Mặc dù EU dường như đang chậm trễ trong việc thực thi các yêu cầu về an ninh mạng nhưng Vương quốc Anh thì không. Theo Quy định về cơ sở hạ tầng viễn thông và an toàn sản phẩm của Vương quốc Anh năm 2023, bắt đầu từ ngày 29 tháng 4 năm 2024, Vương quốc Anh sẽ bắt đầu thực thi các yêu cầu bảo mật mạng đối với các thiết bị tiêu dùng được kết nối.
1. Sản phẩm liên quan
Quy định về cơ sở hạ tầng viễn thông và bảo mật sản phẩm năm 2022 của Vương quốc Anh quy định rõ phạm vi sản phẩm yêu cầu kiểm soát an ninh mạng. Tất nhiên, nó bao gồm các sản phẩm có kết nối internet, nhưng không giới hạn ở các sản phẩm có kết nối internet. Các sản phẩm tiêu biểu bao gồm TV thông minh, camera IP, bộ định tuyến, đèn chiếu sáng thông minh và các sản phẩm gia dụng.
Các sản phẩm bị loại trừ đặc biệt bao gồm máy tính, sản phẩm y tế, sản phẩm đồng hồ thông minh và bộ sạc xe điện. Xin lưu ý rằng những sản phẩm này cũng có thể có các yêu cầu về bảo mật mạng nhưng chúng không nằm trong phạm vi quy định của PSTI và có thể bị quản lý bởi các quy định khác.
2. Yêu cầu cụ thể?
Các yêu cầu của quy định PSTI về an ninh mạng chủ yếu được chia thành ba khía cạnh
mật khẩu
Chu kỳ bảo trì
Báo cáo lỗ hổng
Các yêu cầu này có thể được đánh giá trực tiếp theo quy định của PSTI hoặc được đánh giá bằng cách tham khảo tiêu chuẩn bảo mật mạng ETSI EN 303 645 dành cho các sản phẩm Internet of Things dành cho người tiêu dùng để chứng minh sự tuân thủ của sản phẩm với các quy định của PSTI. Điều đó có nghĩa là, việc đáp ứng tiêu chuẩn ETSI EN 303 645 tương đương với việc đáp ứng các yêu cầu của quy định PSTI của Vương quốc Anh.
3. Về ETSI EN 303 645
Tiêu chuẩn ETSI EN 303 645 được ban hành lần đầu tiên vào năm 2020 và nhanh chóng trở thành tiêu chuẩn đánh giá an ninh mạng thiết bị IoT được sử dụng rộng rãi nhất trên phạm vi quốc tế bên ngoài Châu Âu. Việc sử dụng tiêu chuẩn ETSI EN 303 645 là phương pháp đánh giá an ninh mạng thực tế nhất, không chỉ đảm bảo mức độ bảo mật cơ bản tốt mà còn tạo cơ sở cho một số sơ đồ xác thực. Năm 2023, tiêu chuẩn này chính thức được IECEE chấp nhận làm tiêu chuẩn chứng nhận cho chương trình CB của chương trình chứng nhận quốc tế cho các sản phẩm điện.
4.Làm thế nào để chứng minh việc tuân thủ các yêu cầu quy định?
Yêu cầu tối thiểu là đáp ứng ba yêu cầu của Đạo luật PSTI liên quan đến mật khẩu, chu kỳ bảo trì và báo cáo lỗ hổng bảo mật, đồng thời tự tuyên bố tuân thủ các yêu cầu này.
Để thể hiện tốt hơn việc tuân thủ các quy định với khách hàng của bạn và nếu thị trường mục tiêu của bạn không chỉ giới hạn ở Vương quốc Anh, việc sử dụng các tiêu chuẩn quốc tế để đánh giá là hợp lý. Đây cũng là một phần quan trọng trong việc chuẩn bị đáp ứng các yêu cầu về an ninh mạng sẽ được Liên minh Châu Âu thực thi bắt đầu từ tháng 8 năm 2025.
5. Xác định xem sản phẩm của bạn có nằm trong phạm vi quy định của PSTI hay không?
Chúng tôi cộng tác với nhiều phòng thí nghiệm có thẩm quyền được công nhận tại địa phương để cung cấp các dịch vụ đánh giá, tư vấn và chứng nhận bảo mật thông tin mạng cục bộ cho các thiết bị IoT. Dịch vụ của chúng tôi bao gồm:
Cung cấp tư vấn thiết kế bảo mật thông tin và kiểm tra trước trong giai đoạn phát triển các sản phẩm mạng.
Cung cấp đánh giá để chứng minh rằng sản phẩm đáp ứng các yêu cầu bảo mật mạng của chỉ thị RED
Đánh giá theo ETSI/EN 303 645 hoặc các quy định an ninh mạng quốc gia và cấp giấy chứng nhận hợp quy hoặc chứng nhận.
Thời gian đăng: 28/12/2023