UK: Bereits ab April 2024 gelten Neue Cybersecurity-Anforderungen für vernetzte Verbraucherprodukte

Jetzt schnell sein und ein „statement of compliance“ für Verbraucherprodukte vorbereiten

Im Vereinigten Königreich werden ab April 2024 neue Cybersecurity-Anforderungen für vernetzte Verbraucherprodukte unter dem Product Security and Telecommunications Infrastructure Act 2022(PSTI-Gesetz) eingeführt.

Das PSTI-Gesetz legt neue Sicherheitsanforderungen für "verbindungsfähige Produkte" fest (z.B. Internet-of-Things-Produkte). Das PSTI-Gesetz aktualisiert zudem das Telekommunikationsinfrastrukturregime des Vereinigten Königreichs.

Das Gesetz ist in zwei Teile gegliedert. Teil 1 ist für uns hier der Entscheidende und definiert neue Cybersecurity-Anforderungen für "verbindungsfähige Produkte".  Ein "verbindungsfähiges Produkt" ist entweder

  • ein mit dem Internet verbundenes Produkt
    (...unter Verwendung eines Kommunikationsprotokolls, das Teil der Internet Protocol Suite ist, um Daten über das Internet zu senden und zu empfangen...)

oder

  • ein netzwerkfähiges Produkt,
    (...in der Lage, Daten durch Übertragung elektrischer oder elektromagnetischer Energie sowohl zu senden als auch zu empfangen ...)
    welches über andere Produkte mit dem Internet verbunden werden kann.

Die konkreten Cybersecurity-Anforderungen werden in einer Verordnung (engl. Regulation) zu dem oben genannten Gesetz (engl. Act) weiter spezifiziert.



The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023 [Verordnung]

Die Verordnung gilt ab dem 29. April 2024 und kodifiziert Cybersicherheitsmaßnahmen, die zuvor im Vereinigten Königreich freiwillig waren. Produkte, die im Vereinigten Königreich vermarktet werden, unterliegen bereits der Produktsicherheitsgesetzgebung, einschließlich des Consumer Protection Act 1987 und der General Product Safety Regulations 2005. Das bestehende Rahmenwerk des Vereinigten Königreichs enthielt jedoch keine Mindestanforderungen zur Cybersecurity, weshalb die Regierung eingegriffen hat. Das Regime des Vereinigten Königreichs ähnelt dem entsprechenden Entwurf des Cyber Resilience Act (CRA) der EU in gewisser Weise.

Der Geltungsbereich des Regelwerks ist weit gefasst und soll eine breite Palette von IoT- und smarten Verbraucherprodukten erfassen. Betroffen sind alle Produkte, welche

  • in der Lage sind, sich mit dem Internet zu verbinden; oder
  • jene Produkte, welche sich direkt oder indirekt mit einem internet-vernetzbaren Produkt verbinden können.

Einige Produkte sind vom Regelwerk ausgenommen, weil die Regierung der Ansicht ist, dass es bereits sektorale Cybersecurity-Vorschriften mit ausreichendem Schutz gibt. Dazu gehören medizinische Geräte, intelligente Zähler, Ladestationen für Elektrofahrzeuge und Computer (für Nutzer älter als 14 Jahre).

Das Gesetz gilt wie üblich für verschiedene Akteure der Wirtschaft: Hersteller, Einführer und Händler. Die Anforderungen variieren je nach Rolle des Unternehmens.

Im Allgemeinen müssen Unternehmen die Sicherheitsanforderungen einhalten, einschließlich:

  • Erfüllung von Mindestanforderungen an Passwörter;
  • Bereitstellung von Informationen zur Meldung von Sicherheitsproblemen an einen festgelegten Ansprechpartner;
  • Bereitstellung von Informationen über den Mindestzeitraum, in dem Sicherheitsupdates als Teil eines Produkts bereitgestellt werden; und
  • Einhaltung relevanter Bestimmungen aus den technischen Normen ETSI EN 303 645 und ISO/IEC 29147, um die Einhaltung der Cybersecurity-Anforderungen „zu vermuten“.

