EN SV
legislation

UK PSTI forklaret krav og overholdelse for IoT producenter

4 minutters læsning
UK PSTI forklaret krav og overholdelse for IoT producenter

UK PSTI i et øjeblik. Nye cybersikkerhedsregler for tilsluttede produkter - opdag anvendelsesområdet, hovedkrav og overensstemmelsesbeviser.

Retsgrundlag for PSTI

Retsgrundlaget for regulering af sikkerheden af tilsluttede forbrugerprodukter i Storbritannien består af to hovedkomponenter:

  1. Del 1 af Product Security and Telecommunications Infrastructure (PSTI) Act 2022
  2. Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023

PSTI Act modtog Royal Assent i december 2022. Den fulde tekst af PSTI blev offentliggjort i april 2023 og trådte i kraft den 14. september 2023.

Anvendelsesområde for PSTI

PSTI gælder for "relevante tilslutbare produkter" der leveres til forbrugere i Storbritannien. Anvendelsesområdet inkluderer:

  • Internet-tilslutbare produkter: Enheder, der kan forbinde til internettet.
  • Netværks-tilslutbare produkter: Enheder der:
    • kan elektrisk eller elektromagnetisk sende og modtage data
    • ikke er direkte forbundet til internettet
    • kan enten forbinde direkte til en internet-tilslutbar enhed eller forbindes til flere enheder på samme tid

Det er vigtigt at bemærke, at der er visse undtagelser. Følgende produktkategorier er udelukket fra kravene:

  • Produkter til Nordirland: Produkter beregnet til levering i Nordirland, der falder under visse EU-regler opført i Windsor Framework.
  • Elbil ladestationer: Ladestationer, der falder under Electric Vehicles (Smart Charge Points) Regulations 2021.
  • Medicinsk udstyr: Produkter underlagt Medical Devices Regulations 2002. Dog gælder denne undtagelse ikke for tilsluttede produkter, der kun kører software, som selv falder under disse forordninger.
  • Smart meter produkter: Produkter leveret eller installeret af licenserede udbydere af smart meter kommunikationstjenester eller energileverandører, der er blevet succesfuldt certificeret under en sikkerhedsordning (såsom Commercial Product Assurance Scheme fra National Cyber Security Centre).
  • Computere: Desktop computere, bærbare computere og tablet computere uden cellulær forbindelse er undtaget. Dog gælder denne undtagelse ikke for computere, som producenten udtrykkeligt markedsfører som værende designet udelukkende til børn under 14 år.

Disse undtagelser tager højde for eksisterende forordninger i specifikke sektorer og undgår dobbelt regulering. De fremhæver også PSTI-forordningens fokus på forbrugerprodukter og IoT-enheder, mens de udelukker specialiserede eller allerede regulerede produkter.

Krav i PSTI

PSTI definerer tre kernområder af sikkerhedskrav:

Adgangskoder:

  • Skal være unikke per produkt eller brugerdefinerede
  • Må ikke være baseret på trin-for-trin tællere eller offentligt tilgængelig information
  • Må ikke være lette at gætte

Rapportering af sikkerhedsproblemer:

  • Producenter skal offentliggøre mindst ét kontaktpunkt for sikkerhedsrapporter
  • Information om processen for anerkendelse af rapporter og levering af statusopdateringer skal gives

Minimum varighed for sikkerhedsopdateringer:

  • Producenter skal offentliggøre den definerede støtteperiode for sikkerhedsopdateringer
  • Denne information skal være klar, gennemsigtig og tilgængelig gratis

Implementering gennem standarder

Forordningen tillader producenter at demonstrere overensstemmelse ved at overholde visse anerkendte standarder:

  • ETSI EN 303 645: En europæisk standard for IoT sikkerhed
  • ISO/IEC 29147: En international standard om sårbarhedsoffentliggørelse

Overholdelse af disse standarder betragtes som opfyldelse af de tilsvarende PSTI-krav, forudsat at visse yderligere betingelser er opfyldt.

Konformitetsvurdering og beviser

PSTI-forordningen bygger på en producentselverklæringsmetode, der kræver en formel overensstemmelseserklæring. Denne erklæring skal indeholde følgende minimumsinformation:

  1. Produktet (type, batch)
  2. Navnet og adressen på hver producent af produktet og, hvis gældende, enhver autoriseret repræsentant
  3. En erklæring om, at overensstemmelseserklæringen blev udarbejdet af eller på vegne af producenten
  4. En erklæring om, at efter producentens opfattelse enten:
    • de gældende sikkerhedskrav er blevet opfyldt, eller
    • betingelserne for formodet overensstemmelse er blevet opfyldt (dvs. de anførte standarder er blevet implementeret)
  5. Den definerede støtteperiode for produktet, som den var korrekt på tidspunktet for første levering af producenten
  6. Underskrift, navn og stilling for underskriveren
  7. Sted og dato for udstedelse af overensstemmelseserklæringen

Hvis producenten bygger på overensstemmelse med specifikke standarder, skal identifikationsnummeret, versionen og udstedelsesdatoen for disse standarder også inkluderes i erklæringen.

Konklusion og fremtidsudsigter

UK PSTI-forordningen er et vigtigt skridt mod forbedring af IoT sikkerhed. Den opstiller klare krav til producenter og øger gennemsigtigheden for forbrugere. Selvom implementering kan være udfordrende for nogle virksomheder, er de langsigtede fordele for cybersikkerhed ubestridelige.

For virksomheder, der opererer på eller træder ind på det britiske marked, er overholdelse af PSTI-forordningen essentiel. Tidlig tilpasning af produktudvikling og dokumentation til disse krav kan skabe en konkurrencefordel og styrke forbrugertilliden.