Introduction à la certification
Conformément à la loi de 2023 sur la sécurité des produits et l'infrastructure des télécommunications promulguée par le Royaume-Uni le 29 avril 2023,Le Royaume-Uni commencera à appliquer les exigences de sécurité du réseau pour les appareils de consommation connectés le 29 avril., 2024, applicable à l'Angleterre, à l'Écosse et au Pays de Galles. En Irlande du Nord, il ne reste plus que 3 mois.Les principaux fabricants exportant vers le marché britannique doivent obtenir la certification PSTI le plus rapidement possible pour assurer une entrée en douceur sur le marché britannique..
Les détails de la loi PSTI sont les suivants:
Le régime britannique de sécurité des produits connectés aux consommateurs entrera en vigueur et sera appliqué le 29 avril 2024.Les fabricants de produits de consommation connectés au Royaume-Uni seront tenus par la loi de respecter les exigences minimales de sécurité.Ces exigences de sécurité minimales sont basées sur le Code de pratique de sécurité de l'IoT pour les consommateurs britanniques, la norme de sécurité de l'IoT pour les consommateurs ETSI EN 303 645,et les recommandations du Centre national de cybersécurité, l'autorité technique britannique sur les cybermenaces.Le régime garantira également que d'autres entreprises de la chaîne d'approvisionnement de ces produits jouent un rôle dans l'empêchement de la vente de produits de consommation dangereux aux consommateurs et aux entreprises britanniques..
Le système se compose de deux textes législatifs
Le projet de loi de 2022 sur la sécurité des produits et l'infrastructure des télécommunications (PSTI) partie 1
Loi de 2023 sur la sécurité des produits et l'infrastructure des télécommunications (exigences de sécurité pour les produits connectés pertinents)
Calendrier de publication et d'exécution du projet de loi PSTI
Le projet de loi PSTI a été approuvé en décembre 2022. Le gouvernement a publié un projet complet des projets de loi PSTI (exigences de sécurité pour les produits connectés pertinents) en avril 2023,et les projets de loi ont été signés le 14 septembreLe régime de sécurité des produits connectés aux consommateurs entrera en vigueur le 29 avril 2024.
Documents relatifs à la loi PSTI
1. UK Product Security and Telecommunications Infrastructure (Product Security) PSTI Act Le régime britannique de la sécurité des produits et de l'infrastructure des télécommunications (sécurité des produits).
Le site Web: https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2Le projet de loi de 2022 sur la sécurité des produits et l'infrastructure des télécommunications
Loi de 2022 sur la sécurité des produits et l'infrastructure des télécommunications
Le site Web: https://www.legislation.gov.uk/ukpga/2022/46/part/1/adopté
3Le projet de loi sur la sécurité des produits et l'infrastructure des télécommunications (exigences de sécurité pour les produits connectés pertinents) de 2023
Le présent règlement est obligatoire dans tous les États membres et s'applique dans tous les États membres.
Le site Web: https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Exigences spécifiques de la loi britannique PSTI
Les exigences de sécurité du réseau de la loi PSTI sont principalement divisées en trois aspects:
Sécurité par mot de passe par défaut universel
Gestion et exécution des rapports de vulnérabilité
Mise à jour logicielle
Ces exigences peuvent être évaluées directement par rapport à la loi PSTI ou par rapport à la norme ETSI EN 303 645, norme de cybersécurité pour les produits IoT de consommation,pour démontrer le respect de la loi PSTIEn d'autres termes, satisfaire aux exigences des trois chapitres et projets de la norme ETSI EN 303 645 équivaut à satisfaire aux exigences de la loi britannique PSTI.
L'ETSI EN 303 645 est une norme pour la sécurité et la confidentialité des produits IoT, comprenant les 13 catégories d'exigences suivantes:
Sécurité par mot de passe par défaut universel
Gestion et exécution des rapports de vulnérabilité
Mise à jour logicielle
Stockage de paramètres de sécurité intelligents
Sécurité des communications
Réduire la surface d'attaque exposée
Protéger les données personnelles
intégrité du logiciel
Résistance du système aux interruptions
Vérifiez les données de télémétrie du système
Faciliter la suppression des données personnelles par les utilisateurs
Simplifier l'installation et la maintenance des équipements
Valider les données d'entrée
Comment démontrer la conformité aux exigences de la loi britannique sur les PTSI
L'exigence minimale est de satisfaire aux trois exigences de la loi PSTI concernant les mots de passe, les cycles de maintenance des logiciels et les rapports de vulnérabilité,et de fournir des documents techniques tels que des rapports d'évaluation pour ces exigencesNous recommandons d'utiliser l'ETSI EN 303 645 pour les évaluations de la loi britannique sur les technologies de l'information et des technologies de l'information.C'est aussi le meilleur moyen d'ouvrir la voie à l'application des exigences de cybersécurité de la directive CE RED de l'UE à compter du 1er août.En 2025.
