제품 안전 및 통신 인프라법 2023(PSTI)에 따라 영국은 2023년 4월 29일에 영국, 스코틀랜드, 웨일스, 북아일랜드에 적용되는 연결된 소비자 장치에 대한 네트워크 보안 요구 사항을 2024년 4월 29일부터 시행하기 시작합니다. 위반 기업은 최대 1,000만 파운드 또는 전 세계 매출의 4%에 해당하는 벌금을 물게 됩니다.
1.PSTI법 소개:
영국 소비자 연결 제품 안전 정책은 2024년 4월 29일부터 시행됩니다. 이 날짜부터 이 법에 따라 영국 소비자와 연결할 수 있는 제품 제조업체는 최소 안전 요구 사항을 준수해야 합니다. 이러한 최소 보안 요구 사항은 영국 소비자 사물 인터넷 보안 실무 지침, 전 세계적으로 선도적인 소비자 사물 인터넷 보안 표준 ETSI EN 303 645 및 사이버 위협 기술에 대한 영국의 권위 있는 기관인 국립 사이버 보안 센터의 권장 사항을 기반으로 합니다. 또한 이 시스템은 해당 제품의 공급망에 있는 다른 기업이 안전하지 않은 소비재가 영국 소비자 및 기업에 판매되는 것을 방지하는 역할을 하도록 보장할 것입니다.
이 시스템에는 두 가지 법안이 포함됩니다.
1) 2022년 PSTI(제품 안전 및 통신 인프라)법 1부
2) 2023년 제품 보안 및 통신 인프라(관련 연결 제품에 대한 보안 요구 사항)법.
2. PSTI 법은 다음 제품 범위를 다루고 있습니다.
1) PSTI 통제 제품군:
여기에는 인터넷에 연결된 제품이 포함되지만 이에 국한되지는 않습니다. 일반적인 제품에는 스마트 TV, IP 카메라, 라우터, 지능형 조명 및 가정용 제품이 포함됩니다.
2) PSTI 통제 범위를 벗어난 제품:
컴퓨터 포함: (a) 데스크탑 컴퓨터; (b) 노트북 컴퓨터; (c) 셀룰러 네트워크에 연결하는 기능이 없는 태블릿(제조업체의 사용 목적에 따라 특별히 14세 미만 어린이를 위해 설계되었으며 예외는 아님), 의료 제품, 스마트 미터 제품, 전기 자동차 충전기 및 Bluetooth One -on-one 연결 상품입니다. 이러한 제품에도 사이버 보안 요구 사항이 있을 수 있지만 PSTI 법의 적용을 받지 않으며 다른 법률의 규제를 받을 수 있습니다.
3. PSTI법이 준수해야 할 세 가지 핵심 사항은 다음과 같습니다.
PSTI 법안에는 제품 안전 요구 사항과 통신 인프라 지침이라는 두 가지 주요 부분이 포함되어 있습니다. 제품 안전을 위해 특별한 주의가 필요한 세 가지 핵심 사항이 있습니다.
1) 규제 조항 5.1-1, 5.1-2에 따른 비밀번호 요구 사항. PSTI 법은 범용 기본 비밀번호의 사용을 금지합니다. 이는 제품이 고유한 기본 비밀번호를 설정해야 하거나 사용자가 처음 사용할 때 비밀번호를 설정하도록 요구해야 함을 의미합니다.
2) 보안 관리 문제, 규제 조항 5.2-1에 따라 제조업체는 취약점을 발견한 개인이 제조업체에 알릴 수 있도록 하고, 제조업체가 고객에게 즉시 알리고 수리 조치를 제공할 수 있도록 취약점 공개 정책을 개발하고 공개해야 합니다.
3) 안전 업데이트 주기는 규제 조항 5.3-13에 근거하여 제조업체는 안전 업데이트를 제공하는 최단 기간을 명확히 하고 공개하여 소비자가 해당 제품의 안전 업데이트 지원 기간을 이해할 수 있도록 해야 합니다.
4. PSTI법 및 ETSI EN 303 645 테스트 프로세스:
1) 샘플 데이터 준비: 호스트 및 액세서리, 암호화되지 않은 소프트웨어, 사용자 매뉴얼/사양/관련 서비스, 로그인 계정 정보를 포함한 샘플 3세트
2) 테스트 환경 구축 : 사용자 매뉴얼에 따라 테스트 환경을 구축한다.
3) 네트워크 보안 평가 수행: 파일 검토 및 기술 테스트, 공급업체 설문 조사 및 피드백 제공
4) 취약점 보완 : 취약점 개선을 위한 컨설팅 서비스 제공
5) PSTI 평가 보고서 또는 ETSI EN 303645 평가 보고서 제공
5. PSTI 법 문서:
1) 영국 제품 보안 및 통신 인프라(제품 보안) 제도.
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) 제품 보안 및 통신 인프라법 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) 제품 보안 및 통신 인프라(관련 연결 가능 제품에 대한 보안 요구 사항) 규정 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
현재로선 2달도 채 남지 않았습니다. 영국 시장에 수출하는 주요 제조사들은 원활한 영국 시장 진출을 위해 가능한 한 빨리 PSTI 인증을 완료하는 것이 좋습니다.
게시 시간: 2024년 3월 11일
