicazione: 16 gennaio 2024
