英国は 2024 年 4 月 29 日からサイバーセキュリティ PSTI 法を施行しようとしています。
2023 年 4 月 29 日に英国が発行した 2023 年製品安全性および電気通信インフラストラクチャ法によると、英国は 2024 年 4 月 29 日から、接続された消費者デバイスに対するネットワーク セキュリティ要件の施行を開始します。これはイングランド、スコットランド、ウェールズ、および北アイルランドに適用されます。現時点では残り数日しか残っていないため、英国市場に輸出している大手メーカーは完了する必要があります。PSTI認証英国市場へのスムーズな参入を確実にするために、できるだけ早く。
PSTI 法の詳細な概要は次のとおりです。
英国コンシューマー コネクト製品安全ポリシーは、2024 年 4 月 29 日に発効し、施行されます。この日から、法律は英国の消費者に接続できる製品のメーカーに最低限の安全要件を遵守することを義務付けます。これらの最小セキュリティ要件は、英国消費者向けモノのインターネット セキュリティ実践ガイドライン、世界をリードする消費者向けモノのインターネット セキュリティ標準 ETSI EN 303 645、および英国のネットワーク脅威技術局である国立サイバーセキュリティ センターの推奨事項に基づいています。このシステムはまた、これらの製品のサプライチェーン内の他の企業が、安全でない消費財が英国の消費者や企業に販売されるのを防ぐ役割を果たすことを保証します。
このシステムには、次の 2 つの法律が含まれています。
1. 2022 年製品安全性および電気通信インフラストラクチャ (PSTI) 法のパート 1。
2. 2023 年製品セキュリティおよび電気通信インフラストラクチャ (関連する接続製品のセキュリティ要件) 法。
PSTI 法のリリースと施行のスケジュール:
PSTI 法案は 2022 年 12 月に承認されました。政府は 2023 年 4 月に PSTI (関連接続製品の安全要件) 法案の完全草案を発表し、2023 年 9 月 14 日に署名されて成立しました。消費者向け接続製品安全システムは、 2024 年 4 月 29 日から適用されます。
英国 PSTI 法は以下の製品範囲を対象としています。
·PSTI 管理対象製品範囲:
これには、インターネットに接続された製品が含まれますが、これに限定されません。代表的な製品には、スマート TV、IP カメラ、ルーター、インテリジェント照明、家庭用製品などがあります。
·別表 3 PSTI 管理の対象外となる例外接続製品:
コンピュータを含む (a) デスクトップ コンピュータ。 (b) ラップトップ コンピュータ。 (c) 携帯電話ネットワークに接続する機能を持たないタブレット(メーカーの使用目的に従って 14 歳未満の子供向けに特別に設計されており、例外ではありません)、医療製品、スマート メーター製品、電気自動車の充電器、および Bluetooth のもの-on-one接続製品。これらの製品にもサイバーセキュリティ要件がある場合がありますが、PSTI 法の対象ではなく、他の法律によって規制される可能性があることに注意してください。
参考文献:
英国政府がリリースした PSTI ファイル:
2022 年製品セキュリティおよび通信インフラ法。第 1 章 - セキュリティ要件 - 製品に関するセキュリティ要件。
ダウンロードリンク:
https://www.gov.uk/government/publications/the-uk-product security-and-telecommunications-infrastructor-product-security-regime
上記のリンクのファイルには、製品を制御するための関連要件の詳細な説明が記載されています。また、次のリンクの解釈を参照することもできます。
https://www.gov.uk/guidance/the-product-security-and-telecommunications interactionインフラストラクチャ-psti-bill-product-security ファクトシート
PSTI 認証を行わなかった場合、どのような罰則がありますか?
違反した企業には最大 1,000 万ポンドまたは全世界収益の 4% の罰金が科せられます。また、規制に違反した製品についても回収し、違反情報を公表します。
英国 PSTI 法の特定の要件:
1、 PSTI 法に基づくネットワーク セキュリティの要件は、主に 3 つの側面に分かれています。
1) ユニバーサルデフォルトパスワードセキュリティ
2) 弱点レポートの管理と実行
3) ソフトウェアアップデート
これらの要件は、PSTI 法に基づいて直接評価することも、消費者向け IoT 製品のネットワーク セキュリティ標準 ETSI EN 303 645 を参照して PSTI 法への準拠を実証することによって評価することもできます。つまり、ETSI EN 303 645 規格の 3 つの章とプロジェクトの要件を満たすことは、英国 PSTI 法の要件に準拠することと同等です。
2、 IoT 製品のセキュリティとプライバシーに関する ETSI EN 303 645 規格には、次の 13 カテゴリの要件が含まれています。
1) ユニバーサルデフォルトパスワードセキュリティ
2) 弱点レポートの管理と実行
3) ソフトウェアアップデート
4) スマート安全パラメータ保存
5) 通信セキュリティ
6) 攻撃対象領域の露出を減らす
7) 個人情報の保護
8) ソフトウェアの完全性
9) システムの耐干渉能力
10) システムテレメトリデータを確認する
11) ユーザーが個人情報を削除するのに便利
12) 機器の設置とメンテナンスの簡素化
13) 入力データの検証
英国の PSTI 法の要件への準拠を証明するにはどうすればよいですか?
PSTI 法のパスワード、ソフトウェア保守サイクル、脆弱性報告の 3 つの要件を満たし、これらの要件に対する評価報告書などの技術文書を提供するとともに、遵守を自己宣言することが最低要件となります。英国の PSTI 法の評価には ETSI EN 303 645 を使用することをお勧めします。これは、2025 年 8 月 1 日から始まる EU CE RED 指令のサイバーセキュリティ要件の強制実施に向けた最良の準備でもあります。
推奨されるリマインダー:
義務日が到来する前に、製造業者は、生産市場に参入する前に、設計された製品が標準要件を満たしていることを確認する必要があります。 Xinheng Testing は、製品の設計、生産、輸出をより適切に計画し、製品が安全基準を満たしていることを確認するために、関連メーカーが製品開発プロセスのできるだけ早い段階で関連法規制を理解する必要があると提案しています。
BTF Testing Lab は、PSTI 法への対応において豊富な経験と成功事例を持っています。長年にわたり、当社はお客様に専門的なコンサルティング サービス、技術サポート、試験および認証サービスを提供し、企業や企業がより効率的にさまざまな国の認証を取得し、製品の品質を向上させ、違反のリスクを軽減し、競争上の優位性を強化し、輸出入貿易障壁を解決します。 PSTI 規制および管理製品カテゴリーについてご質問がある場合は、Xinheng Testing スタッフに直接お問い合わせいただき、詳細をご確認ください。
投稿時刻: 2024 年 4 月 25 日
