Conformément à la loi de 2023 sur la sécurité des produits et les infrastructures de télécommunications publiée par le Royaume-Uni le 29 avril 2023, le Royaume-Uni commencera à appliquer des exigences de sécurité réseau pour les appareils grand public connectés à partir du 29 avril 2024, applicables à l'Angleterre, à l'Écosse, au Pays de Galles et à l'Irlande du Nord. Pour l’instant, cela ne fait qu’un peu plus de 3 mois et les principaux fabricants exportant vers le marché britannique doivent obtenir la certification PSTI dès que possible pour garantir une entrée en douceur sur le marché britannique. Il existe un délai de grâce prévu de 12 mois à compter de la date d'annonce jusqu'à la mise en œuvre.
1.Documents de la Loi PSTI :
①Le régime britannique de sécurité des produits et d'infrastructure de télécommunications (sécurité des produits).
https://www.gov.uk/government/publications/the-uk-product-security-and-tecommunications-infrastructure-product-security-regime
②Loi de 2022 sur la sécurité des produits et l'infrastructure des télécommunications.https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③Règlement de 2023 sur la sécurité des produits et l'infrastructure des télécommunications (exigences de sécurité pour les produits connectables pertinents)。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. Le projet de loi est divisé en deux parties :
Partie 1 : Concernant les exigences de sécurité des produits
Le projet d'ordonnance sur la sécurité des produits et l'infrastructure des télécommunications (exigences de sécurité pour les produits connectés associés) introduit par le gouvernement britannique en 2023. Le projet répond aux demandes formulées par les fabricants, les importateurs et les distributeurs en tant qu'entités obligées, et a le droit d'imposer des amendes. jusqu'à 10 millions de livres sterling, soit 4 % du chiffre d'affaires mondial de l'entreprise, pour les contrevenants. Les entreprises qui continuent à enfreindre la réglementation se verront également infliger une amende supplémentaire de 20 000 £ par jour.
Partie 2 : Directives relatives aux infrastructures de télécommunications, élaborées pour accélérer l'installation, l'utilisation et la mise à niveau de ces équipements
Cette section exige que les fabricants, importateurs et distributeurs d’IoT se conforment à des exigences spécifiques en matière de cybersécurité. Il soutient l’introduction de réseaux haut débit et 5G jusqu’au gigabit pour protéger les citoyens des risques posés par les appareils connectés grand public dangereux.
La loi sur les communications électroniques stipule le droit des opérateurs de réseaux et des fournisseurs d'infrastructures d'installer et d'entretenir des infrastructures de communication numérique sur des terrains publics et privés. La révision de la loi sur les communications électroniques en 2017 a rendu le déploiement, la maintenance et la mise à niveau des infrastructures numériques moins coûteux et plus faciles. Les nouvelles mesures liées aux infrastructures de télécommunications dans le projet de loi PSTI sont basées sur la loi révisée sur les communications électroniques de 2017, qui contribuera à garantir le lancement de réseaux haut débit gigabit et 5G orientés vers l'avenir.
La loi PSTI complète la partie 1 de la loi de 2022 sur la sécurité des produits et les infrastructures de communication, qui définit les exigences minimales de sécurité pour la fourniture de produits aux consommateurs britanniques. Sur la base de la norme ETSI EN 303 645 v2.1.1, sections 5.1-1, 5.1-2, 5.2-1 et 5.3-13, ainsi que des normes ISO/IEC 29147 : 2018, des réglementations et exigences correspondantes sont proposées pour les mots de passe, la sécurité minimale. les cycles de mise à jour et comment signaler les problèmes de sécurité.
Portée du produit concerné :
Produits connectés liés à la sécurité, tels que les détecteurs de fumée et de brouillard, les détecteurs d'incendie et les serrures de porte, les appareils domotiques connectés, les sonnettes et systèmes d'alarme intelligents, les stations de base et hubs IoT connectant plusieurs appareils, les assistants domestiques intelligents, les smartphones, les caméras connectées (IP et CCTV), appareils portables, réfrigérateurs connectés, machines à laver, congélateurs, machines à café, manettes de jeu et autres produits similaires.
Portée des produits exemptés :
Produits vendus en Irlande du Nord, compteurs intelligents, bornes de recharge pour véhicules électriques et dispositifs médicaux, ainsi que tablettes informatiques destinées aux plus de 14 ans.
