החל מה-29 באפריל 2024, בריטניה עומדת לאכוף את חוק אבטחת הסייבר PSTI:
על פי חוק בטיחות המוצר ותשתיות התקשורת 2023 שהוצא על ידי בריטניה ב-29 באפריל 2023, בריטניה תתחיל לאכוף את דרישות אבטחת הרשת עבור התקני צרכנים מחוברים החל מה-29 באפריל 2024, החלות על אנגליה, סקוטלנד, ויילס וצפון אירלנד. נכון לעכשיו, נותרו ימים ספורים בלבד, ויצרנים גדולים המייצאים לשוק הבריטי צריכים להשליםאישור PSTIבהקדם האפשרי כדי להבטיח כניסה חלקה לשוק הבריטי.
ההקדמה המפורטת של חוק PSTI היא כדלקמן:
מדיניות בטיחות המוצרים של Consumer Connect בבריטניה תיכנס לתוקף ותיאכף ב-29 באפריל 2024. החל מתאריך זה, החוק יחייב יצרנים של מוצרים שניתן לחבר לצרכנים בריטיים לעמוד בדרישות הבטיחות המינימליות. דרישות האבטחה המינימליות הללו מבוססות על הנחיות אבטחת האינטרנט של הדברים בבריטניה, תקן האבטחה ETSI EN 303 645 של הצרכן המוביל בעולם, והמלצות של רשות הטכנולוגיה של רשת איומי הרשת של בריטניה, המרכז הלאומי לאבטחת סייבר. מערכת זו גם תבטיח שעסקים אחרים בשרשרת האספקה של מוצרים אלו ממלאים תפקיד במניעת מכירת מוצרי צריכה לא בטוחים לצרכנים ולעסקים בריטיים.
מערכת זו כוללת שני סעיפי חקיקה:
1. חלק 1 של חוק בטיחות המוצר ותשתיות טלקומוניקציה (PSTI) משנת 2022;
2. חוק אבטחת המוצר ותשתית טלקומוניקציה (דרישות אבטחה למוצרים קשורים קשורים) משנת 2023.
ציר הזמן של שחרור ויישום חוק PSTI:
הצעת חוק PSTI אושרה בדצמבר 2022. הממשלה פרסמה את הטיוטה המלאה של הצעת חוק PSTI (דרישות בטיחות למוצרים קשורים קשורים) באפריל 2023, אשר נחתמה לחוק ב-14 בספטמבר 2023. מערכת הבטיחות של מוצרים מחוברים לצרכן תימשך תוקף ב-29 באפריל 2024.
חוק PSTI בבריטניה מכסה את מגוון המוצרים:
· מגוון מוצרים מבוקר PSTI:
הוא כולל, אך לא מוגבל, מוצרים המחוברים לאינטרנט. מוצרים אופייניים כוללים: טלוויזיה חכמה, מצלמת IP, ראוטר, תאורה חכמה ומוצרים ביתיים.
· לוח זמנים 3 למעט מוצרים מחוברים שאינם בטווח של בקרת PSTI:
לרבות מחשבים (א) מחשבים שולחניים; (ב) מחשב נייד; (ג) טאבלטים שאין להם יכולת להתחבר לרשתות סלולריות (שנועדו במיוחד לילדים מתחת לגיל 14 לפי השימוש המיועד של היצרן, לא יוצא דופן), מוצרים רפואיים, מוצרי מונה חכמים, מטענים לרכב חשמלי, ו-Bluetooth one מוצרי חיבור -על אחד. שים לב כי למוצרים אלה עשויים להיות גם דרישות אבטחת סייבר, אך הם אינם מכוסים על ידי חוק PSTI ועשויים להיות מוסדרים על ידי חוקים אחרים.
מסמכי עזר:
קבצי PSTI ששוחררו על ידי ממשלת בריטניה:
חוק אבטחת מוצרים ותשתיות טלקומוניקציה 2022. פרק 1- אבטחה חוזרת - דרישות אבטחה הנוגעות למוצרים.
