Ürün Güvenliği ve Telekomünikasyon Altyapı Yasası 2023'e göre (PSTIBirleşik Krallık tarafından 29 Nisan 2023'te yayınlanan) uyarınca Birleşik Krallık, bağlı tüketici cihazları için İngiltere, İskoçya, Galler ve Kuzey İrlanda için geçerli olan ağ güvenliği gerekliliklerini 29 Nisan 2024'ten itibaren uygulamaya başlayacak. İhlal eden şirketler 10 milyon £'a kadar veya küresel gelirlerinin %4'ü kadar para cezasıyla karşı karşıya kalacak.
1.PSTI Yasasına Giriş:
Birleşik Krallık Tüketici Bağlantısı Ürün Güvenliği Politikası 29 Nisan 2024'te yürürlüğe girecek ve yürürlüğe girecek. Bu tarihten itibaren yasa, İngiliz tüketicilere bağlanabilen ürün üreticilerinin minimum güvenlik gerekliliklerine uymasını gerektirecek. Bu minimum güvenlik gereklilikleri, Birleşik Krallık Tüketici Nesnelerin İnterneti Güvenlik Uygulama Yönergeleri'ne, dünya çapında önde gelen tüketici Nesnelerin İnterneti güvenlik standardı ETSI EN 303 645'e ve Birleşik Krallık'ın siber tehdit teknolojisi konusunda yetkili organı olan Ulusal Siber Güvenlik Merkezi'nin tavsiyelerine dayanmaktadır. Bu sistem aynı zamanda bu ürünlerin tedarik zincirinde yer alan diğer işletmelerin de güvenli olmayan tüketim mallarının İngiliz tüketici ve işletmelerine satılmasının önlenmesinde rol oynamasını sağlayacaktır.
Bu sistem iki mevzuat içermektedir:
1) 2022 Ürün Güvenliği ve Telekomünikasyon Altyapısı (PSTI) Yasası'nın 1. Bölümü;
2) 2023 tarihli Ürün Güvenliği ve Telekomünikasyon Altyapısı (İlgili Bağlantılı Ürünler için Güvenlik Gereksinimleri) Yasası.
2. PSTI Yasası aşağıdaki ürün yelpazesini kapsamaktadır:
1) PSTI kontrollü ürün yelpazesi:
İnternete bağlı ürünleri içerir ancak bunlarla sınırlı değildir. Tipik ürünler şunları içerir: akıllı TV, IP kamera, yönlendirici, akıllı aydınlatma ve ev ürünleri.
2) PSTI kontrolü kapsamı dışındaki ürünler:
Bilgisayarlar dahil: (a) masaüstü bilgisayarlar; (b) Dizüstü bilgisayar; (c) Hücresel ağlara bağlanma özelliği olmayan tabletler (istisna olmaksızın üreticinin kullanım amacına göre 14 yaş altı çocuklar için özel olarak tasarlanmıştır), tıbbi ürünler, akıllı sayaç ürünleri, elektrikli araç şarj cihazları ve Bluetooth -bir-bir bağlantı ürünleri. Bu ürünlerin de siber güvenlik gereklilikleri olabileceğini ancak bunların PSTI Yasası kapsamında olmadığını ve başka yasalarla düzenlenebileceğini lütfen unutmayın.
3. PSTI Yasasının takip etmesi gereken üç temel nokta:
PSTI tasarısı iki ana bölümden oluşuyor: ürün güvenliği gereksinimleri ve telekomünikasyon altyapısı yönergeleri. Ürün güvenliği açısından özel dikkat gerektiren üç önemli nokta vardır:
1) Düzenleyici hükümler 5.1-1, 5.1-2'ye dayalı olarak şifre gereklilikleri. PSTI Yasası evrensel varsayılan şifrelerin kullanımını yasaklamaktadır. Bu, ürünün benzersiz bir varsayılan şifre belirlemesi gerektiği veya kullanıcıların ilk kullanımlarında bir şifre belirlemelerini gerektirmesi gerektiği anlamına gelir.
2) Güvenlik yönetimi sorunları, düzenleyici hükümler 5.2-1'e dayalı olarak, üreticilerin, güvenlik açıklarını keşfeden kişilerin üreticilere bildirimde bulunabilmesini ve üreticilerin müşterileri derhal bilgilendirebilmesini ve onarım tedbirleri sunabilmesini sağlamak için güvenlik açığı açıklama politikaları geliştirmesi ve kamuya açık bir şekilde açıklaması gerekir.
3) Güvenlik güncelleme döngüsü, 5.3-13 numaralı düzenleyici hükümlere dayalı olarak, tüketicilerin ürünlerinin güvenlik güncellemesi destek süresini anlayabilmeleri için üreticilerin güvenlik güncellemelerini sağlayacakları en kısa süreyi netleştirmeleri ve açıklamaları gerekir.
4. PSTI Yasası ve ETSI EN 303 645 Test Süreci:
1) Örnek veri hazırlama: Ana makine ve aksesuarlar, şifrelenmemiş yazılım, kullanım kılavuzları/şartnameler/ilgili hizmetler ve oturum açma hesabı bilgilerini içeren 3 set örnek
2) Test ortamı kurulumu: Kullanım kılavuzuna göre test ortamı oluşturun
3) Ağ güvenliği değerlendirmesinin yürütülmesi: dosya incelemesi ve teknik testler, tedarikçi anketlerinin kontrol edilmesi ve geri bildirim sağlanması
4) Zayıflık onarımı: Zayıflık sorunlarını düzeltmek için danışmanlık hizmetleri sağlayın
5) PSTI değerlendirme raporunu veya ETSI EN 303645 değerlendirme raporunu sağlayın
5. PSTI Yasası Belgeleri:
1) Birleşik Krallık Ürün Güvenliği ve Telekomünikasyon Altyapısı (Ürün Güvenliği) rejimi.
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2)Ürün Güvenliği ve Telekomünikasyon Altyapı Yasası 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3)Ürün Güvenliği ve Telekomünikasyon Altyapısı (İlgili Bağlanabilir Ürünler için Güvenlik Gereksinimleri) Düzenlemeleri 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Şu an itibariyle 2 aydan az bir süre kaldı. Birleşik Krallık pazarına ihracat yapan büyük üreticilerin, Birleşik Krallık pazarına sorunsuz giriş yapabilmeleri için mümkün olan en kısa sürede PSTI sertifikasını tamamlamaları tavsiye edilmektedir.
Gönderim zamanı: Mar-11-2024
