De acordo com a Lei de Segurança de Produtos e Infraestrutura de Telecomunicações de 2023 (PSTI) emitido pelo Reino Unido em 29 de abril de 2023, o Reino Unido começará a aplicar requisitos de segurança de rede para dispositivos de consumo conectados a partir de 29 de abril de 2024, aplicáveis à Inglaterra, Escócia, País de Gales e Irlanda do Norte. As empresas infratoras enfrentarão multas de até £ 10 milhões ou 4% de sua receita global.
1.Introdução à Lei do PSTI:
A Política de Segurança de Produtos do Consumer Connect do Reino Unido entrará em vigor e será aplicada em 29 de abril de 2024. A partir desta data, a lei exigirá que os fabricantes de produtos que podem ser conectados aos consumidores britânicos cumpram os requisitos mínimos de segurança. Esses requisitos mínimos de segurança baseiam-se nas Diretrizes de Práticas de Segurança da Internet das Coisas para o Consumidor do Reino Unido, no padrão de segurança da Internet das Coisas para o consumidor líder mundial ETSI EN 303 645, e nas recomendações do órgão autorizado do Reino Unido para tecnologia de ameaças cibernéticas, o Centro Nacional de Segurança Cibernética. Este sistema também garantirá que outras empresas na cadeia de abastecimento destes produtos desempenhem um papel na prevenção da venda de bens de consumo inseguros a consumidores e empresas britânicas.
Este sistema inclui dois diplomas legislativos:
1) Parte 1 da Lei de Segurança de Produtos e Infraestrutura de Telecomunicações (PSTI) de 2022;
2) A Lei de Segurança de Produtos e Infraestrutura de Telecomunicações (Requisitos de Segurança para Produtos Conectados Relacionados) de 2023.
2. A Lei PSTI abrange a gama de produtos:
1) Gama de produtos controlada por PSTI:
Inclui, mas não está limitado a, produtos conectados à Internet. Os produtos típicos incluem: smart TV, câmera IP, roteador, iluminação inteligente e produtos domésticos.
2) Produtos fora do escopo de controle do PSTI:
Incluindo computadores (a) computadores de mesa; (b) Computador portátil; (c) Tablets que não têm a capacidade de se conectar a redes celulares (projetados especificamente para crianças menores de 14 anos de acordo com o uso pretendido pelo fabricante, sem exceção), produtos médicos, produtos de medidores inteligentes, carregadores de veículos elétricos e Bluetooth. produtos de conexão one-on-one. Observe que esses produtos também podem ter requisitos de segurança cibernética, mas não são cobertos pela Lei PSTI e podem ser regulamentados por outras leis.
3. Três pontos-chave a serem seguidos pela Lei do PSTI:
O projeto de lei do PSTI inclui duas partes principais: requisitos de segurança de produtos e diretrizes de infraestrutura de telecomunicações. Para a segurança do produto, existem três pontos fundamentais que necessitam de atenção especial:
1) Requisitos de senha, com base nas disposições regulamentares 5.1-1, 5.1-2. A Lei PSTI proíbe o uso de senhas padrão universais. Isso significa que o produto deve definir uma senha padrão exclusiva ou exigir que os usuários definam uma senha na primeira utilização.
2) Questões de gestão de segurança, com base nas disposições regulamentares 5.2-1, os fabricantes precisam desenvolver e divulgar publicamente políticas de divulgação de vulnerabilidades para garantir que os indivíduos que descobrem vulnerabilidades possam notificar os fabricantes e garantir que os fabricantes possam notificar prontamente os clientes e fornecer medidas de reparo.
3) O ciclo de atualização de segurança, com base nas disposições regulamentares 5.3-13, os fabricantes precisam esclarecer e divulgar o período mais curto em que fornecerão atualizações de segurança, para que os consumidores possam compreender o período de suporte à atualização de segurança de seus produtos.
4. Lei PSTI e processo de teste ETSI EN 303 645:
1) Preparação de dados de amostra: 3 conjuntos de amostras, incluindo host e acessórios, software não criptografado, manuais/especificações do usuário/serviços relacionados e informações de conta de login
2) Estabelecimento do ambiente de teste: Estabeleça um ambiente de teste de acordo com o manual do usuário
3) Execução de avaliação de segurança de rede: revisão de arquivos e testes técnicos, verificação de questionários de fornecedores e fornecimento de feedback
4) Reparação de fraquezas: Fornece serviços de consultoria para corrigir problemas de fraquezas
5) Fornecer relatório de avaliação PSTI ou relatório de avaliação ETSI EN 303645
5. Documentos da Lei PSTI:
1) O regime de segurança de produtos e infraestrutura de telecomunicações do Reino Unido (segurança de produtos).
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2)Lei de Segurança de Produtos e Infraestrutura de Telecomunicações de 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Regulamentos de Segurança de Produtos e Infraestrutura de Telecomunicações (Requisitos de Segurança para Produtos Conectáveis Relevantes) de 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
A partir de agora, faltam menos de 2 meses. Recomenda-se que os principais fabricantes que exportam para o mercado do Reino Unido concluam a certificação PSTI o mais rápido possível para garantir uma entrada tranquila no mercado do Reino Unido.
Horário da postagem: 11 de março de 2024
