Εισαγωγή πιστοποίησης:

Σύμφωνα με τον νόμο για την ασφάλεια των προϊόντων και την τηλεπικοινωνιακή υποδομή 2023, που δημοσιοποιήθηκε από το Ηνωμένο Βασίλειο στις 29 Απριλίου 2023,Το Ηνωμένο Βασίλειο θα αρχίσει να εφαρμόζει απαιτήσεις ασφάλειας δικτύου για συνδεδεμένες καταναλωτικές συσκευές στις 29 Απριλίου., 2024, που εφαρμόζεται στην Αγγλία, τη Σκωτία και την Ουαλία. Σήμερα, έχουν μείνει μόλις 3 μήνες.Οι μεγάλοι κατασκευαστές που εξάγουν στην βρετανική αγορά πρέπει να ολοκληρώσουν την πιστοποίηση PSTI το συντομότερο δυνατό για να εξασφαλίσουν την ομαλή είσοδο στην βρετανική αγορά.

Οι λεπτομέρειες του νόμου PSTI είναι οι ακόλουθες:
Το καθεστώς ασφάλειας των συνδεδεμένων προϊόντων καταναλωτών του Ηνωμένου Βασιλείου θα τεθεί σε ισχύ και θα εφαρμοστεί στις 29 Απριλίου 2024.Οι κατασκευαστές καταναλωτικών συνδέσιμων προϊόντων στο Ηνωμένο Βασίλειο θα υποχρεούνται από το νόμο να συμμορφώνονται με τις ελάχιστες απαιτήσεις ασφάλειας.Οι ελάχιστες απαιτήσεις ασφάλειας βασίζονται στον κώδικα πρακτικής ασφάλειας Consumer IoT του Ηνωμένου Βασιλείου, το κορυφαίο παγκόσμιο πρότυπο ασφάλειας IoT για καταναλωτές ETSI EN 303 645,και συστάσεις από το Εθνικό Κέντρο Κυβερνοασφάλειας, την τεχνική αρχή του Ηνωμένου Βασιλείου για τις κυβερνοαπειλές.Το καθεστώς θα διασφαλίσει επίσης ότι άλλες επιχειρήσεις στην αλυσίδα εφοδιασμού αυτών των προϊόντων θα διαδραματίσουν ρόλο στην αποτροπή της πώλησης μη ασφαλών καταναλωτικών προϊόντων σε καταναλωτές και επιχειρήσεις του Ηνωμένου Βασιλείου..
Το σύστημα αποτελείται από δύο νομοθετικές πράξεις.

Το νομοσχέδιο για την ασφάλεια των προϊόντων και την τηλεπικοινωνιακή υποδομή (PSTI) του 2022 Μέρος 1
Το νομοσχέδιο για την ασφάλεια των προϊόντων και την υποδομή τηλεπικοινωνιών (απαιτήσεις ασφάλειας για σχετικά συνδεδεμένα προϊόντα) του 2023

Χρονοδιάγραμμα δημοσίευσης και εκτέλεσης του νομοσχεδίου PSTI

Το νομοσχέδιο PSTI εγκρίθηκε τον Δεκέμβριο του 2022.και τα νομοσχέδια υπογράφηκαν σε νόμο στις 14 ΣεπτεμβρίουΤο καθεστώς ασφάλειας προϊόντων που συνδέονται με τους καταναλωτές θα τεθεί σε ισχύ στις 29 Απριλίου 2024.