קישור להורדה:
https://www.gov.uk/government/publications/the-uk-product security-and-telecommunications-infrastructure-product-security-regime
הקובץ בקישור הנ"ל מספק תיאור מפורט של הדרישות הרלוונטיות לשליטה במוצרים, וניתן גם להתייחס לפרשנות בקישור הבא לעיון:
https://www.gov.uk/guidance/the-product-security-and-telecommunications infrastructure-psti-bill-product-security sheet
מה העונשים על אי ביצוע הסמכת PSTI?
חברות המפרות ייקנסו עד 10 מיליון ליש"ט או 4% מההכנסות העולמיות שלהן. כמו כן, יוחזרו גם מוצרים המפרים את התקנות ומידע על הפרות יפורסם ברבים.
דרישות ספציפיות של חוק PSTI בבריטניה:
1、 הדרישות לאבטחת רשת במסגרת חוק PSTI מחולקות בעיקר לשלושה היבטים:
1) אבטחת סיסמאות ברירת מחדל אוניברסלית
2) ניהול וביצוע דוחות חולשה
3) עדכוני תוכנה
ניתן להעריך דרישות אלו ישירות במסגרת חוק PSTI, או להעריך על ידי התייחסות לתקן אבטחת הרשת ETSI EN 303 645 עבור מוצרי IoT לצרכנים כדי להוכיח עמידה בחוק PSTI. כלומר, עמידה בדרישות של שלושת הפרקים והפרויקטים של תקן ETSI EN 303 645 שווה ערך לעמידה בדרישות של חוק PSTI בבריטניה.
2、 תקן ETSI EN 303 645 לאבטחה ופרטיות של מוצרי IoT כולל את 13 הקטגוריות הבאות של דרישות:
1) אבטחת סיסמאות ברירת מחדל אוניברסלית
2) ניהול וביצוע דוחות חולשה
3) עדכוני תוכנה
4) חיסכון חכם של פרמטרי בטיחות
5) אבטחת תקשורת
6) צמצם את החשיפה של משטח ההתקפה
7) הגנה על מידע אישי
8) שלמות תוכנה
9) יכולת מערכת נגד הפרעות
10) בדוק את נתוני הטלמטריה של המערכת
11) נוח למשתמשים למחוק מידע אישי
12) פשט את התקנת הציוד והתחזוקה
13) אמת נתוני קלט
כיצד להוכיח עמידה בדרישות של חוק PSTI בבריטניה?
הדרישה המינימלית היא לעמוד בשלוש הדרישות של חוק ה-PSTI לגבי סיסמאות, מחזורי תחזוקת תוכנה ודיווח על פגיעות, ולספק מסמכים טכניים כגון דוחות הערכה לדרישות אלו, תוך הצהרה עצמית על תאימות. אנו מציעים להשתמש ב-ETSI EN 303 645 להערכת חוק PSTI בבריטניה. זוהי גם ההכנה הטובה ביותר ליישום החובה של דרישות אבטחת הסייבר של האיחוד האירופי CE RED החל מה-1 באוגוסט 2025!
תזכורת מוצעת:
לפני הגעת מועד החובה, על היצרנים לוודא שהמוצרים המעוצבים עומדים בדרישות התקן לפני יציאתם לשוק לייצור. בדיקות Xinheng מציעות שיצרנים רלוונטיים צריכים להבין את החוקים והתקנות הרלוונטיים מוקדם ככל האפשר בתהליך פיתוח המוצר, על מנת לתכנן טוב יותר את עיצוב המוצר, הייצור והיצוא, ולהבטיח שהמוצרים עומדים בתקני בטיחות.
למעבדת בדיקות BTF יש ניסיון עשיר ומקרים מוצלחים בתגובה לחוק PSTI. מזה זמן רב, אנו מספקים שירותי ייעוץ מקצועיים, תמיכה טכנית ושירותי בדיקה והסמכה ללקוחותינו, מסייעים לעסקים וארגונים להשיג אישורים ממדינות שונות בצורה יעילה יותר, לשפר את איכות המוצר, להפחית סיכוני הפרות, לחזק את היתרונות התחרותיים, וכן לפתור חסמי סחר ביבוא ויצוא. אם יש לך שאלות כלשהן לגבי תקנות PSTI וקטגוריות מוצרים מבוקרות, אתה יכול ליצור קשר ישירות עם צוות הבדיקות Xinheng שלנו כדי ללמוד עוד!
זמן פרסום: 25 באפריל 2024
