Secondo la legge sulla sicurezza dei prodotti e sulle infrastrutture di telecomunicazione del 2023 (PSTI) emessa dal Regno Unito il 29 aprile 2023, il Regno Unito inizierà ad applicare i requisiti di sicurezza di rete per i dispositivi consumer connessi a partire dal 29 aprile 2024, applicabili a Inghilterra, Scozia, Galles e Irlanda del Nord. Le aziende che trasgrediscono dovranno affrontare multe fino a 10 milioni di sterline o il 4% delle loro entrate globali.
1.Introduzione alla legge PSTI:
La politica di sicurezza dei prodotti Consumer Connect del Regno Unito entrerà in vigore e sarà applicata il 29 aprile 2024. A partire da questa data, la legge richiederà ai produttori di prodotti che possono essere collegati ai consumatori britannici di rispettare i requisiti minimi di sicurezza. Questi requisiti minimi di sicurezza si basano sulle linee guida per le pratiche di sicurezza dell'Internet delle cose per i consumatori del Regno Unito, sullo standard di sicurezza dell'Internet delle cose per consumatori leader a livello mondiale ETSI EN 303 645 e sulle raccomandazioni dell'autorevole organismo del Regno Unito per la tecnologia delle minacce informatiche, il National Cybersecurity Center. Questo sistema garantirà inoltre che altre imprese nella catena di fornitura di questi prodotti svolgano un ruolo nel prevenire la vendita di beni di consumo non sicuri ai consumatori e alle imprese britannici.
Questo sistema comprende due atti legislativi:
1) Parte 1 della legge sulla sicurezza dei prodotti e sulle infrastrutture di telecomunicazione (PSTI) del 2022;
2) Legge del 2023 sulla sicurezza dei prodotti e sulle infrastrutture di telecomunicazione (requisiti di sicurezza per i prodotti correlati).
2. La legge PSTI copre la gamma di prodotti:
1) Gamma di prodotti controllati PSTI:
Include, ma non è limitato a, prodotti connessi a Internet. I prodotti tipici includono: smart TV, telecamera IP, router, illuminazione intelligente e prodotti per la casa.
2) Prodotti fuori dall'ambito di controllo PSTI:
Compresi i computer (a) computer desktop; (b) Computer portatile; (c) Tablet che non hanno la capacità di connettersi a reti cellulari (progettati specificamente per bambini di età inferiore a 14 anni in base all'uso previsto dal produttore, non un'eccezione), prodotti medici, contatori intelligenti, caricabatterie per veicoli elettrici e dispositivi Bluetooth prodotti di connessione on-one. Tieni presente che questi prodotti potrebbero avere anche requisiti di sicurezza informatica, ma non sono coperti dal PSTI Act e potrebbero essere regolati da altre leggi.
3. Tre i punti chiave che la legge PSTI dovrà seguire:
Il disegno di legge PSTI comprende due parti principali: requisiti di sicurezza dei prodotti e linee guida per le infrastrutture di telecomunicazioni. Per la sicurezza del prodotto, ci sono tre punti chiave che richiedono particolare attenzione:
1) Requisiti della password, in base alle disposizioni normative 5.1-1, 5.1-2. Il PSTI Act vieta l'uso di password predefinite universali. Ciò significa che il prodotto deve impostare una password predefinita univoca o richiedere agli utenti di impostare una password al primo utilizzo.
2) Problemi di gestione della sicurezza, sulla base delle disposizioni normative 5.2-1, i produttori devono sviluppare e divulgare pubblicamente politiche di divulgazione delle vulnerabilità per garantire che le persone che scoprono vulnerabilità possano avvisare i produttori e garantire che i produttori possano avvisare tempestivamente i clienti e fornire misure di riparazione.
3) Nel ciclo di aggiornamento sulla sicurezza, basato sulle disposizioni normative 5.3-13, i produttori devono chiarire e divulgare il periodo di tempo più breve in cui forniranno gli aggiornamenti di sicurezza, in modo che i consumatori possano comprendere il periodo di supporto degli aggiornamenti di sicurezza dei loro prodotti.
4. Legge PSTI e processo di test ETSI EN 303 645:
1) Preparazione dei dati campione: 3 set di campioni inclusi host e accessori, software non crittografato, manuali utente/specifiche/servizi correlati e informazioni sull'account di accesso
2) Creazione dell'ambiente di test: stabilire un ambiente di test secondo il manuale dell'utente
3) Esecuzione della valutazione della sicurezza della rete: revisione dei file e test tecnici, controllo dei questionari dei fornitori e fornitura di feedback
4) Riparazione delle debolezze: fornire servizi di consulenza per risolvere i problemi di debolezza
5) Fornire un rapporto di valutazione PSTI o un rapporto di valutazione ETSI EN 303645
5. Documenti della legge PSTI:
1) Il regime britannico per la sicurezza dei prodotti e le infrastrutture di telecomunicazione (sicurezza del prodotto).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2)Legge del 2022 sulla sicurezza dei prodotti e sulle infrastrutture delle telecomunicazioni
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Regolamenti 2023 sulla sicurezza dei prodotti e sull'infrastruttura delle telecomunicazioni (requisiti di sicurezza per i prodotti collegabili rilevanti)
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
A partire da ora, mancano meno di 2 mesi. Si raccomanda ai principali produttori che esportano nel mercato del Regno Unito di completare la certificazione PSTI il prima possibile per garantire un ingresso agevole nel mercato del Regno Unito.
Orario di pubblicazione: 11 marzo 2024
