De acuerdo con la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos de 2023 (PSTI) emitido por el Reino Unido el 29 de abril de 2023, el Reino Unido comenzará a aplicar requisitos de seguridad de red para dispositivos de consumo conectados a partir del 29 de abril de 2024, aplicables a Inglaterra, Escocia, Gales e Irlanda del Norte. Las empresas infractoras se enfrentarán a multas de hasta 10 millones de libras esterlinas o el 4% de sus ingresos globales.
1.Introducción a la Ley PSTI:
La Política de seguridad de productos de Consumer Connect del Reino Unido entrará en vigor y se aplicará el 29 de abril de 2024. A partir de esta fecha, la ley exigirá que los fabricantes de productos que se puedan conectar a los consumidores británicos cumplan con requisitos mínimos de seguridad. Estos requisitos mínimos de seguridad se basan en las Directrices de prácticas de seguridad de Internet de las cosas para el consumidor del Reino Unido, el estándar de seguridad de Internet de las cosas para el consumidor líder a nivel mundial ETSI EN 303 645 y las recomendaciones del organismo autorizado del Reino Unido para la tecnología de amenazas cibernéticas, el Centro Nacional de Ciberseguridad. Este sistema también garantizará que otras empresas en la cadena de suministro de estos productos desempeñen un papel en la prevención de la venta de bienes de consumo inseguros a consumidores y empresas británicas.
Este sistema incluye dos leyes:
1) Parte 1 de la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos (PSTI) de 2022;
2) Ley de infraestructura de telecomunicaciones y seguridad de productos (requisitos de seguridad para productos conectados relacionados) de 2023.
2. La Ley PSTI cubre la gama de productos:
1) Gama de productos controlados por PSTI:
Incluye, entre otros, productos conectados a Internet. Los productos típicos incluyen: televisores inteligentes, cámaras IP, enrutadores, iluminación inteligente y productos para el hogar.
2) Productos fuera del alcance del control del PSTI:
Incluyendo computadoras (a) computadoras de escritorio; b) computadora portátil; (c) Tabletas que no tienen la capacidad de conectarse a redes celulares (diseñadas específicamente para niños menores de 14 años según el uso previsto por el fabricante, no son una excepción), productos médicos, productos de medidores inteligentes, cargadores de vehículos eléctricos y dispositivos Bluetooth. Productos de conexión uno a uno. Tenga en cuenta que estos productos también pueden tener requisitos de ciberseguridad, pero no están cubiertos por la Ley PSTI y pueden estar regulados por otras leyes.
3. Tres puntos clave a seguir por la Ley PSTI:
El proyecto de ley PSTI incluye dos partes principales: requisitos de seguridad de productos y pautas de infraestructura de telecomunicaciones. Para la seguridad del producto, hay tres puntos clave que necesitan especial atención:
1) Requisitos de contraseña, con base en las disposiciones reglamentarias 5.1-1, 5.1-2. La Ley PSTI prohíbe el uso de contraseñas predeterminadas universales. Esto significa que el producto debe establecer una contraseña predeterminada única o requerir que los usuarios establezcan una contraseña en su primer uso.
2) Problemas de gestión de seguridad, según las disposiciones reglamentarias 5.2-1, los fabricantes deben desarrollar y divulgar públicamente políticas de divulgación de vulnerabilidades para garantizar que las personas que descubran vulnerabilidades puedan notificar a los fabricantes y garantizar que los fabricantes puedan notificar rápidamente a los clientes y proporcionar medidas de reparación.
3) El ciclo de actualización de seguridad, basado en las disposiciones reglamentarias 5.3-13, los fabricantes deben aclarar y divulgar el período de tiempo más corto en el que proporcionarán actualizaciones de seguridad, para que los consumidores puedan comprender el período de soporte de actualizaciones de seguridad de sus productos.
4. Ley PSTI y proceso de prueba ETSI EN 303 645:
1) Preparación de datos de muestra: 3 conjuntos de muestras que incluyen host y accesorios, software no cifrado, manuales de usuario/especificaciones/servicios relacionados e información de cuenta de inicio de sesión
2) Establecimiento del entorno de prueba: establezca un entorno de prueba de acuerdo con el manual del usuario
3) Ejecución de la evaluación de la seguridad de la red: revisión de archivos y pruebas técnicas, verificación de cuestionarios de proveedores y entrega de comentarios.
4) Reparación de debilidades: brindar servicios de consultoría para solucionar problemas de debilidades.
5) Proporcionar informe de evaluación PSTI o informe de evaluación ETSI EN 303645
5. Documentos de la Ley PSTI:
1) El régimen de Seguridad de Productos e Infraestructura de Telecomunicaciones (Seguridad de Productos) del Reino Unido.
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2) Ley de infraestructura de telecomunicaciones y seguridad de productos de 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Reglamento de seguridad de productos e infraestructura de telecomunicaciones (requisitos de seguridad para productos conectables relevantes) de 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
A partir de ahora, faltan menos de 2 meses. Se recomienda que los principales fabricantes que exportan al mercado del Reino Unido completen la certificación PSTI lo antes posible para garantizar una entrada sin problemas al mercado del Reino Unido.
Hora de publicación: 11 de marzo de 2024
