À partir du 29 avril 2024, le Royaume-Uni est sur le point d’appliquer la loi PSTI sur la cybersécurité :
Conformément à la loi de 2023 sur la sécurité des produits et les infrastructures de télécommunications publiée par le Royaume-Uni le 29 avril 2023, le Royaume-Uni commencera à appliquer des exigences de sécurité réseau pour les appareils grand public connectés à partir du 29 avril 2024, applicables à l'Angleterre, à l'Écosse, au Pays de Galles et à l'Irlande du Nord. Pour l'instant, il ne reste que quelques jours et les principaux fabricants exportant vers le marché britannique doivent terminerCertification PSTIdès que possible pour assurer une entrée en douceur sur le marché britannique.
L’introduction détaillée de la loi PSTI est la suivante :
La politique britannique de sécurité des produits Consumer Connect entrera en vigueur et sera appliquée le 29 avril 2024. À partir de cette date, la loi obligera les fabricants de produits pouvant être connectés aux consommateurs britanniques à se conformer aux exigences minimales de sécurité. Ces exigences minimales de sécurité sont basées sur les lignes directrices britanniques relatives aux pratiques de sécurité de l'Internet des objets grand public, la norme de sécurité de l'Internet des objets grand public ETSI EN 303 645, leader mondial, et les recommandations de la Network Threat Technology Authority du Royaume-Uni, le National Cybersecurity Center. Ce système garantira également que d'autres entreprises de la chaîne d'approvisionnement de ces produits jouent un rôle en empêchant la vente de biens de consommation dangereux aux consommateurs et aux entreprises britanniques.
Ce système comprend deux textes législatifs :
1. Partie 1 de la loi de 2022 sur la sécurité des produits et l'infrastructure des télécommunications (PSTI) ;
2. Loi de 2023 sur la sécurité des produits et l'infrastructure des télécommunications (exigences de sécurité pour les produits connectés associés).
Calendrier de publication et de mise en œuvre de la loi PSTI :
Le projet de loi PSTI a été approuvé en décembre 2022. Le gouvernement a publié le projet complet du projet de loi PSTI (Safety Requirements for Related Connected Products) en avril 2023, qui a été promulgué le 14 septembre 2023. Le système de sécurité des produits connectés grand public prendra effet le 29 avril 2024.
La loi britannique PSTI couvre la gamme de produits :
·Gamme de produits contrôlés PSTI :
Cela inclut, sans toutefois s'y limiter, les produits connectés à Internet. Les produits typiques incluent : une télévision intelligente, une caméra IP, un routeur, un éclairage intelligent et des produits ménagers.
·Annexe 3 Produits connectés exclus qui ne rentrent pas dans le périmètre de contrôle du PSTI :
Y compris les ordinateurs (a) les ordinateurs de bureau ; (b) Ordinateur portable ; (c) Tablettes qui n'ont pas la capacité de se connecter aux réseaux cellulaires (conçues spécifiquement pour les enfants de moins de 14 ans selon l'utilisation prévue du fabricant, sans exception), aux produits médicaux, aux produits de compteurs intelligents, aux chargeurs de véhicules électriques et au Bluetooth. Produits de connexion « sur un ». Veuillez noter que ces produits peuvent également avoir des exigences en matière de cybersécurité, mais ils ne sont pas couverts par la loi PSTI et peuvent être réglementés par d'autres lois.
Documents de référence :
Fichiers PSTI publiés par UK GOV :
Loi de 2022 sur la sécurité des produits et l'infrastructure des télécommunications.CHAPITRE 1- Exigences de sécurité -Exigences de sécurité relatives aux produits.
Lien de téléchargement :
https://www.gov.uk/government/publications/the-uk-product security-and-tecommunications-infrastructure-product-security-regime
Le fichier dans le lien ci-dessus fournit une description détaillée des exigences pertinentes pour le contrôle des produits, et vous pouvez également vous référer à l'interprétation dans le lien suivant pour référence :
https://www.gov.uk/guidance/the-product-security-and-tecommunications infrastructure-psti-bill-product-security factsheet
Quelles sont les sanctions en cas de non-certification PSTI ?
Les entreprises contrevenantes se verront infliger une amende pouvant aller jusqu'à 10 millions de livres sterling, soit 4 % de leur chiffre d'affaires mondial. De plus, les produits qui enfreignent la réglementation seront également rappelés et les informations sur les violations seront rendues publiques.
Exigences spécifiques de la loi britannique PSTI :
1、 Les exigences en matière de sécurité des réseaux en vertu de la loi PSTI sont principalement divisées en trois aspects :
1) Sécurité universelle par mot de passe par défaut
2) Gestion et exécution des rapports de faiblesses
3) Mises à jour du logiciel
Ces exigences peuvent être directement évaluées en vertu de la loi PSTI, ou évaluées en faisant référence à la norme de sécurité réseau ETSI EN 303 645 pour les produits IoT grand public afin de démontrer la conformité à la loi PSTI. C'est-à-dire que répondre aux exigences des trois chapitres et projets de la norme ETSI EN 303 645 équivaut à se conformer aux exigences de la loi britannique PSTI.
2、 La norme ETSI EN 303 645 pour la sécurité et la confidentialité des produits IoT comprend les 13 catégories d'exigences suivantes :
1) Sécurité universelle par mot de passe par défaut
2) Gestion et exécution des rapports de faiblesses
3) Mises à jour du logiciel
4) Sauvegarde intelligente des paramètres de sécurité
5) Sécurité des communications
6) Réduire l’exposition de la surface d’attaque
7) Protection des informations personnelles
8) Intégrité du logiciel
9) Capacité anti-interférence du système
10) Vérifiez les données de télémétrie du système
11) Pratique pour les utilisateurs pour supprimer des informations personnelles
12) Simplifier l’installation et la maintenance des équipements
13) Vérifier les données d'entrée
Comment prouver la conformité aux exigences de la loi britannique PSTI ?
L'exigence minimale est de répondre aux trois exigences de la loi PSTI concernant les mots de passe, les cycles de maintenance des logiciels et les rapports de vulnérabilité, et de fournir des documents techniques tels que des rapports d'évaluation pour ces exigences, tout en faisant également une auto-déclaration de conformité. Nous vous suggérons d'utiliser l'ETSI EN 303 645 pour l'évaluation de la loi britannique PSTI. C'est également la meilleure préparation à la mise en œuvre obligatoire des exigences de cybersécurité de la directive européenne CE RED à partir du 1er août 2025 !
Rappel suggéré :
Avant l’arrivée de la date obligatoire, les fabricants doivent s’assurer que les produits conçus répondent aux exigences standard avant d’entrer sur le marché pour la production. Xinheng Testing suggère que les fabricants concernés comprennent les lois et réglementations pertinentes le plus tôt possible dans le processus de développement du produit, afin de mieux planifier la conception, la production et l'exportation des produits et de garantir que les produits répondent aux normes de sécurité.
BTF Testing Lab possède une riche expérience et des cas réussis dans la réponse à la loi PSTI. Depuis longtemps, nous fournissons à nos clients des services de conseil professionnels, une assistance technique et des services de test et de certification, aidant les entreprises et les entreprises à obtenir plus efficacement les certifications de divers pays, à améliorer la qualité des produits, à réduire les risques de violation, à renforcer leurs avantages concurrentiels et résoudre les barrières commerciales à l’importation et à l’exportation. Si vous avez des questions sur la réglementation PSTI et les catégories de produits contrôlés, vous pouvez contacter directement notre équipe de tests Xinheng pour en savoir plus !
Heure de publication : 25 avril 2024
