De acuerdo con la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos de 2023 emitida por el Reino Unido el 29 de abril de 2023, el Reino Unido comenzará a hacer cumplir los requisitos de seguridad de red para dispositivos de consumo conectados a partir del 29 de abril de 2024, aplicables a Inglaterra, Escocia, Gales e Irlanda del Norte. Hasta ahora, solo han pasado poco más de 3 meses y los principales fabricantes que exportan al mercado del Reino Unido deben completar la certificación PSTI lo antes posible para garantizar una entrada sin problemas al mercado del Reino Unido. Se espera un período de gracia de 12 meses desde la fecha del anuncio hasta la implementación.
1.Documentos de la Ley PSTI:
①El régimen de Seguridad de Productos e Infraestructura de Telecomunicaciones (Seguridad de Productos) del Reino Unido.
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
②Ley de infraestructura de telecomunicaciones y seguridad de productos de 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Reglamento de infraestructura de telecomunicaciones y seguridad de productos (requisitos de seguridad para productos conectables relevantes) de 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. El proyecto de ley se divide en dos partes:
Parte 1: Respecto a los requisitos de seguridad del producto
El borrador de la Ordenanza sobre seguridad de productos e infraestructura de telecomunicaciones (requisitos de seguridad para productos conectados relacionados) presentado por el gobierno del Reino Unido en 2023. El borrador aborda las demandas de los fabricantes, importadores y distribuidores como entidades obligadas, y tiene derecho a imponer multas. de hasta £ 10 millones o el 4% de los ingresos globales de la empresa a los infractores. Las empresas que continúen violando las regulaciones también serán multadas con £ 20000 adicionales por día.
Parte 2: Directrices para la infraestructura de telecomunicaciones, desarrolladas para acelerar la instalación, el uso y la actualización de dichos equipos.
Esta sección exige que los fabricantes, importadores y distribuidores de IoT cumplan con requisitos específicos de ciberseguridad. Apoya la introducción de redes de banda ancha y 5G de hasta gigabits para proteger a los ciudadanos de los riesgos que plantean los dispositivos conectados de consumo inseguros.
La Ley de Comunicaciones Electrónicas estipula el derecho de los operadores de redes y proveedores de infraestructura a instalar y mantener infraestructura de comunicaciones digitales en terrenos públicos y privados. La revisión de la Ley de Comunicaciones Electrónicas en 2017 abarató y facilitó el despliegue, el mantenimiento y la actualización de la infraestructura digital. Las nuevas medidas relacionadas con la infraestructura de telecomunicaciones en el proyecto de ley PSTI se basan en la Ley de Comunicaciones Electrónicas revisada de 2017, que ayudará a garantizar el lanzamiento de redes 5G y de banda ancha gigabit orientadas al futuro.
La Ley PSTI complementa la Parte 1 de la Ley de Infraestructura de Comunicaciones y Seguridad de Productos de 2022, que establece los requisitos mínimos de seguridad para proporcionar productos a los consumidores británicos. Basado en ETSI EN 303 645 v2.1.1, secciones 5.1-1, 5.1-2, 5.2-1 y 5.3-13, así como en las normas ISO/IEC 29147:2018, se proponen las regulaciones y requisitos correspondientes para contraseñas, seguridad mínima. actualizar los ciclos de tiempo y cómo informar problemas de seguridad.
Alcance del producto involucrado:
Productos conectados relacionados con la seguridad, como detectores de humo y niebla, detectores de incendios y cerraduras de puertas, dispositivos de automatización del hogar conectados, timbres y sistemas de alarma inteligentes, estaciones base y concentradores de IoT que conectan múltiples dispositivos, asistentes domésticos inteligentes, teléfonos inteligentes, cámaras conectadas (IP y CCTV), dispositivos portátiles, refrigeradores, lavadoras, congeladores, cafeteras, controladores de juegos y otros productos similares conectados.
Alcance de los productos exentos:
Productos vendidos en Irlanda del Norte, contadores inteligentes, puntos de recarga de vehículos eléctricos y dispositivos médicos, así como tabletas informáticas para uso de mayores de 14 años.
3.La norma ETSI EN 303 645 para la seguridad y privacidad de los productos IoT incluye las siguientes 13 categorías de requisitos:
1) Seguridad de contraseña predeterminada universal
2) Gestión y ejecución de informes de debilidades
3) actualizaciones de software
4) Ahorro inteligente de parámetros de seguridad
5) Seguridad de las comunicaciones
6) Reducir la exposición de la superficie de ataque.
