وفقًا لقانون سلامة المنتجات والبنية التحتية للاتصالات لعام 2023 (PSTI) الصادرة عن المملكة المتحدة في 29 أبريل 2023، ستبدأ المملكة المتحدة في فرض متطلبات أمان الشبكة لأجهزة المستهلك المتصلة اعتبارًا من 29 أبريل 2024، والتي تنطبق على إنجلترا واسكتلندا وويلز وأيرلندا الشمالية. وستواجه الشركات المخالفة غرامات تصل إلى 10 ملايين جنيه إسترليني أو 4% من إيراداتها العالمية.
1. مقدمة إلى قانون PSTI:
ستدخل سياسة سلامة منتجات UK Consumer Connect حيز التنفيذ وسيتم تطبيقها في 29 أبريل 2024. بدءًا من هذا التاريخ، سيطلب القانون من الشركات المصنعة للمنتجات التي يمكن توصيلها بالمستهلكين البريطانيين الالتزام بالحد الأدنى من متطلبات السلامة. يعتمد الحد الأدنى من متطلبات الأمان هذه على إرشادات ممارسات أمان إنترنت الأشياء للمستهلك في المملكة المتحدة، ومعيار أمان إنترنت الأشياء للمستهلك الرائد عالميًا ETSI EN 303 645، وتوصيات من الهيئة الرسمية في المملكة المتحدة لتكنولوجيا التهديدات السيبرانية، المركز الوطني للأمن السيبراني. سيضمن هذا النظام أيضًا أن تلعب الشركات الأخرى في سلسلة التوريد لهذه المنتجات دورًا في منع بيع السلع الاستهلاكية غير الآمنة إلى المستهلكين والشركات البريطانية.
ويتضمن هذا النظام نصين من التشريعات:
1) الجزء الأول من قانون سلامة المنتج والبنية التحتية للاتصالات (PSTI) لعام 2022؛
2) قانون أمن المنتج والبنية التحتية للاتصالات (المتطلبات الأمنية للمنتجات المتصلة ذات الصلة) لعام 2023.
2. يغطي قانون PSTI مجموعة المنتجات:
1) مجموعة المنتجات التي تسيطر عليها PSTI:
وهي تشمل، على سبيل المثال لا الحصر، المنتجات المتصلة بالإنترنت. تشمل المنتجات النموذجية: التلفزيون الذكي وكاميرا IP وجهاز التوجيه والإضاءة الذكية والمنتجات المنزلية.
2) المنتجات الخارجة عن نطاق سيطرة PSTI:
بما في ذلك أجهزة الكمبيوتر (أ) أجهزة الكمبيوتر المكتبية؛ (ب) حاسوب محمول؛ (ج) الأجهزة اللوحية التي لا تتمتع بإمكانية الاتصال بالشبكات الخلوية (المصممة خصيصًا للأطفال دون سن 14 عامًا وفقًا للاستخدام المقصود من الشركة المصنعة وليس استثناءً)، والمنتجات الطبية، ومنتجات العدادات الذكية، وشواحن المركبات الكهربائية، وجهاز البلوتوث - منتجات اتصال واحدة. يرجى ملاحظة أن هذه المنتجات قد تكون لها أيضًا متطلبات للأمن السيبراني، ولكنها لا يغطيها قانون PSTI وقد يتم تنظيمها بموجب قوانين أخرى.
3. ثلاث نقاط رئيسية يجب أن يتبعها قانون PSTI:
يتضمن مشروع قانون PSTI جزأين رئيسيين: متطلبات سلامة المنتج وإرشادات البنية التحتية للاتصالات. لسلامة المنتج، هناك ثلاث نقاط رئيسية تحتاج إلى اهتمام خاص:
1) متطلبات كلمة المرور، بناءً على الأحكام التنظيمية 5.1-1، 5.1-2. يحظر قانون PSTI استخدام كلمات المرور الافتراضية العالمية. وهذا يعني أنه يجب على المنتج تعيين كلمة مرور افتراضية فريدة أو مطالبة المستخدمين بتعيين كلمة مرور عند أول استخدام لهم.
2) مشكلات إدارة الأمن، استنادًا إلى الأحكام التنظيمية 5.2-1، تحتاج الشركات المصنعة إلى تطوير سياسات الكشف عن الثغرات الأمنية والكشف عنها علنًا لضمان قدرة الأفراد الذين يكتشفون الثغرات الأمنية على إخطار الشركات المصنعة والتأكد من قدرة الشركات المصنعة على إخطار العملاء على الفور وتوفير تدابير الإصلاح.
3) دورة تحديث السلامة، استنادًا إلى الأحكام التنظيمية 5.3-13، يتعين على الشركات المصنعة توضيح والكشف عن أقصر فترة زمنية سيقدمون فيها تحديثات السلامة، حتى يتمكن المستهلكون من فهم فترة دعم تحديث السلامة لمنتجاتهم.
4. قانون PSTI وعملية اختبار ETSI EN 303 645:
1) نموذج إعداد البيانات: 3 مجموعات من العينات بما في ذلك المضيف والملحقات، والبرامج غير المشفرة، وأدلة المستخدم/المواصفات/الخدمات ذات الصلة، ومعلومات حساب تسجيل الدخول
2) إنشاء بيئة الاختبار: قم بإنشاء بيئة اختبار وفقًا لدليل المستخدم
3) تنفيذ تقييم أمان الشبكة: مراجعة الملفات والاختبار الفني، والتحقق من استبيانات الموردين، وتقديم التعليقات
4) إصلاح نقاط الضعف: تقديم خدمات استشارية لإصلاح مشاكل الضعف
5) تقديم تقرير تقييم PSTI أو تقرير تقييم ETSI EN 303645
5. وثائق قانون PSTI:
1) نظام أمن المنتجات والبنية التحتية للاتصالات (أمن المنتج) في المملكة المتحدة.
https://www.gov.uk/ Government/publications/the-uk-product-security-and-tecommunication-infrastructure-product-security-regime
2) قانون أمن المنتجات والبنية التحتية للاتصالات لعام 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) لوائح أمن المنتج والبنية التحتية للاتصالات (المتطلبات الأمنية للمنتجات ذات الصلة القابلة للاتصال) لعام 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
اعتبارًا من الآن، لم يبق سوى أقل من شهرين. من المستحسن أن تقوم الشركات المصنعة الكبرى المصدرة إلى سوق المملكة المتحدة بإكمال شهادة PSTI في أقرب وقت ممكن لضمان الدخول السلس إلى سوق المملكة المتحدة.
وقت النشر: 11 مارس 2024
