De acordo com a Lei de Segurança de Produtos e Infraestrutura de Telecomunicações de 2023, emitida pelo Reino Unido em 29 de abril de 2023, o Reino Unido começará a aplicar requisitos de segurança de rede para dispositivos de consumo conectados a partir de 29 de abril de 2024, aplicáveis à Inglaterra, Escócia, País de Gales e Irlanda do Norte. Até agora, passaram-se apenas pouco mais de 3 meses e os principais fabricantes que exportam para o mercado do Reino Unido precisam de concluir a certificação PSTI o mais rapidamente possível para garantir uma entrada tranquila no mercado do Reino Unido. Há um período de carência esperado de 12 meses a partir da data do anúncio até a implementação.
1. Documentos da Lei PSTI:
①O regime de segurança de produtos e infraestrutura de telecomunicações do Reino Unido (segurança de produtos).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Lei de Segurança de Produtos e Infraestrutura de Telecomunicações de 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Regulamentos de segurança de produtos e infraestrutura de telecomunicações (requisitos de segurança para produtos conectáveis relevantes) de 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. O projeto de lei divide-se em duas partes:
Parte 1: Em relação aos requisitos de segurança do produto
O rascunho da Portaria de Segurança de Produtos e Infraestrutura de Telecomunicações (Requisitos de Segurança para Produtos Conectados Relacionados) introduzido pelo governo do Reino Unido em 2023. O rascunho atende às demandas feitas por fabricantes, importadores e distribuidores como entidades obrigadas, e tem o direito de impor multas de até £ 10 milhões ou 4% da receita global da empresa sobre os infratores. As empresas que continuarem a violar os regulamentos também serão multadas em £ 20.000 adicionais por dia.
Parte 2: Diretrizes para Infraestrutura de Telecomunicações, desenvolvidas para acelerar a instalação, uso e atualização de tais equipamentos
Esta seção exige que os fabricantes, importadores e distribuidores de IoT cumpram requisitos específicos de segurança cibernética. Apoia a introdução de redes de banda larga e 5G até gigabits para proteger os cidadãos dos riscos representados por dispositivos de consumo conectados inseguros.
A Lei das Comunicações Electrónicas estipula o direito dos operadores de redes e fornecedores de infra-estruturas de instalar e manter infra-estruturas de comunicações digitais em terrenos públicos e privados. A revisão da Lei das Comunicações Eletrónicas em 2017 tornou a implantação, manutenção e atualização da infraestrutura digital mais barata e fácil. As novas medidas relacionadas com a infra-estrutura de telecomunicações no projecto de lei do PSTI baseiam-se na Lei revista das Comunicações Electrónicas de 2017, que ajudará a garantir o lançamento de redes de banda larga gigabit e 5G orientadas para o futuro.
A Lei PSTI complementa a Parte 1 da Lei de Segurança de Produtos e Infraestrutura de Comunicação de 2022, que estabelece os requisitos mínimos de segurança para fornecer produtos aos consumidores britânicos. Com base na ETSI EN 303 645 v2.1.1, seções 5.1-1, 5.1-2, 5.2-1 e 5.3-13, bem como nas normas ISO/IEC 29147:2018, são propostos regulamentos e requisitos correspondentes para senhas, segurança mínima atualizar ciclos de tempo e como relatar problemas de segurança.
Escopo do produto envolvido:
Produtos conectados relacionados à segurança, como detectores de fumaça e neblina, detectores de incêndio e fechaduras de portas, dispositivos de automação residencial conectados, campainhas e sistemas de alarme inteligentes, estações base IoT e hubs que conectam vários dispositivos, assistentes domésticos inteligentes, smartphones, câmeras conectadas (IP e CFTV), dispositivos vestíveis, refrigeradores conectados, máquinas de lavar, freezers, máquinas de café, controladores de jogos e outros produtos similares.
Escopo dos produtos isentos:
Produtos vendidos na Irlanda do Norte, contadores inteligentes, pontos de carregamento de veículos elétricos e dispositivos médicos, bem como tablets de computador para maiores de 14 anos.
