Menurut Undang-Undang Keamanan Produk dan Infrastruktur Telekomunikasi 2023 (PSTI) yang dikeluarkan oleh Inggris pada tanggal 29 April 2023, Inggris akan mulai menerapkan persyaratan keamanan jaringan untuk perangkat konsumen yang terhubung mulai tanggal 29 April 2024, berlaku di Inggris, Skotlandia, Wales, dan Irlandia Utara. Perusahaan yang melanggar akan dikenakan denda hingga £10 juta atau 4% dari pendapatan global mereka.
1.Pengantar UU PSTI:
Kebijakan Keamanan Produk Consumer Connect Inggris akan berlaku dan diberlakukan pada tanggal 29 April 2024. Mulai tanggal ini, undang-undang akan mewajibkan produsen produk yang dapat terhubung ke konsumen Inggris untuk mematuhi persyaratan keselamatan minimum. Persyaratan keamanan minimum ini didasarkan pada Pedoman Praktik Keamanan Internet of Things Konsumen Inggris, standar keamanan Internet of Things konsumen terkemuka di dunia, ETSI EN 303 645, dan rekomendasi dari badan otoritatif Inggris untuk teknologi ancaman siber, Pusat Keamanan Siber Nasional. Sistem ini juga akan memastikan bahwa bisnis lain dalam rantai pasokan produk-produk ini berperan dalam mencegah penjualan barang-barang konsumsi yang tidak aman kepada konsumen dan bisnis Inggris.
Sistem ini mencakup dua undang-undang:
1) Bagian 1 Undang-Undang Keamanan Produk dan Infrastruktur Telekomunikasi (PSTI) tahun 2022;
2) Undang-Undang Keamanan Produk dan Infrastruktur Telekomunikasi (Persyaratan Keamanan untuk Produk Terhubung Terkait) tahun 2023.
2. UU PSTI meliputi rangkaian produk:
1) Rangkaian produk yang dikontrol PSTI:
Ini mencakup, namun tidak terbatas pada, produk yang terhubung ke Internet. Produk yang umum meliputi: smart TV, kamera IP, router, pencahayaan cerdas, dan produk rumah tangga.
2) Produk di luar lingkup pengendalian PSTI:
Termasuk komputer (a) komputer desktop; (b) Komputer laptop; (c) Tablet yang tidak memiliki kemampuan untuk terhubung ke jaringan seluler (dirancang khusus untuk anak di bawah 14 tahun sesuai dengan tujuan penggunaan pabrikan, tidak terkecuali), produk medis, produk smart meter, pengisi daya kendaraan listrik, dan perangkat Bluetooth -produk koneksi satu-satu. Harap diperhatikan bahwa produk ini mungkin juga memiliki persyaratan keamanan siber, namun tidak tercakup dalam UU PSTI dan mungkin diatur oleh undang-undang lain.
3. Tiga poin penting yang harus dipatuhi dalam UU PSTI:
RUU PSTI mencakup dua bagian utama: persyaratan keamanan produk dan pedoman infrastruktur telekomunikasi. Untuk keamanan produk, ada tiga poin penting yang perlu mendapat perhatian khusus:
1) Persyaratan kata sandi, berdasarkan ketentuan peraturan 5.1-1, 5.1-2. UU PSTI melarang penggunaan kata sandi default universal. Artinya, produk harus menetapkan kata sandi default yang unik atau mengharuskan pengguna untuk menetapkan kata sandi pada penggunaan pertama.
2) Masalah manajemen keamanan, berdasarkan ketentuan peraturan 5.2-1, produsen perlu mengembangkan dan mengungkapkan kebijakan pengungkapan kerentanan secara publik untuk memastikan bahwa individu yang menemukan kerentanan dapat memberi tahu produsen dan memastikan bahwa produsen dapat segera memberi tahu pelanggan dan memberikan tindakan perbaikan.
3) Siklus pembaruan keselamatan, berdasarkan ketentuan peraturan 5.3-13, produsen perlu memperjelas dan mengungkapkan periode waktu terpendek mereka akan memberikan pembaruan keselamatan, sehingga konsumen dapat memahami periode dukungan pembaruan keselamatan produk mereka.
4. UU PSTI dan Proses Pengujian ETSI EN 303 645:
1) Persiapan data sampel: 3 set sampel termasuk host dan aksesori, perangkat lunak tidak terenkripsi, panduan pengguna/spesifikasi/layanan terkait, dan informasi akun login
2) Pembentukan lingkungan pengujian: Tetapkan lingkungan pengujian sesuai dengan panduan pengguna
3) Eksekusi penilaian keamanan jaringan: peninjauan file dan pengujian teknis, pemeriksaan kuesioner pemasok, dan memberikan umpan balik
4) Perbaikan kelemahan: Memberikan layanan konsultasi untuk memperbaiki masalah kelemahan
5) Memberikan laporan evaluasi PSTI atau laporan evaluasi ETSI EN 303645
5. Dokumen UU PSTI:
1)Rezim Keamanan Produk dan Infrastruktur Telekomunikasi (Keamanan Produk) Inggris.
https://www.gov.uk/gov/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2)Undang-Undang Keamanan Produk dan Infrastruktur Telekomunikasi 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Peraturan Keamanan Produk dan Infrastruktur Telekomunikasi (Persyaratan Keamanan untuk Produk Terhubung yang Relevan) 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Saat ini, kurang dari 2 bulan lagi. Disarankan agar produsen besar yang mengekspor ke pasar Inggris menyelesaikan sertifikasi PSTI sesegera mungkin untuk memastikan kelancaran masuk ke pasar Inggris.
Waktu posting: 11 Maret 2024
