영국, “커넥티드” 제품에 대한 보안 인증 강제 시행
유럽연합의 사이버보안 제도와 발맞춰 영국은 “커넥티드” 제품에 대한 포괄적인 사이버 보안 프레임워크를 EU보다 앞서 2024년 4월 29일부터 강제 시행합니다. EU의 시행일 2025년 8월 1일 보다 앞서 시행됨을 주의해야 합니다.
24년 4월 29일 이후에 영국 시장에 출하되는 유무선 통신으로 연결되는 “커넥티드” 제품 제조자는 새로운 법안에서 규정하는 일련의 최소 보안 요건을 준수해야 합니다.
이러한 최소 보안 요건은 영국의 소비자용 IoT 보안에 대한 실천 규범을 기반으로 하며, 이 제도는 또한 이러한 제품의 공급망에 있는 다른 기업들이 안전하지 않은 제품이 영국 소비자와 기업에 판매되는 것을 방지하는 역할을 수행하도록 보장하는 목적입니다.
영국 제도는 두 가지 법률로 구성되어 있습니다.
- 제품 보안 및 통신 인프라(PSTI) 법안 2022;
- 제품 보안 및 통신 인프라(“연결” 제품에 대한 보안 요구 사항) 실행 규정
PSTI(Product Security and Telecommunication Infrastructure) 법안 2022는 인터넷 연결 가능 제품 및 이와 연결할 수 있는 품목의 보안을 강화하기 위한 것으로서, 전자 통신 인프라 및 관련 목표에 관한 사항도 다루고 있습니다. 이 법안에서는 관련 연결 가능 제품에 대한 포괄적인 정의, 관련 개인 식별, 규정 준수 진술 및 관련 처벌에 대한 규정이 포함되어 있습니다.
보안 요건은 비밀번호, 보안 문제 보고, 최소 보안 업데이트 주기의 세 가지 범주로 구분되어 있으며, 이러한 요건을 준수하기 위해 제조업체는 ETSI EN 303 645 및 ISO/IEC 29147의 특정 조항에 따라 제품을 시험해야 합니다.
규정 준수 선언문
제조업체는 규정 준수 선언문을 첨부하여 제품을 영국 시장에 출시할 수 있습니다. 제조 업체는 규정 준수 진술서상에 해당되는 “연결” 제품에 대한 PSTI 보안 요구 사항의 부록 4에 명시된 규정 준수 진술서에 필요한 최소한의 정보를 만족해야 합니다.
EU와 UK 사이버보안 요구 사항의 주요 차이점
|
|
UK |
EU |
|
Effective date |
29 April 2024 |
1 August 2025 |
|
Applicable to: |
Connected (both wired and wireless) products that are made available for the UK consumer market (based on intended use) that are in some way connected to the internet. |
All wirelessly communicating products that are connected to the internet in some way (direct or indirect). |
|
How to comply: |
Statement of compliance must be made by the manufacturer and accompany the product. |
As long as there are no harmonized standards, EU-type examination (module B and C) must be done. |
Kiwa의 사이버보안 서비스
Kiwa의 시험 및 평가 시설은 ETSI EN 303 645 평가를 수행할 수 있는 완벽한 공인된 설비를 갖추고 있으며, EU및 영국 시장에서 판매될 “커넥티드” 제품을 위한 특별 시험 케이스를 개발하였으며, Kiwa의 평가 보고서와 인증서를 제공하고 있습니다.
더 많은 정보를 원하실 경우 aiden.kim@kiwa.kr 또는 www.kiwa.kr 을 통해 연락 바랍니다.