Die UK Product Security and Telecommunications Infrastructure (PSTI) Regulierung ist ein wichtiger Schritt zur Verbesserung der Cybersicherheit von vernetzten Geräten im Vereinigten Königreich. Sie trat am 29. April 2024 in Kraft und zielt darauf ab, die Sicherheit von Internet of Things (IoT) Produkten zu erhöhen sowie Verbraucher vor potenziellen Cyberangriffen zu schützen.
Rechtsgrundlage der PSTI
Die rechtliche Grundlage für die Regulierung der Sicherheit vernetzter Verbraucherprodukte im Vereinigten Königreich besteht aus zwei Hauptkomponenten:
- Teil 1 des Product Security and Telecommunications Infrastructure (PSTI) Act 2022
- The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023
Der PSTI Act erhielt im Dezember 2022 die königliche Zustimmung (Royal Assent). Die vollständige Fassung der PSTI wurde im April 2023 veröffentlicht und am 14. September 2023 in Kraft gesetzt.
Anwendungsbereich der PSTI
Die PSTI gilt für “relevante vernetzte Produkte” (relevant connectable products), die Verbrauchern im Vereinigten Königreich zur Verfügung gestellt werden. Der Anwendungsbereich umfasst:
- Mit dem Internet verbindbare Produkte: Geräte, die in der Lage sind, sich mit dem Internet zu verbinden.
- Mit einem Netzwerk verbindbare Produkte: Geräte, die:
- Daten elektrisch oder elektromagnetisch senden und empfangen können
- Nicht direkt mit dem Internet verbunden sind
- Sich entweder direkt mit einem internet-verbindbaren Gerät verbinden können oder mit mehreren Geräten gleichzeitig verbunden sein können
Wichtig zu beachten ist, dass es bestimmte Ausnahmen gibt. Folgende Produktkategorien sind von den Anforderungen ausgenommen:
- Produkte für Nordirland: Produkte, die zur Lieferung in Nordirland bestimmt sind und unter bestimmte EU-Rechtsvorschriften fallen, die im Windsor Framework aufgeführt sind.
- Ladepunkte für Elektrofahrzeuge: Ladepunkte, die unter die Electric Vehicles (Smart Charge Points) Regulations 2021 fallen.
- Medizinprodukte: Produkte, die den Medical Devices Regulations 2002 unterliegen. Allerdings gilt diese Ausnahme nicht für vernetzte Produkte, auf denen lediglich Software installiert ist, die unter diese Verordnungen fällt.
- Smart-Meter-Produkte: Produkte, die von lizenzierten Anbietern von Smart-Meter-Kommunikationsdiensten oder Stromversorgern geliefert oder installiert werden und erfolgreich unter einem Sicherheitssystem (wie dem Commercial Product Assurance Scheme des National Cyber Security Centre) zertifiziert wurden.
- Computer: Desktop-Computer, Laptop-Computer und Tablet-Computer ohne Mobilfunkverbindung sind ausgenommen. Allerdings gilt diese Ausnahme nicht für Computer, die laut Herstellerangaben ausschließlich für Kinder unter 14 Jahren konzipiert sind.
Diese Ausnahmen berücksichtigen bestehende Regulierungen in spezifischen Sektoren und vermeiden Doppelregulierungen. Sie unterstreichen auch den Fokus der PSTI-Verordnung auf Verbraucherprodukte und IoT-Geräte, während spezialisierte oder bereits regulierte Produkte ausgenommen bleiben.
Anforderungen der PSTI
Die PSTI definiert drei Kernbereiche von Sicherheitsanforderungen:
Passwörter:
- Müssen einzigartig pro Produkt oder vom Benutzer definiert sein
- Dürfen nicht auf inkrementellen Zählern oder öffentlich verfügbaren Informationen basieren
- Dürfen nicht leicht zu erraten sein
Meldung von Sicherheitsproblemen:
- Hersteller müssen mindestens einen Kontaktpunkt für Sicherheitsmeldungen veröffentlichen
- Informationen über den Prozess der Meldungsbestätigung und Statusaktualisierungen müssen bereitgestellt werden
Mindestdauer für Sicherheitsupdates:
- Hersteller müssen den definierten Supportzeitraum für Sicherheitsupdates veröffentlichen
- Diese Information muss klar, transparent und kostenlos zugänglich sein
Umsetzung mittels Normen
Die Verordnung ermöglicht es Herstellern, die Konformität durch die Einhaltung bestimmter anerkannter Standards nachzuweisen:
- ETSI EN 303 645: Eine europäische Norm zur IoT-Sicherheit
- ISO/IEC 29147: Eine internationale Norm zur Offenlegung von Schwachstellen
Die Einhaltung dieser Normen wird als Erfüllung der entsprechenden PSTI-Anforderungen betrachtet, sofern bestimmte zusätzliche Bedingungen erfüllt sind.
Konformitätsbewertung und Nachweis
Die PSTI-Verordnung setzt auf einen Ansatz der Selbstdeklaration durch die Hersteller, wobei eine formelle Konformitätserklärung (Statement of Compliance) erforderlich ist. Diese Erklärung muss folgende Mindestinformationen enthalten:
- Produkt (Typ, Charge)
- Name und Adresse jedes Herstellers des Produkts und ggf. jedes autorisierten Vertreters
- Erklärung, dass die Konformitätserklärung vom oder im Namen des Herstellers erstellt wurde
- Erklärung, dass der Hersteller nach eigener Einschätzung entweder:
- die geltenden Sicherheitsanforderungen erfüllt hat, oder
- die Bedingungen für die angenommene Konformität erfüllt (also die genannten Normen umgesetzt) hat
- Den definierten Unterstützungszeitraum für das Produkt, der zum Zeitpunkt der ersten Lieferung durch den Hersteller korrekt war
- Unterschrift, Name und Funktion des Unterzeichners
- Ort und Datum der Ausstellung der Konformitätserklärung
Wenn sich der Hersteller auf die Konformität mit bestimmten Normen beruft, müssen zusätzlich die Identifikationsnummer, Version und das Ausgabedatum der Normen in der Erklärung angegeben werden.
Fazit und Ausblick
Die UK PSTI-Regulierung ist ein wichtiger Schritt zur Verbesserung der IoT-Sicherheit. Sie definiert klare Vorgaben für Hersteller und schafft mehr Transparenz für Verbraucher. Während die Umsetzung für einige Unternehmen eine Herausforderung darstellen mag, sind die langfristigen Vorteile für die Cybersicherheit unbestreitbar.
Für Unternehmen, die im britischen Markt aktiv sind oder es werden wollen, ist die Einhaltung der PSTI-Regulierung unerlässlich. Eine frühzeitige Anpassung der Produktentwicklung und -dokumentation an diese Anforderungen kann einen Wettbewerbsvorteil schaffen und das Vertrauen der Verbraucher stärken.