Zudem muss eine Konformitätserklärung („statement of compliance“) mit festgelegten Informationen abgegeben werden:

  • Produktdetails und Identifikation;
  • Name und Adresse des Herstellers;
  • Erklärung der Konformität;
  • Erklärung, ob die Anforderungen von Anhang 1 oder 2 („Schedule“) der Vorschrift erfüllt wurden;
  • Ein „definierter Supportzeitraum“;

(… bezeichnet den Mindestzeitraum, ausgedrückt als Zeitraum mit Enddatum, für den Sicherheitsupdates bereitgestellt werden); und

  • Unterschrift, Name und Funktion des Unterzeichners sowie Ort/Datum der Ausstellung.

Weitere Pflichten sind:

  • Untersuchung und Maßnahmen gegen vermutete Konformitätsverstöße einzuleiten;
  • Aufzeichnungen über Untersuchungen und bestätigte Konformitätsverstöße zu führen;
  • Die Marktüberwachungsbehörden und andere Wirtschafsakteure über Konformitätsverstöße zu informieren; und
  • Maßnahmen zu ergreifen, um nicht konforme Produkte vom britischen Markt fernzuhalten.


Autor

Benjamin Kerger (B. Eng.)
Product Compliance Consultant

Veröffentlicht am 13.02.2024
Kategorie: Cybersecurity, Fokus Consumer Goods & Retail, Compliance

Neues aus der Welt der Normen und Product Compliance

Auch wenn die Welt der Normen und Marktzulassungsanforderungen nicht allzu schnelllebig ist – es gibt auch hier regelmäßig Neuigkeiten und Neuerungen. Hier halten wir Sie auf dem Laufenden!

Weitere Neuigkeiten zu Normen und Product Compliance
GLOBALNORM News
"Spenden statt Versenden" geht in die fünfte Runde

Nächstenliebe statt Weihnachtskarten

mehr

"Spenden statt Versenden" geht in die vierte Runde

Nächstenliebe statt Weihnachtskarten

mehr

20 Jahre GLOBALNORM – Von der Zwei-Mann-Firma zum erfolgreichen Mittelständler

mehr

STANDARDS News
EU: Rechtssache „Malamud“ und EUGH-Urteilsverkündung zum 5. März 2024

Gegenstand und Folgen des Urteils für die Europäische Normung

mehr

EU: Neue gesetzliche Normen für Funkanlagen mit USB-C-Ladeschnittstelle

EU-Kommission schreibt die anzuwendenden Normen direkt in die Funkanlagen-Richtlinie

mehr

Neue ISO 13849-1 zur Sicherheit von Maschinen veröffentlicht

Veröffentlichung unter der Maschinenrichtlinie steht noch aus

mehr

COMPLIANCE News
EU: Neuer Guide zur Maschinen-Richtlinie 2006/42/EG veröffentlicht

Änderungen im Bereich digitale Dokumentation

mehr

EU: Batterieverordnung – Probleme in der Praxis bei der Einordnung von leichten Blei-Batterien

Wir bieten Unterstützung bei der Abgrenzung von Geräte- und Industriebatterie

mehr

USA: Freiwilliges Label zur Cybersicherheit von der Federal Communications Commission in den USA veröffentlicht

Startschuss für Zertifizierungsprogramm von drahtlosen IoT-Produkten 2024 möglich

mehr

Login
x

Gemäß der Cookie-Richtlinie der EU (RL 2009/136/EG) möchten wir Sie darüber informieren, dass unsere Website Cookies verwendet. Wenn Sie unsere Webseite benutzen, akzeptieren Sie das und stimmen unseren Datenschutzbestimmungen zu. Welche Cookies konkret gesetzt werden und wie Sie von Ihrem Widerspruchsrecht Gebrauch machen können, erfahren Sie auf unserer Seite zum. Datenschutz.

OK