3. La norme ETSI EN 303 645 pour la sécurité et la confidentialité des produits IoT comprend les 13 catégories d'exigences suivantes :
1) Sécurité universelle par mot de passe par défaut
2) Gestion et exécution des rapports de faiblesses
3) Mises à jour du logiciel
4) Sauvegarde intelligente des paramètres de sécurité
5) Sécurité des communications
6) Réduire l’exposition de la surface d’attaque
7) Protection des informations personnelles
8) Intégrité du logiciel
9) Capacité anti-interférence du système
10) Vérifiez les données de télémétrie du système
11) Pratique pour les utilisateurs pour supprimer des informations personnelles
12) Simplifier l’installation et la maintenance des équipements
13) Vérifier les données d'entrée
Exigences de facturation et 2 normes correspondantes
Interdire les mots de passe universels par défaut - ETSI EN 303 645 dispositions 5.1-1 et 5.1-2
Exigences de mise en œuvre des méthodes de gestion des rapports de vulnérabilités - ETSI EN 303 645 dispositions 5.2-1
ISO/IEC 29147 (2018), article 6.2
Exiger de la transparence dans le cycle de temps minimum de mise à jour de sécurité pour les produits - ETSI EN 303 645 disposition 5.3-13
Le PSTI exige que les produits répondent aux trois normes de sécurité ci-dessus avant de pouvoir être mis sur le marché. Les fabricants, importateurs et distributeurs de produits connexes doivent se conformer aux exigences de sécurité de cette loi. Les fabricants et les importateurs doivent s'assurer que leurs produits sont accompagnés d'une déclaration de conformité et prendre des mesures en cas de non-conformité, en tenant des dossiers d'enquête, etc. Dans le cas contraire, les contrevenants se verront infliger une amende pouvant aller jusqu'à 10 millions de livres sterling, soit 4 % du chiffre d'affaires mondial de l'entreprise.
4. Loi PSTI et processus de test ETSI EN 303 645 :
1) Préparation des échantillons de données
3 ensembles d'échantillons comprenant l'hôte et les accessoires, les logiciels non cryptés, les manuels d'utilisation/spécifications/services associés et les informations de compte de connexion
2) Mise en place de l'environnement de test
Établir un environnement de test basé sur le manuel d'utilisation
3) Exécution de l’évaluation de la sécurité du réseau :
Examen des documents et tests techniques, inspection des questionnaires des fournisseurs et fourniture de commentaires
4) Réparation des faiblesses
Fournir des services de conseil pour résoudre les problèmes de faiblesse
5)Fournir le rapport d'évaluation PSTI ou le rapport d'évaluation ETSIEN 303645
5.Comment prouver la conformité aux exigences de la loi britannique PSTI ?
L'exigence minimale est de répondre aux trois exigences de la loi PSTI concernant les mots de passe, les cycles de maintenance des logiciels et les rapports de vulnérabilité, et de fournir des documents techniques tels que des rapports d'évaluation pour ces exigences, tout en faisant également une auto-déclaration de conformité. Nous vous suggérons d'utiliser l'ETSI EN 303 645 pour l'évaluation de la loi britannique PSTI. C'est également la meilleure préparation à la mise en œuvre obligatoire des exigences de cybersécurité de la directive européenne CE RED à partir du 1er août 2025 !
BTF Testing Lab est une institution de test accréditée par le Service national d'accréditation chinois pour l'évaluation de la conformité (CNAS), numéro : L17568. Après des années de développement, BTF dispose d'un laboratoire de compatibilité électromagnétique, d'un laboratoire de communication sans fil, d'un laboratoire SAR, d'un laboratoire de sécurité, d'un laboratoire de fiabilité, d'un laboratoire d'essais de batteries, d'essais chimiques et d'autres laboratoires. Possède une parfaite compatibilité électromagnétique, radiofréquence, sécurité des produits, fiabilité environnementale, analyse des défaillances matérielles, ROHS/REACH et autres capacités de test. BTF Testing Lab est équipé d'installations de test professionnelles et complètes, d'une équipe expérimentée d'experts en tests et certification et de la capacité de résoudre divers problèmes complexes de tests et de certification. Nous adhérons aux principes directeurs « d'équité, d'impartialité, d'exactitude et de rigueur » et suivons strictement les exigences du système de gestion des laboratoires d'essais et d'étalonnage ISO/IEC 17025 pour la gestion scientifique. Nous nous engageons à fournir aux clients un service de la plus haute qualité. Si vous avez des questions, n'hésitez pas à nous contacter à tout moment.
Heure de publication : 16 janvier 2024
