Embora a UE pareça estar a atrasar a aplicação dos requisitos de segurança cibernética, o Reino Unido não o fará. De acordo com os Regulamentos de Segurança de Produtos e Infraestrutura de Telecomunicações do Reino Unido de 2023, a partir de 29 de abril de 2024, o Reino Unido começará a aplicar requisitos de segurança de rede para dispositivos de consumo conectados.
1. Produtos envolvidos
Os Regulamentos de Segurança de Produtos e Infraestrutura de Telecomunicações de 2022 no Reino Unido especificam o escopo de produtos que exigem controle de segurança de rede. É claro que inclui produtos com conectividade à Internet, mas não se limita a produtos com conectividade à Internet. Os produtos típicos incluem smart TVs, câmeras IP, roteadores, iluminação inteligente e produtos domésticos.
Os produtos especialmente excluídos incluem computadores, produtos médicos, medidores inteligentes e carregadores de veículos elétricos. Observe que esses produtos também podem ter requisitos de segurança de rede, mas não estão dentro do escopo das regulamentações PSTI e podem ser regulamentados por outras regulamentações.
2. Requisitos específicos?
Os requisitos dos regulamentos PSTI para segurança de rede são divididos principalmente em três aspectos
senha
Ciclo de manutenção
Relatório de vulnerabilidade
Esses requisitos podem ser avaliados diretamente de acordo com os regulamentos da PSTI, ou avaliados referenciando o padrão de segurança de rede ETSI EN 303 645 para produtos de consumo da Internet das Coisas para demonstrar a conformidade do produto com os regulamentos do PSTI. Ou seja, cumprir a norma ETSI EN 303 645 equivale a cumprir os requisitos dos regulamentos PSTI do Reino Unido.
3. Em relação ao ETSI EN 303 645
A norma ETSI EN 303 645 foi lançada pela primeira vez em 2020 e rapidamente se tornou a norma de avaliação de segurança de rede de dispositivos IoT mais utilizada internacionalmente fora da Europa. A utilização da norma ETSI EN 303 645 é o método de avaliação de segurança de rede mais prático, que não só garante um bom nível de segurança básica, mas também constitui a base para vários esquemas de autenticação. Em 2023, esta norma foi oficialmente aceite pela IECEE como a norma de certificação para o esquema CB do esquema internacional de certificação para produtos elétricos.
4.Como comprovar o cumprimento dos requisitos regulamentares?
O requisito mínimo é atender aos três requisitos da Lei PSTI relativos a senhas, ciclos de manutenção e relatórios de vulnerabilidades, e fornecer uma autodeclaração de conformidade com esses requisitos.
Para demonstrar melhor a conformidade com os regulamentos aos seus clientes e se o seu mercado-alvo não estiver limitado ao Reino Unido, é razoável utilizar padrões internacionais para avaliação. Esta é também uma componente importante da preparação para cumprir os requisitos de segurança cibernética que serão aplicados pela União Europeia a partir de agosto de 2025.
5. Determinar se o seu produto está dentro do escopo dos regulamentos do PSTI?
Colaboramos com vários laboratórios autorizados reconhecidos localmente para fornecer serviços localizados de avaliação, consultoria e certificação de segurança de informações de rede para dispositivos IoT. Nossos serviços incluem:
Fornecer consultoria de projeto de segurança da informação e pré-inspeção durante a fase de desenvolvimento de produtos de rede.
Fornecer uma avaliação para demonstrar que o produto atende aos requisitos de segurança de rede da diretiva RED
Avaliar de acordo com ETSI/EN 303 645 ou regulamentos nacionais de cibersegurança e emitir um certificado de conformidade ou certificação.
Horário da postagem: 28 de dezembro de 2023
