21 augustus 2023

Ook Verenigd Koninkrijk introduceert cybersecurity-eisen IoT-producten

In navolging van de EU, komt ook het Verenigd Koninkrijk met strengere eisen voor de cyberveiligheid van IoT-consumentenproducten. Terwijl de eisen van de EU naar verwachting van kracht zullen worden op 1 augustus 2025, wordt het Britse beveiligingskader al per 29 april 2024 van kracht. Vanaf deze datum zullen fabrikanten van IoT-consumentenproducten binnen het VK verplicht zijn om zich te houden aan een reeks minimale beveiligingseisen die door de nieuwe wetgeving zijn voorgeschreven.

Deze minimale beveiligingseisen zijn gebaseerd op de Code of Practice for Consumer IoT Security van het VK. Dit regime zorgt er ook voor dat andere bedrijven in de toeleveringsketens van deze producten een verantwoordelijkheid krijgen bij het voorkomen van de verkoop van onveilige producten aan Britse consumenten en bedrijven.

Het VK-beveiligingskader bestaat uit twee wetten:

  1. The Product Security and Telecommunications Infrastructure (PSTI) Act 2022;
  2. The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations

PSTI Act 2022

De PSTI Act 2022 markeert een significante stap in het versterken van de beveiliging van IoT-consumentenproducten. Deze wetgeving behandelt ook zaken met betrekking tot elektronische communicatie-infrastructuur en gerelateerde doelstellingen. Deze wet bevat uitgebreide definities van relevante verbindbare producten, identificatie van betrokken personen en inzichten in nalevingsverklaringen en bijbehorende straffen. Met het verkrijgen van ‘Royal Assent’ (koninklijke goedkeuring) in december 2022 werd de PSTI Act effectief.

Een belangrijk verschil met de EU-eisen is dat de Britse eisen géén onderscheid maken tussen bekabelde of draadloze communicatie. Daarom vallen zowel bekabelde als draadloze communicatie onder het toepassingsgebied voor het VK. Dit betekent bijvoorbeeld dat apparaten die via LAN zijn verbonden binnen het toepassingsgebied van het Britse beveiligingsregime voor producten vallen.

PSTI-beveiligingseisen

De Britse overheid heeft een volledig ontwerp van de PSTI (Security Requirements for Relevant Connectable Products) Regulations gepubliceerd en deze is inmiddels goedgekeurd door het Britse parlement. Het volledige regime gaat hiermee op 29 april 2024 van kracht.

De beveiligingseisen voor fabrikanten zijn verdeeld in drie categorieën: wachtwoorden, melding van beveiligingsproblemen en minimale beveiligingsupdateperioden. Om aan deze eisen te voldoen, kunnen fabrikanten hun apparaten testen tegen specifieke clausules van de ETSI EN 303 645 en de ISO/IEC 29147. Producten die beschikbaar worden gesteld voor Noord-Ierland, laadpunten voor elektrische voertuigen, medische apparaten, slimme meterproducten en computers worden beschouwd als uitgezonderde producten onder dit regime. Voor deze producten gelden andere beveiligingseisen onder andere wetgeving.

Compliance-verklaring

Fabrikanten mogen hun producten op de Britse markt aanbieden wanneer ze vergezeld gaan van een compliance-verklaring. Deze moet worden opgesteld door of namens de fabrikant van het product en moet verklaren dat de fabrikant voldoet aan de geldende beveiligingseisen. Bovendien moet de verklaring van naleving voldoen aan de minimale vereiste informatie voor compliance-verklaringen zoals gespecificeerd in bijlage 4 van de PSTI-beveiligingseisen voor relevante connectable producten.

Belangrijke verschillen tussen EU- en VK-eisen

 

VK

EU

Van kracht per

29 april 2024

1 augustus 2025

Van toepassing op:

Verbonden (zowel bekabelde als draadloze) producten die beschikbaar worden gesteld voor de Britse consumentenmarkt (op basis van het beoogde gebruik) en die verbonden zijn met het internet.

Alle draadloos communicerende producten die op de een of andere manier met het internet zijn verbonden (direct of indirect).

Hoe te voldoen:

Een compliance-verklaring moet worden opgesteld door de fabrikant en het product vergezellen.

Zolang er geen geharmoniseerde normen zijn, moet een EU-typeonderzoek (module B en C) worden uitgevoerd.

Gerelateerde Kiwa-services

De testfaciliteiten van Kiwa zijn volledig uitgerust om geaccrediteerde beoordelingen volgens ETSI EN 303 645 uit te voeren. We hebben een speciaal testplan ontwikkeld voor connectable devices die op de Britse markt verkocht moeten worden. Op basis van het Kiwa-beoordelingsrapport kunnen fabrikanten hun compliance-verklaring voorbereiden en ondertekenen.