EN DA
legislation

UK PSTI förklarat krav och överensstämmelse för IoT-tillverkare

5 minuters läsning
UK PSTI förklarat krav och överensstämmelse för IoT-tillverkare

UK PSTI översikt: nya cybersäkerhetsregler för anslutna produkter. Upptäck omfattningen, huvudkraven och bevis för överensstämmelse.

Juridisk grund för PSTI

Den juridiska grunden för reglering av säkerheten för anslutna konsumentprodukter i Storbritannien består av två huvudkomponenter:

  1. Del 1 av Product Security and Telecommunications Infrastructure (PSTI) Act 2022
  2. Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023

PSTI Act fick Royal Assent i december 2022. Den fullständiga texten av PSTI publicerades i april 2023 och trädde i kraft den 14 september 2023.

PSTI:s omfattning

PSTI gäller "relevanta anslutningsbara produkter" som görs tillgängliga för konsumenter i Storbritannien. Omfattningen inkluderar:

  • Internet-anslutningsbara produkter: enheter som kan ansluta till internet.
  • Nätverksanslutningsbara produkter: enheter som:
    • Kan skicka och ta emot data elektriskt eller elektromagnetiskt
    • Inte är direkt anslutna till internet
    • Kan antingen ansluta direkt till en internet-anslutningsbar enhet eller anslutas till flera enheter samtidigt

Det är viktigt att notera att det finns specifika undantag. Följande produktkategorier är undantagna från kraven:

  • Produkter för Nordirland: produkter avsedda för leverans i Nordirland som faller under viss EU-lagstiftning listad i Windsor Framework.
  • Laddningsstationer för elfordon: laddningspunkter som faller under Electric Vehicles (Smart Charge Points) Regulations 2021.
  • Medicintekniska produkter: produkter som omfattas av Medical Devices Regulations 2002. Detta undantag gäller dock inte för anslutna produkter på vilka endast mjukvara är installerad om den mjukvaran faller inom dessa föreskrifter.
  • Smart meter-produkter: produkter som levereras eller installeras av licensierade leverantörer av smart meter kommunikationstjänster eller energileverantörer och framgångsrikt certifierade under ett säkerhetsschema (såsom Commercial Product Assurance Scheme från National Cyber Security Centre).
  • Datorer: stationära datorer, bärbara datorer och surfplattor utan cellular-anslutning är undantagna. Detta undantag gäller inte för datorer som tillverkaren uttryckligen anger är avsedda enbart för barn under 14 år.

Dessa undantag tar hänsyn till befintliga föreskrifter inom specifika sektorer och undviker dubbelreglering. De betonar också PSTI-regleringens fokus på konsumentprodukter och IoT-enheter samtidigt som de utesluter specialiserade eller redan reglerade produkter.

PSTI:s krav

PSTI definierar tre kärnområden för säkerhetskrav:

Lösenord

  • Måste vara unika per produkt eller definieras av användaren
  • Får inte baseras på inkrementella räknare eller offentligt tillgänglig information
  • Får inte vara lätta att gissa

Rapportering av säkerhetsproblem

  • Tillverkare måste publicera minst en kontaktpunkt för säkerhetsrapporter
  • Information om processen för att bekräfta rapporter och tillhandahålla statusuppdateringar måste tillhandahållas

Minimilängd för säkerhetsuppdateringar

  • Tillverkare måste publicera den definierade supportperioden för säkerhetsuppdateringar
  • Denna information måste vara tydlig, transparent och fritt tillgänglig

Implementering via standarder

Regleringen tillåter tillverkare att visa överensstämmelse genom att följa vissa erkända standarder:

  • ETSI EN 303 645
  • ISO/IEC 29147

Överensstämmelse med dessa standarder behandlas som uppfyllelse av motsvarande PSTI-krav, förutsatt att vissa ytterligare villkor är uppfyllda.

Överensstämmelsebedömning och bevis

PSTI-regleringen förlitar sig på en tillverkares självdeklarationsmetod, som kräver en formell överensstämmelseförklaring. Denna förklaring måste innehålla följande minimiinformation:

  1. Produkt (typ, batch)
  2. Namn och adress för varje tillverkare av produkten och, där tillämpligt, eventuell auktoriserad representant
  3. En förklaring att överensstämmelseförklaringen upprättades av eller på uppdrag av tillverkaren
  4. En förklaring att tillverkaren, på sin egen bedömning, antingen:
    • har uppfyllt tillämpliga säkerhetskrav, eller
    • har uppfyllt villkoren för förmodad överensstämmelse (dvs implementerat de nämnda standarderna)
  5. Den definierade supportperioden för produkten som den var korrekt vid tidpunkten för första leverans av tillverkaren
  6. Underskrift, namn och position för undertecknaren
  7. Plats och datum för utfärdandet av överensstämmelseförklaringen

Om tillverkaren förlitar sig på överensstämmelse med vissa standarder måste identifikationsnummer, version och utfärdandedatum för dessa standarder också inkluderas i förklaringen.

Slutsats och framtidsutsikter

UK PSTI-regleringen är ett viktigt steg mot att förbättra IoT-säkerhet. Den fastställer tydliga krav för tillverkare och skapar större transparens för konsumenter. Även om implementering kan innebära utmaningar för vissa företag är de långsiktiga fördelarna för cybersäkerhet tydliga.

För företag som är aktiva på eller går in på den brittiska marknaden är överensstämmelse med PSTI-regleringen väsentlig. Tidig anpassning av produktutveckling och dokumentation till dessa krav kan ge en konkurrensfördel och öka konsumenternas förtroende.

PSTI-regleringen är ett ytterligare element vid sidan av CRA, RED och andra EU-krav för många tillverkare. Om du vill förstå hur dessa krav passar in på den brittiska marknaden och vilka nästa steg som är meningsfulla kan vi diskutera detta i ett icke-bindande samtal.