2023 年製品安全および電気通信インフラストラクチャ法によると (PSTI) 2023 年 4 月 29 日に英国によって発行されたものに伴い、英国は 2024 年 4 月 29 日から、接続された消費者向けデバイスに対するネットワーク セキュリティ要件の施行を開始します。これはイングランド、スコットランド、ウェールズ、および北アイルランドに適用されます。違反した企業には最大 1,000 万ポンドまたは全世界収益の 4% の罰金が科せられます。
1.PSTI 法の概要:
英国コンシューマー コネクト製品安全ポリシーは、2024 年 4 月 29 日に発効し、施行されます。この日から、法律は英国の消費者に接続できる製品のメーカーに最低限の安全要件を遵守することを義務付けます。これらの最小セキュリティ要件は、英国消費者向けモノのインターネット セキュリティ実践ガイドライン、世界をリードする消費者向けモノのインターネット セキュリティ標準である ETSI EN 303 645、および英国のサイバー脅威テクノロジーの権威機関である国立サイバーセキュリティ センターの推奨事項に基づいています。このシステムはまた、これらの製品のサプライチェーン内の他の企業が、安全でない消費財が英国の消費者や企業に販売されるのを防ぐ役割を果たすことを保証します。
このシステムには、次の 2 つの法律が含まれています。
1) 2022 年製品安全性および電気通信インフラストラクチャ (PSTI) 法のパート 1。
2) 2023 年製品セキュリティおよび電気通信インフラストラクチャ (関連する接続製品のセキュリティ要件) 法。
2. PSTI 法は以下の製品範囲を対象としています。
1) PSTI 管理対象製品範囲:
これには、インターネットに接続された製品が含まれますが、これに限定されません。代表的な製品には、スマート TV、IP カメラ、ルーター、インテリジェント照明、家庭用製品などがあります。
2) PSTI 管理対象外の製品:
コンピュータを含む (a) デスクトップ コンピュータ。 (b) ラップトップ コンピュータ。 (c) 携帯電話ネットワークに接続する機能を持たないタブレット(メーカーの使用目的に従って 14 歳未満の子供向けに特別に設計されており、例外ではありません)、医療製品、スマート メーター製品、電気自動車の充電器、および Bluetooth のもの-on-one接続製品。これらの製品にもサイバーセキュリティ要件がある場合がありますが、PSTI 法の対象ではなく、他の法律によって規制される可能性があることに注意してください。
3. PSTI 法が遵守すべき 3 つの重要なポイント:
PSTI 法案には、製品の安全性要件と通信インフラストラクチャのガイドラインという 2 つの主要な部分が含まれています。製品の安全性については、特に注意が必要な 3 つの重要な点があります。
1) 規制規定 5.1-1、5.1-2 に基づくパスワード要件。 PSTI 法では、共通のデフォルト パスワードの使用を禁止しています。これは、製品で一意のデフォルトのパスワードを設定するか、ユーザーが初めて使用するときにパスワードの設定を要求する必要があることを意味します。
2) セキュリティ管理の問題では、規制規定 5.2-1 に基づいて、製造業者は、脆弱性を発見した個人が製造業者に通知できること、また製造業者が顧客に速やかに通知して修理措置を提供できることを保証するために、脆弱性開示ポリシーを策定して公表する必要があります。
3) 安全性更新サイクルは、規制規定 5.3-13 に基づき、消費者が自社製品の安全性更新サポート期間を理解できるように、メーカーは安全性更新を提供する最短の期間を明確にし、開示する必要があります。
4. PSTI 法および ETSI EN 303 645 テストプロセス:
1) サンプルデータの準備: ホストおよびアクセサリ、暗号化されていないソフトウェア、ユーザーマニュアル/仕様/関連サービス、ログインアカウント情報を含むサンプル 3 セット
2) テスト環境の構築: ユーザーマニュアルに従ってテスト環境を構築します。
3) ネットワーク セキュリティ評価の実施: ファイルのレビューと技術テスト、サプライヤーのアンケートの確認、フィードバックの提供
4) 弱点の修復: 弱点の問題を解決するためのコンサルティングサービスを提供します。
5) PSTI 評価レポートまたは ETSI EN 303645 評価レポートを提供する
5. PSTI 法の文書:
1) 英国の製品セキュリティおよび電気通信インフラストラクチャ (製品セキュリティ) 制度。
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructor-product-security-regime
2) 2022 年製品セキュリティおよび通信インフラ法
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) 製品セキュリティおよび電気通信インフラストラクチャ (関連する接続可能な製品のセキュリティ要件) 規則 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
今のところ、あと2か月もありません。英国市場に輸出する大手製造業者は、英国市場へのスムーズな参入を確保するために、できるだけ早く PSTI 認証を完了することが推奨されます。
投稿日時: 2024 年 3 月 11 日
