למרות שנראה שהאיחוד האירופי גורר רגליים באכיפת דרישות אבטחת סייבר, בריטניה לא תעשה זאת. על פי תקנות בטיחות המוצר ותשתיות טלקומוניקציה בבריטניה 2023, החל מה-29 באפריל 2024, בריטניה תתחיל לאכוף את דרישות אבטחת הרשת עבור התקני צרכנים מחוברים.
1. מוצרים מעורבים
תקנות אבטחת המוצר ותשתיות טלקומוניקציה 2022 בבריטניה מציינות את היקף המוצרים הדורשים בקרת אבטחת רשת. כמובן, זה כולל מוצרים עם קישוריות לאינטרנט, אך לא רק מוצרים עם קישוריות לאינטרנט. מוצרים אופייניים כוללים טלוויזיות חכמות, מצלמות IP, נתבים, תאורה חכמה ומוצרים ביתיים.
מוצרים שלא נכללו במיוחד כוללים מחשבים, מוצרים רפואיים, מוצרי מונה חכמים ומטענים לרכב חשמלי. שים לב כי למוצרים אלה עשויות להיות גם דרישות אבטחת רשת, אך הן אינן בגדר תקנות PSTI וייתכן כי הן מוסדרות על ידי תקנות אחרות.
2. דרישות ספציפיות?
הדרישות של תקנות PSTI לאבטחת רשת מתחלקות בעיקר לשלושה היבטים
סִיסמָה
מחזור תחזוקה
דוח פגיעות
דרישות אלו ניתנות להערכה ישירה בהתאם לתקנות PSTI, או להעריך על ידי התייחסות לתקן אבטחת הרשת ETSI EN 303 645 עבור מוצרי האינטרנט של הדברים לצרכן כדי להדגים תאימות של המוצר לתקנות PSTI. כלומר, עמידה בתקן ETSI EN 303 645 שווה ערך לעמידה בדרישות של תקנות PSTI בבריטניה.
3. לגבי ETSI EN 303 645
תקן ETSI EN 303 645 שוחרר לראשונה בשנת 2020 והפך במהרה לתקן הערכת אבטחת רשתות IoT הנפוצים ביותר בעולם מחוץ לאירופה. השימוש בתקן ETSI EN 303 645 הוא שיטת הערכת אבטחת הרשת המעשית ביותר, אשר לא רק מבטיחה רמה טובה של אבטחה בסיסית, אלא גם מהווה בסיס למספר תוכניות אימות. בשנת 2023, תקן זה התקבל רשמית על ידי IECEE כתקן ההסמכה לתכנית CB של תכנית ההסמכה הבינלאומית למוצרי חשמל.
4. כיצד להוכיח עמידה בדרישות הרגולטוריות?
הדרישה המינימלית היא לעמוד בשלוש הדרישות של חוק PSTI לגבי סיסמאות, מחזורי תחזוקה ודיווח על פגיעות, ולספק הצהרה עצמית על עמידה בדרישות אלו.
על מנת להוכיח טוב יותר עמידה בתקנות ללקוחות שלך, ואם שוק היעד שלך אינו מוגבל לבריטניה, סביר להשתמש בסטנדרטים בינלאומיים להערכה. זהו גם מרכיב חשוב בהיערכות לעמוד בדרישות אבטחת הסייבר שייאכף על ידי האיחוד האירופי החל מאוגוסט 2025.
5. קבע אם המוצר שלך נמצא בגדר תקנות PSTI?
אנו משתפים פעולה עם מספר מעבדות סמכותיות מוכרות מקומית כדי לספק שירותי הערכת אבטחת מידע ברשת מקומית, ייעוץ והסמכה עבור התקני IoT. השירותים שלנו כוללים:
לספק ייעוץ עיצובי אבטחת מידע ובדיקה מוקדמת בשלב הפיתוח של מוצרי רשת.
ספק הערכה כדי להוכיח שהמוצר עומד בדרישות אבטחת הרשת של הנחיית RED
הערך לפי ETSI/EN 303 645 או תקנות אבטחת סייבר לאומיות, והנפק תעודת התאמה או הסמכה.
זמן פרסום: 28 בדצמבר 2023