2023 年 4 月 29 日に英国が発行した 2023 年製品安全性および電気通信インフラストラクチャ法によると、英国は 2024 年 4 月 29 日から、接続された消費者デバイスに対するネットワーク セキュリティ要件の施行を開始します。これはイングランド、スコットランド、ウェールズ、および北アイルランドに適用されます。現時点でまだ 3 か月強しか経過していないため、英国市場に輸出している大手メーカーは英国市場へのスムーズな参入を確保するためにできるだけ早く PSTI 認証を完了する必要があります。発表日から実施までは 12 か月の猶予期間が見込まれます。
1.PSTI 法の文書:
①英国の製品セキュリティおよび電気通信インフラストラクチャ(製品セキュリティ)制度。
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructor-product-security-regime
②製品セキュリティおよび電気通信インフラ法 2022。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③製品セキュリティおよび電気通信インフラストラクチャ(関連する接続可能な製品のセキュリティ要件)規則 2023。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. この法案は 2 つの部分に分かれています。
パート 1: 製品の安全性要件について
2023 年に英国政府によって導入された製品安全および電気通信インフラストラクチャ (関連する接続製品のセキュリティ要件) 条例の草案。この草案は、義務主体としての製造業者、輸入業者、販売業者の要求に対処しており、罰金を課す権利を持っています。違反者には最大 1,000 万ポンド、または会社の全世界収益の 4% が支払われます。規制違反を続ける企業には、1 日あたり追加で 20,000 ポンドの罰金が科せられます。
パート 2: 電気通信インフラストラクチャ ガイドライン。このような機器の設置、使用、アップグレードを促進するために作成されました。
このセクションでは、IoT の製造業者、輸入業者、販売業者が特定のサイバーセキュリティ要件に準拠することを要求します。安全でない消費者向け接続デバイスによってもたらされるリスクから国民を保護するために、最大ギガビットのブロードバンドおよび 5G ネットワークの導入をサポートします。
電子通信法は、公共および私有地にデジタル通信インフラを設置および維持するネットワーク オペレータおよびインフラストラクチャ プロバイダの権利を規定しています。 2017 年の電子通信法の改正により、デジタル インフラストラクチャの導入、保守、アップグレードがより安価かつ容易になりました。 PSTI 法案の電気通信インフラに関連する新たな措置は、2017 年改正電子通信法に基づいており、将来を見据えたギガビット ブロードバンドおよび 5G ネットワークの立ち上げを確実にするのに役立ちます。
PSTI 法は、英国の消費者に製品を提供するための最低限のセキュリティ要件を規定する 2022 年製品セキュリティおよび通信インフラストラクチャ法の第 1 部を補足するものです。 ETSI EN 303 645 v2.1.1、セクション 5.1-1、5.1-2、5.2-1、および 5.3-13、および ISO/IEC 29147:2018 標準に基づいて、パスワード、最低限のセキュリティに関する対応する規制と要件が提案されています。更新のタイムサイクル、およびセキュリティ問題を報告する方法。
対象となる製品範囲:
煙霧検知器、火災検知器、ドアロックなどのコネクテッドセキュリティ関連製品、コネクテッドホームオートメーションデバイス、スマートドアベルと警報システム、複数のデバイスを接続するIoT基地局とハブ、スマートホームアシスタント、スマートフォン、コネクテッドカメラ(IPおよびCCTV)、ウェアラブル デバイス、接続された冷蔵庫、洗濯機、冷凍庫、コーヒー マシン、ゲーム コントローラー、およびその他の同様の製品。
免除される製品の範囲:
北アイルランドで販売される製品、スマート メーター、電気自動車の充電ポイント、医療機器、および 14 歳以上のコンピューター タブレット。
3.IoT 製品のセキュリティとプライバシーに関する ETSI EN 303 645 規格には、次の 13 カテゴリの要件が含まれています。
1) ユニバーサルデフォルトパスワードセキュリティ
2) 弱点レポートの管理と実行
3) ソフトウェアアップデート
4) スマート安全パラメータ保存
5) 通信セキュリティ
6) 攻撃対象領域の露出を減らす
7) 個人情報の保護
8) ソフトウェアの完全性
9) システムの耐干渉能力
10) システムテレメトリデータを確認する
11) ユーザーが個人情報を削除するのに便利
12) 機器の設置とメンテナンスの簡素化
13) 入力データの検証
請求書の要件と対応する 2 つの基準
ユニバーサルデフォルトパスワードの禁止 - ETSI EN 303 645 規定 5.1-1 および 5.1-2
脆弱性レポートの管理方法の実装要件 - ETSI EN 303 645 規定 5.2-1
ISO/IEC 29147 (2018) 条項 6.2
製品のセキュリティ更新の最小タイムサイクルの透明性を要求 - ETSI EN 303 645 プロビジョン 5.3-13
PSTI は、製品が市場に投入される前に、上記の 3 つの安全基準を満たすことを要求しています。関連製品の製造業者、輸入業者、販売業者は、この法律の安全要件を遵守する必要があります。製造業者と輸入業者は、自社の製品にコンプライアンス声明が添付されていることを確認し、コンプライアンス違反が発生した場合には調査記録を保管するなどの措置を講じる必要があります。そうでない場合、違反者には最大 1,000 万ポンドまたは企業の全世界収益の 4% の罰金が科せられます。
4.PSTI 法および ETSI EN 303 645 テストプロセス:
1)サンプルデータの準備
ホストとアクセサリ、暗号化されていないソフトウェア、ユーザー マニュアル/仕様/関連サービス、ログイン アカウント情報を含む 3 セットのサンプル
2)テスト環境の構築
ユーザーマニュアルに基づいたテスト環境の構築
3)ネットワークセキュリティ評価の実施:
文書レビューと技術テスト、サプライヤーアンケートの検査、およびフィードバックの提供
4)弱点の修復
弱点を解決するためのコンサルティングサービスを提供する
5)PSTI評価レポートまたはETSIEN 303645評価レポートの提供
5.英国 PSTI 法の要件への準拠を証明するにはどうすればよいですか?
PSTI 法のパスワード、ソフトウェア保守サイクル、脆弱性報告の 3 つの要件を満たし、これらの要件に対する評価報告書などの技術文書を提供するとともに、遵守を自己宣言することが最低要件となります。英国の PSTI 法の評価には ETSI EN 303 645 を使用することをお勧めします。これは、2025 年 8 月 1 日から始まる EU CE RED 指令のサイバーセキュリティ要件の強制実施に向けた最良の準備でもあります。
BTF Testing Lab は、中国国家適合性評価機構 (CNAS) によって認定された試験機関です (番号: L17568)。長年の開発を経て、BTFには電磁両立性研究所、無線通信研究所、SAR研究所、安全研究所、信頼性研究所、電池試験研究所、化学試験およびその他の研究所があります。完璧な電磁両立性、高周波、製品の安全性、環境の信頼性、材料欠陥分析、ROHS/REACH、その他の試験機能を備えています。 BTF Testing Lab には、専門的で完全なテスト施設、テストと認証の専門家からなる経験豊富なチーム、およびさまざまな複雑なテストと認証の問題を解決する能力が備わっています。当社は「公平性、公平性、正確性、厳密性」の基本原則を遵守し、科学的管理のための ISO/IEC 17025 試験および校正ラボ管理システムの要件に厳密に従います。当社はお客様に最高品質のサービスを提供することに尽力しています。ご不明な点がございましたら、いつでもお気軽にお問い合わせください。
投稿日時: 2024 年 1 月 16 日