EN DA
legislation

UK PSTI förklarade krav och efterlevnad för IoT-tillverkare

4 minuters läsning
UK PSTI förklarade krav och efterlevnad för IoT-tillverkare

UK PSTI i korthet. Nya cybersäkerhetsregler för anslutna produkter - upptäck omfattningen, huvudkraven och överensstämmelsebevis.

Rättslig grund för PSTI

Den rättsliga grunden för reglering av säkerheten för anslutna konsumentprodukter i Storbritannien består av två huvudkomponenter:

  1. Del 1 av Product Security and Telecommunications Infrastructure (PSTI) Act 2022
  2. The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023

PSTI Act fick Royal Assent i december 2022. Den fullständiga texten till PSTI publicerades i april 2023 och trädde i kraft den 14 september 2023.

PSTI omfattning

PSTI gäller för "relevanta anslutningsbara produkter" som levereras till konsumenter i Storbritannien. Omfattningen inkluderar:

  • Internetanslutningsbara produkter: Enheter som kan ansluta till internet.
  • Nätverksanslutningsbara produkter: Enheter som:
    • kan elektriskt eller elektromagnetiskt skicka och ta emot data
    • inte är direkt anslutna till internet
    • kan antingen ansluta direkt till en internetanslutningsbar enhet eller anslutas till flera enheter samtidigt

Det är viktigt att notera att det finns vissa undantag. Följande produktkategorier är undantagna från kraven:

  • Produkter för Nordirland: Produkter avsedda för leverans i Nordirland som faller under vissa EU-regler listade i Windsor Framework.
  • Laddstationer för elfordon: Laddstationer som faller under Electric Vehicles (Smart Charge Points) Regulations 2021.
  • Medicintekniska produkter: Produkter som omfattas av Medical Devices Regulations 2002. Detta undantag gäller dock inte för anslutna produkter som endast kör mjukvara som i sig faller under dessa regleringar.
  • Smart meter-produkter: Produkter som levereras eller installeras av licensierade leverantörer av smart meter-kommunikationstjänster eller energileverantörer som har framgångsrikt certifierats under ett säkerhetsschema (såsom Commercial Product Assurance Scheme från National Cyber Security Centre).
  • Datorer: Stationära datorer, bärbara datorer och surfplattor utan mobiltelefonanslutning är undantagna. Detta undantag gäller dock inte för datorer som tillverkaren uttryckligen marknadsför som designade uteslutande för barn under 14 år.

Dessa undantag tar hänsyn till befintliga regleringar inom specifika sektorer och undviker dubbelreglering. De framhäver också PSTI-regleringens fokus på konsumentprodukter och IoT-enheter samtidigt som de utesluter specialiserade eller redan reglerade produkter.

Krav från PSTI

PSTI definierar tre kärnområden för säkerhetskrav:

Lösenord:

  • Måste vara unika per produkt eller användardefinierade
  • Får inte baseras på inkrementella räknare eller offentligt tillgänglig information
  • Får inte vara lätta att gissa

Rapportering av säkerhetsproblem:

  • Tillverkare måste publicera minst en kontaktpunkt för säkerhetsrapporter
  • Information om processen för att bekräfta rapporter och ge statusuppdateringar måste tillhandahållas

Minsta varaktighet för säkerhetsuppdateringar:

  • Tillverkare måste publicera den definierade supportperioden för säkerhetsuppdateringar
  • Denna information måste vara tydlig, transparent och tillgänglig kostnadsfritt

Implementering genom standarder

Regleringen tillåter tillverkare att demonstrera överensstämmelse genom att följa vissa erkända standarder:

  • ETSI EN 303 645: En europeisk standard för IoT-säkerhet
  • ISO/IEC 29147: En internationell standard för sårbarhetsrapportering

Efterlevnad av dessa standarder anses uppfylla motsvarande PSTI-krav, förutsatt att vissa ytterligare villkor uppfylls.

Överensstämmelsebedömning och bevis

PSTI-regleringen bygger på en tillverkareselfdeklarationsmetod, som kräver en formell överensstämmelseförklaring. Denna förklaring måste innehålla följande minimiinformation:

  1. Produkten (typ, batch)
  2. Namn och adress för varje tillverkare av produkten och, om tillämpligt, eventuell auktoriserad representant
  3. En förklaring att överensstämmelseförklaringen upprättades av eller på uppdrag av tillverkaren
  4. En förklaring att, enligt tillverkarens uppfattning, antingen:
    • de tillämpliga säkerhetskraven har uppfyllts, eller
    • villkoren för förmodad överensstämmelse har uppfyllts (det vill säga, de listade standarderna har implementerats)
  5. Den definierade supportperioden för produkten, som den var korrekt vid tidpunkten för första leverans av tillverkaren
  6. Underskrift, namn och befattning för undertecknaren
  7. Plats och datum för utfärdandet av överensstämmelseförklaringen

Om tillverkaren förlitar sig på överensstämmelse med specifika standarder måste identifieringsnummer, version och utfärdandedatum för dessa standarder också inkluderas i förklaringen.

Slutsats och utsikter

UK PSTI-regleringen är ett viktigt steg mot att förbättra IoT-säkerhet. Den fastställer tydliga krav för tillverkare och ökar transparensen för konsumenter. Medan implementering kan vara utmanande för vissa företag är de långsiktiga fördelarna för cybersäkerhet obestridliga.

För företag som verkar på eller går in på den brittiska marknaden är efterlevnad av PSTI-regleringen väsentlig. Tidig anpassning av produktutveckling och dokumentation till dessa krav kan skapa en konkurrensfordel och stärka konsumentförtroende.