EN SV
legislation

UK PSTI forklaret krav og overensstemmelse for IoT-producenter

5 minutters læsning
UK PSTI forklaret krav og overensstemmelse for IoT-producenter

UK PSTI oversigt nye cybersikkerhedsregler for forbundne produkter. Opdag omfanget, hovedkravene og bevis for overensstemmelse.

Juridisk grundlag for PSTI

Det juridiske grundlag for regulering af sikkerheden for forbundne forbrugerprodukter i Storbritannien består af to hovedkomponenter:

  1. Del 1 af Product Security and Telecommunications Infrastructure (PSTI) Act 2022
  2. Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023

PSTI Act modtog Royal Assent i december 2022. Den fulde tekst af PSTI blev offentliggjort i april 2023 og trådte i kraft den 14. september 2023.

PSTI's omfang

PSTI gælder for "relevante tilslutbare produkter", der gøres tilgængelige for forbrugere i Storbritannien. Omfanget inkluderer:

  • Internet-tilslutbare produkter enheder, der kan forbinde til internettet.
  • Netværk-tilslutbare produkter enheder, der:
    • Kan sende og modtage data elektrisk eller elektromagnetisk
    • Ikke er direkte forbundet til internettet
    • Kan enten forbinde direkte til en internet-tilslutbar enhed eller forbindes til flere enheder på samme tid

Det er vigtigt at bemærke, at der er specifikke undtagelser. Følgende produktkategorier er undtaget fra kravene:

  • Produkter til Nordirland produkter beregnet til levering i Nordirland, der falder under visse EU-lovgivninger anført i Windsor Framework.
  • Elbil-ladestationer ladepunkter, der falder under Electric Vehicles (Smart Charge Points) Regulations 2021.
  • Medicinsk udstyr produkter omfattet af Medical Devices Regulations 2002. Dog gælder denne undtagelse ikke for forbundne produkter, hvorpå kun software er installeret, hvis den software falder inden for disse regler.
  • Smart meter-produkter produkter leveret eller installeret af licenserede udbydere af smart meter-kommunikationstjenester eller energileverandører og succesfuldt certificeret under en sikkerhedsordning (såsom Commercial Product Assurance Scheme fra National Cyber Security Centre).
  • Computere desktop-computere, bærbare computere og tablet-computere uden cellular-forbindelse er undtaget. Denne undtagelse gælder ikke for computere, som producenten udtrykkeligt angiver er udelukkende beregnet til børn under 14 år.

Disse undtagelser tager hensyn til eksisterende reguleringer i specifikke sektorer og undgår dobbelt regulering. De understreger også PSTI-reguleringens fokus på forbrugerprodukter og IoT-enheder, mens de udelukker specialiserede eller allerede regulerede produkter.

PSTI's krav

PSTI definerer tre kerneområder for sikkerhedskrav:

Adgangskoder

  • Skal være unikke pr. produkt eller defineret af brugeren
  • Må ikke være baseret på inkrementelle tællere eller offentligt tilgængelig information
  • Må ikke være lette at gætte

Rapportering af sikkerhedsproblemer

  • Producenter skal offentliggøre mindst ét kontaktpunkt for sikkerhedsrapporter
  • Information om processen for at anerkende rapporter og levere statusopdateringer skal leveres

Minimum varighed for sikkerhedsopdateringer

  • Producenter skal offentliggøre den definerede supportperiode for sikkerhedsopdateringer
  • Denne information skal være klar, transparent og frit tilgængelig

Implementering via standarder

Reguleringen tillader producenter at demonstrere overensstemmelse ved at overholde visse anerkendte standarder:

  • ETSI EN 303 645
  • ISO/IEC 29147

Overensstemmelse med disse standarder behandles som opfyldelse af de tilsvarende PSTI-krav, forudsat at visse yderligere betingelser er opfyldt.

Overensstemmelsesvurdering og beviser

PSTI-reguleringen bygger på en producenters selvdeklarationstilgang, der kræver en formel overensstemmelseserklæring. Denne erklæring skal indeholde følgende minimumsinformation:

  1. Produkt (type, batch)
  2. Navn og adresse for hver producent af produktet og, hvor relevant, enhver autoriseret repræsentant
  3. En erklæring om, at overensstemmelseserklæringen blev udarbejdet af eller på vegne af producenten
  4. En erklæring om, at producenten, på sin egen vurdering, enten:
    • har opfyldt de gældende sikkerhedskrav, eller
    • har opfyldt betingelserne for formodet overensstemmelse (dvs. implementeret de nævnte standarder)
  5. Den definerede supportperiode for produktet, som den var korrekt på tidspunktet for første levering af producenten
  6. Underskrift, navn og stilling for underskriveren
  7. Sted og dato for udstedelse af overensstemmelseserklæringen

Hvis producenten bygger på overensstemmelse med visse standarder, skal identifikationsnummer, version og udstedelsesdato for disse standarder også inkluderes i erklæringen.

Konklusion og udsigter

UK PSTI-reguleringen er et vigtigt skridt mod at forbedre IoT-sikkerhed. Den fastsætter klare krav til producenter og skaber større gennemsigtighed for forbrugere. Selvom implementering kan udgøre udfordringer for nogle virksomheder, er de langsigtede fordele for cybersikkerhed klare.

For virksomheder, der er aktive på eller indtræder på det britiske marked, er overholdelse af PSTI-reguleringen essentiel. Tidlig tilpasning af produktudvikling og dokumentation til disse krav kan give en konkurrencefordel og øge forbrugertilliden.

PSTI-reguleringen er et yderligere element ved siden af CRA, RED og andre EU-krav for mange producenter. Hvis du ønsker at forstå, hvordan disse krav passer ind på det britiske marked, og hvilke næste skridt der giver mening, kan vi diskutere dette i en uforpligtende samtale.