3.A norma ETSI EN 303 645 para a segurança e privacidade dos produtos IoT inclui as seguintes 13 categorias de requisitos:
1) Segurança de senha padrão universal
2) Gerenciamento e execução de relatórios de fraquezas
3) Atualizações de software
4) Economia inteligente de parâmetros de segurança
5) Segurança da comunicação
6) Reduza a exposição da superfície de ataque
7) Protegendo informações pessoais
8) Integridade de Software
9) Capacidade anti-interferência do sistema
10) Verifique os dados de telemetria do sistema
11) Conveniente para os usuários excluirem informações pessoais
12) Simplifique a instalação e manutenção de equipamentos
13) Verifique os dados de entrada
Requisitos de fatura e 2 padrões correspondentes
Proibir senhas padrão universais - ETSI EN 303 645 disposições 5.1-1 e 5.1-2
Requisitos para implementação de métodos de gerenciamento de relatórios de vulnerabilidade - disposições ETSI EN 303 645 5.2-1
ISO/IEC 29147 (2018) cláusula 6.2
Exigir transparência no ciclo mínimo de atualização de segurança para produtos - ETSI EN 303 645 disposição 5.3-13
O PSTI exige que os produtos atendam aos três padrões de segurança acima antes de serem colocados no mercado. Os fabricantes, importadores e distribuidores de produtos relacionados devem cumprir os requisitos de segurança desta lei. Os fabricantes e importadores devem garantir que seus produtos venham com uma declaração de conformidade e tomar medidas em caso de falha de conformidade, mantendo registros de investigação, etc. Caso contrário, os infratores serão multados em até £ 10 milhões ou 4% da receita global da empresa.
4. Lei PSTI e Processo de Teste ETSI EN 303 645:
1) Preparação de dados de amostra
3 conjuntos de amostras, incluindo host e acessórios, software não criptografado, manuais/especificações do usuário/serviços relacionados e informações de conta de login
2)Estabelecimento do ambiente de teste
Estabeleça um ambiente de teste com base no manual do usuário
3) Execução da avaliação de segurança da rede:
Revisão de documentos e testes técnicos, inspeção de questionários de fornecedores e fornecimento de feedback
4) Reparação de fraqueza
Fornecer serviços de consultoria para corrigir problemas de fraqueza
5)Fornecer relatório de avaliação PSTI ou relatório de avaliação ETSIEN 303645
5.Como comprovar a conformidade com os requisitos da Lei PSTI do Reino Unido?
O requisito mínimo é atender aos três requisitos da Lei PSTI relativos a senhas, ciclos de manutenção de software e relatórios de vulnerabilidades, e fornecer documentos técnicos, como relatórios de avaliação para esses requisitos, ao mesmo tempo que faz uma autodeclaração de conformidade. Sugerimos a utilização da ETSI EN 303 645 para a avaliação da Lei PSTI do Reino Unido. Esta é também a melhor preparação para a implementação obrigatória dos requisitos de segurança cibernética da diretiva CE RED da UE a partir de 1 de agosto de 2025!
O BTF Testing Lab é uma instituição de testes credenciada pelo Serviço Nacional de Credenciamento para Avaliação de Conformidade da China (CNAS), número: L17568. Após anos de desenvolvimento, a BTF possui laboratório de compatibilidade eletromagnética, laboratório de comunicação sem fio, laboratório SAR, laboratório de segurança, laboratório de confiabilidade, laboratório de testes de baterias, testes químicos e outros laboratórios. Possui compatibilidade eletromagnética perfeita, radiofrequência, segurança do produto, confiabilidade ambiental, análise de falhas de materiais, ROHS/REACH e outros recursos de teste. O BTF Testing Lab está equipado com instalações de teste profissionais e completas, uma equipe experiente de especialistas em testes e certificação e a capacidade de resolver vários problemas complexos de testes e certificação. Aderimos aos princípios orientadores de "justiça, imparcialidade, precisão e rigor" e seguimos rigorosamente os requisitos do sistema de gerenciamento de laboratório de testes e calibração ISO/IEC 17025 para gestão científica. Estamos empenhados em fornecer aos clientes um serviço da mais alta qualidade. Se você tiver alguma dúvida, não hesite em nos contatar a qualquer momento.
Horário da postagem: 16 de janeiro de 2024
