Aunque la UE parece estar dando largas a la hora de hacer cumplir los requisitos de ciberseguridad, el Reino Unido no lo hará. De acuerdo con las Regulaciones de Infraestructura de Telecomunicaciones y Seguridad de Productos del Reino Unido de 2023, a partir del 29 de abril de 2024, el Reino Unido comenzará a hacer cumplir los requisitos de seguridad de la red para los dispositivos de consumo conectados.
1. Productos involucrados
Las Regulaciones de Infraestructura de Telecomunicaciones y Seguridad de Productos de 2022 en el Reino Unido especifican el alcance de los productos que requieren control de seguridad de la red. Por supuesto, incluye productos con conectividad a Internet, pero no se limita a productos con conectividad a Internet. Los productos típicos incluyen televisores inteligentes, cámaras IP, enrutadores, iluminación inteligente y productos para el hogar.
Los productos especialmente excluidos incluyen computadoras, productos médicos, productos de medidores inteligentes y cargadores de vehículos eléctricos. Tenga en cuenta que estos productos también pueden tener requisitos de seguridad de red, pero no están dentro del alcance de las regulaciones PSTI y pueden estar regulados por otras regulaciones.
2. ¿Requisitos específicos?
Los requisitos de la normativa PSTI para la seguridad de la red se dividen principalmente en tres aspectos
contraseña
Ciclo de mantenimiento
Informe de vulnerabilidad
Estos requisitos pueden evaluarse directamente de acuerdo con las regulaciones de PSTI o evaluarse haciendo referencia al estándar de seguridad de red ETSI EN 303 645 para productos de Internet de las cosas de consumo para demostrar el cumplimiento del producto con las regulaciones de PSTI. Es decir, cumplir con la norma ETSI EN 303 645 equivale a cumplir con los requisitos de la normativa PSTI del Reino Unido.
3. Respecto a ETSI EN 303 645
El estándar ETSI EN 303 645 se lanzó por primera vez en 2020 y rápidamente se convirtió en el estándar de evaluación de seguridad de redes de dispositivos IoT más utilizado a nivel internacional fuera de Europa. El uso del estándar ETSI EN 303 645 es el método de evaluación de la seguridad de la red más práctico, que no sólo garantiza un buen nivel de seguridad básica, sino que también constituye la base para varios esquemas de autenticación. En 2023, IECEE aceptó oficialmente esta norma como norma de certificación para el esquema CB del esquema de certificación internacional de productos eléctricos.
4.¿Cómo acreditar el cumplimiento de los requisitos reglamentarios?
El requisito mínimo es cumplir con los tres requisitos de la Ley PSTI con respecto a contraseñas, ciclos de mantenimiento e informes de vulnerabilidad, y proporcionar una autodeclaración de cumplimiento de estos requisitos.
Para demostrar mejor el cumplimiento de las regulaciones a sus clientes y si su mercado objetivo no se limita al Reino Unido, es razonable utilizar estándares internacionales para la evaluación. Este también es un componente importante de la preparación para cumplir con los requisitos de ciberseguridad que aplicará la Unión Europea a partir de agosto de 2025.
5. ¿Determinar si su producto está dentro del alcance de las regulaciones PSTI?
Colaboramos con múltiples laboratorios autorizados reconocidos localmente para brindar servicios localizados de evaluación, consultoría y certificación de seguridad de la información de red para dispositivos IoT. Nuestros servicios incluyen:
Proporcionar consultoría de diseño de seguridad de la información e inspección previa durante la fase de desarrollo de productos de red.
Proporcionar una evaluación para demostrar que el producto cumple con los requisitos de seguridad de red de la directiva RED.
Evaluar según ETSI/EN 303 645 o normativa nacional de ciberseguridad, y emitir un certificado de conformidad o certificación.
Hora de publicación: 28 de diciembre de 2023