7) Protección de la información personal
8) Integridad del software
9) Capacidad antiinterferente del sistema.
10) Verificar los datos de telemetría del sistema
11) Conveniente para que los usuarios eliminen información personal
12) Simplifique la instalación y el mantenimiento de los equipos.
13) Verificar los datos de entrada
Requisitos de factura y 2 estándares correspondientes.
Prohibir contraseñas universales predeterminadas: ETSI EN 303 645 disposiciones 5.1-1 y 5.1-2
Requisitos para implementar métodos de gestión de informes de vulnerabilidad - ETSI EN 303 645 disposiciones 5.2-1
ISO/IEC 29147 (2018) cláusula 6.2
Requerir transparencia en el ciclo de tiempo mínimo de actualización de seguridad para productos - ETSI EN 303 645 disposición 5.3-13
PSTI exige que los productos cumplan con los tres estándares de seguridad anteriores antes de poder comercializarse. Los fabricantes, importadores y distribuidores de productos relacionados deberán cumplir con los requisitos de seguridad de esta ley. Los fabricantes e importadores deben asegurarse de que sus productos vengan con una declaración de cumplimiento y tomar medidas en caso de incumplimiento, manteniendo registros de investigación, etc. De lo contrario, los infractores serán multados con hasta £ 10 millones o el 4% de los ingresos globales de la empresa.
4.Proceso de prueba de la Ley PSTI y ETSI EN 303 645:
1)Preparación de datos de muestra
3 conjuntos de muestras que incluyen host y accesorios, software no cifrado, manuales de usuario/especificaciones/servicios relacionados e información de cuenta de inicio de sesión
2) Establecimiento del entorno de prueba
Establecer un entorno de prueba basado en el manual del usuario.
3) Ejecución de la evaluación de seguridad de la red:
Revisión de documentos y pruebas técnicas, inspección de cuestionarios de proveedores y suministro de comentarios.
4) Reparación de debilidad
Proporcionar servicios de consultoría para solucionar problemas de debilidad.
5) Proporcionar informe de evaluación PSTI o informe de evaluación ETSIEN 303645
5. ¿Cómo demostrar el cumplimiento de los requisitos de la Ley PSTI del Reino Unido?
El requisito mínimo es cumplir con los tres requisitos de la Ley PSTI con respecto a contraseñas, ciclos de mantenimiento de software e informes de vulnerabilidad, y proporcionar documentos técnicos, como informes de evaluación, para estos requisitos, al mismo tiempo que se realiza una autodeclaración de cumplimiento. Sugerimos utilizar ETSI EN 303 645 para la evaluación de la Ley PSTI del Reino Unido. ¡Esta es también la mejor preparación para la implementación obligatoria de los requisitos de ciberseguridad de la directiva RED CE de la UE a partir del 1 de agosto de 2025!
BTF Testing Lab es una institución de pruebas acreditada por el Servicio Nacional de Acreditación para la Evaluación de la Conformidad (CNAS) de China, número: L17568. Después de años de desarrollo, BTF cuenta con un laboratorio de compatibilidad electromagnética, un laboratorio de comunicaciones inalámbricas, un laboratorio SAR, un laboratorio de seguridad, un laboratorio de confiabilidad, un laboratorio de pruebas de baterías, pruebas químicas y otros laboratorios. Tiene una perfecta compatibilidad electromagnética, radiofrecuencia, seguridad del producto, confiabilidad ambiental, análisis de fallas de materiales, ROHS/REACH y otras capacidades de prueba. BTF Testing Lab está equipado con instalaciones de prueba completas y profesionales, un equipo experimentado de expertos en pruebas y certificación, y la capacidad de resolver diversos problemas complejos de pruebas y certificación. Nos adherimos a los principios rectores de "imparcialidad, precisión y rigor" y seguimos estrictamente los requisitos del sistema de gestión de laboratorios de calibración y pruebas ISO/IEC 17025 para la gestión científica. Estamos comprometidos a brindar a los clientes un servicio de la más alta calidad. Si tiene alguna pregunta, no dude en contactarnos en cualquier momento.
Hora de publicación: 16 de enero de 2024