Έγγραφα του νόμου PSTI
1Η νομοθεσία του Ηνωμένου Βασιλείου για την ασφάλεια των προϊόντων και την υποδομή τηλεπικοινωνιών.
Δικτυακό τόπο: https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime

2Το νομοσχέδιο για την ασφάλεια των προϊόντων και την υποδομή τηλεπικοινωνιών 2022
Νόμος περί ασφάλειας προϊόντων και τηλεπικοινωνιακής υποδομής 2022
Δικτυακό τόπο: https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3Το νομοσχέδιο για την ασφάλεια των προϊόντων και την υποδομή τηλεπικοινωνιών (απαιτήσεις ασφάλειας για σχετικά συνδεδεμένα προϊόντα) του 2023
Ο κανονισμός (ΕΚ) αριθ. 765/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 15ης Ιουνίου 2008, σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και την προστασία των δεδομένων προσωπικού χαρακτήρα (ΕΕ L 347 της 20.9.2008, σ. 1).
Ιστοσελίδα: https://www.legislation.gov.uk/uksi/2023/1007/contents/made

Ειδικές απαιτήσεις του νόμου PSTI του Ηνωμένου Βασιλείου
Οι απαιτήσεις ασφάλειας δικτύου του νόμου PSTI χωρίζονται κυρίως σε τρεις πτυχές:
Παγκόσμια προεπιλεγμένη ασφάλεια κωδικού πρόσβασης
Διαχείριση και εκτέλεση εκθέσεων ευπάθειας
Ενημέρωση λογισμικού

Οι απαιτήσεις αυτές μπορούν να αξιολογηθούν απευθείας βάσει του νόμου PSTI ή μπορούν να αξιολογηθούν βάσει του προτύπου ETSI EN 303 645, του προτύπου ασφάλειας στον κυβερνοχώρο για καταναλωτικά προϊόντα IoT,για να αποδειχθεί η συμμόρφωση με το νόμο PSTIΜε άλλα λόγια, η εκπλήρωση των απαιτήσεων των τριών κεφαλαίων και των σχεδίων του προτύπου ETSI EN 303 645 ισοδυναμεί με την εκπλήρωση των απαιτήσεων του βρετανικού νόμου PSTI.

Το πρότυπο ETSI EN 303 645 είναι ένα πρότυπο για την ασφάλεια και την προστασία της ιδιωτικής ζωής των προϊόντων IoT, το οποίο περιλαμβάνει τις ακόλουθες 13 κατηγορίες απαιτήσεων:

Παγκόσμια προεπιλεγμένη ασφάλεια κωδικού πρόσβασης
Διαχείριση και εκτέλεση εκθέσεων ευπάθειας
Ενημέρωση λογισμικού
Εξυπνή αποθήκευση παραμέτρων ασφαλείας
Ασφάλεια των επικοινωνιών
Μειώστε την εκτεθειμένη επιφάνεια επίθεσης
Προστασία προσωπικών δεδομένων
ακεραιότητα λογισμικού
Αντίσταση του συστήματος στις διακοπές
Πληροφορίες τηλεμετρίας συστήματος ελέγχου
Η διευκόλυνση των χρηστών να διαγράφουν προσωπικά δεδομένα
Απλούστευση της εγκατάστασης και συντήρησης του εξοπλισμού
Επικύρωση δεδομένων εισόδου

Πώς να αποδειχθεί η συμμόρφωση με τις απαιτήσεις του νόμου PTSI του Ηνωμένου Βασιλείου
Η ελάχιστη απαίτηση είναι να πληρούνται οι τρεις απαιτήσεις του νόμου PSTI όσον αφορά τους κωδικούς πρόσβασης, τους κύκλους συντήρησης λογισμικού και τις αναφορές ευπάθειας,και να παρέχει τεχνικά έγγραφα όπως εκθέσεις αξιολόγησης για τις απαιτήσεις αυτέςΣυνιστούμε τη χρήση του προτύπου ETSI EN 303 645 για τις αξιολογήσεις του νόμου PSTI του Ηνωμένου Βασιλείου.Αυτός είναι επίσης ο καλύτερος τρόπος για να ανοίξει ο δρόμος για την εφαρμογή των απαιτήσεων ασφάλειας στον κυβερνοχώρο της οδηγίας CE RED της ΕΕ από την 1η ΑυγούστουΤο 2025!