PSTI-Umsetzung leicht gemacht: Mit Normen zur Konformität

Die Product Security and Telecommunications Infrastructure (PSTI) Regulierung in Großbritannien definiert Anforderungen an die Cybersecurity von vernetzten (IoT)-Produkten.

Die Cybersecurity-Anforderungen der PSTI im Überblick

Die PSTI legt verschiedene Sicherheitsanforderungen für vernetzte Produkte fest. Zu den Kernpunkten gehören:

  • Sichere Passwörter
  • Bereitstellung von Informationen zur Meldung von Sicherheitsproblemen
  • Transparenz bezüglich der Mindestdauer für Sicherheitsupdates

Für eine vollständige Auflistung aller Anforderungen empfehlen wir unseren ausführlichen Artikel zur PSTI und der Cybersicherheit für IoT-Geräte.

Erfüllung der Anforderungen durch Normen

Die gute Nachricht: Die PSTI-Regulierung selbst gibt an, dass ihre Anforderungen durch die Umsetzung bestehender Normen als erfüllt gelten. Konkret werden zwei Normen genannt:

  1. ETSI EN 303 645
  2. ISO/IEC 29147

ETSI EN 303 645

Diese Norm für Cybersicherheit von IoT-Geräten deckt viele der PSTI-Anforderungen ab, darunter:

  • Sichere Passwörter (Abschnitte 5.1-1 und 5.1-2)
  • Informationen zur Meldung von Sicherheitsproblemen (Abschnitt 5.2-1)
  • Transparenz bezüglich Sicherheitsupdates (Abschnitt 5.3-13)

ISO/IEC 29147

Diese Norm konzentriert sich auf die Offenlegung von Sicherheitslücken und ergänzt die ETSI EN 303 645 in Bezug auf:

  • Mechanismen zum Empfang von Sicherheitsmeldungen (Abschnitt 6.2.2)
  • Bestätigung des Empfangs von Meldungen (Abschnitt 6.2.5)
  • Laufende Kommunikation zu gemeldeten Problemen (Abschnitt 6.5)

Unser Rat: Vollständige Umsetzung der Normen

Während die PSTI nur bestimmte Teile der genannten Normen als notwendig für die Erfüllung ihrer Anforderungen nennt, empfehlen wir dringend, beide Normen vollständig umzusetzen. Dies hat mehrere Vorteile:

  • Zertifizierungsmöglichkeiten: Die vollständige Umsetzung der ETSI EN 303 645 ermöglicht eine Zertifizierung, die Ihre Bemühungen um Cybersicherheit offiziell bestätigt.
  • Internationale Anerkennung: Viele Länder wie Finnland, Indien und Vietnam haben Zertifizierungen oder Label für Consumer IoT-Produkte eingeführt, die auf der ETSI EN 303 645 basieren. Eine vollständige Umsetzung erleichtert den Zugang zu diesen Märkten.
  • Regulatorische Compliance: Länder wie Brasilien und Saudi-Arabien verweisen in ihren Regulierungen auf die ETSI EN 303 645. Die Umsetzung dieser Norm hilft, auch diese Anforderungen zu erfüllen.
  • Grundlage für weitere Standards: Die ISO/IEC 29147 bildet die Grundlage für oder erfüllt die Anforderungen anderer wichtiger Normen wie der IEC 62443-4-1 für industrielle Automatisierungssysteme.
  • Vorbereitung auf zukünftige Regulierungen: Mit der Umsetzung dieser Normen sind Sie auch gut für kommende Regulierungen wie den Europäischen Cyber Resilience Act vorbereitet.

Fazit

Die vollständige Umsetzung der ETSI EN 303 645 und ISO/IEC 29147 geht weit über die bloße Erfüllung der PSTI-Anforderungen hinaus. Sie öffnet Türen zu internationalen Märkten, erleichtert die Einhaltung verschiedener Regulierungen und positioniert Ihr Unternehmen als Vorreiter in Sachen Produktsicherheit.

Kommentar hinzufügen