EU はサイバーセキュリティ要件の施行に足を引っ張っているように見えますが、英国はそうではありません。英国製品安全性および電気通信インフラストラクチャ規制 2023 によると、英国は 2024 年 4 月 29 日から、接続された消費者向けデバイスに対するネットワーク セキュリティ要件の施行を開始します。
1. 対象製品
英国の製品セキュリティおよび電気通信インフラストラクチャ規制 2022 では、ネットワーク セキュリティ制御を必要とする製品の範囲が指定されています。もちろん、インターネット接続を備えた製品も含まれますが、インターネット接続を備えた製品に限定されません。代表的な製品には、スマート TV、IP カメラ、ルーター、スマート照明、家庭用製品などがあります。
特別に除外される製品には、コンピューター、医療製品、スマート メーター製品、電気自動車の充電器が含まれます。これらの製品にもネットワーク セキュリティ要件がある場合がありますが、PSTI 規制の範囲内ではなく、他の規制によって規制される可能性があることに注意してください。
2. 具体的な要件は?
ネットワークセキュリティに対する PSTI 規制の要件は、主に 3 つの側面に分かれています
パスワード
メンテナンスサイクル
脆弱性レポート
これらの要件は、PSTI 規制に従って直接評価することも、消費者向けモノのインターネット製品のネットワーク セキュリティ標準 ETSI EN 303 645 を参照して評価して、PSTI 規制への製品の準拠を実証することもできます。つまり、ETSI EN 303 645 規格を満たすことは、英国の PSTI 規制の要件を満たすことと同等です。
3. ETSI EN 303 645について
ETSI EN 303 645 標準は 2020 年に初めてリリースされ、すぐにヨーロッパ以外の国際的に最も広く使用される IoT デバイスのネットワーク セキュリティ評価標準になりました。 ETSI EN 303 645 標準の使用は、最も実用的なネットワーク セキュリティ評価方法であり、良好なレベルの基本セキュリティを保証するだけでなく、いくつかの認証スキームの基礎も形成します。この規格は2023年に電気製品の国際認証制度のCBスキームの認証規格としてIECEEに正式に承認されました。
4.規制要件への準拠をどのように証明しますか?
最低要件は、パスワード、メンテナンス サイクル、脆弱性報告に関する PSTI 法の 3 つの要件を満たし、これらの要件への準拠を自己宣言することです。
顧客に対して規制への準拠をより適切に示すために、またターゲット市場が英国に限定されない場合、評価に国際基準を使用するのが合理的です。これは、2025 年 8 月から欧州連合によって施行されるサイバーセキュリティ要件を満たす準備をする上で重要な要素でもあります。
5. あなたの製品が PSTI 規制の範囲内にあるかどうかを判断しますか?
当社は、地域で認められた複数の権威研究所と協力して、地域に応じたネットワーク情報セキュリティの評価、コンサルティング、および IoT デバイスの認証サービスを提供します。当社のサービスには以下が含まれます:
ネットワーク製品の開発段階における情報セキュリティ設計コンサルティングおよび事前検査を提供します。
製品が RED 指令のネットワーク セキュリティ要件を満たしていることを示す評価を提供します。
ETSI/EN 303 645 または国家サイバーセキュリティ規制に従って評価し、適合証明書または認証を発行します。
投稿日時: 2023 年 12 月 28 日