UK: Bereits ab April 2024 gelten Neue Cybersecurity-Anforderungen für vernetzte Verbraucherprodukte

Jetzt schnell sein und ein „statement of compliance“ für Verbraucherprodukte vorbereiten

Im Vereinigten Königreich werden ab April 2024 neue Cybersecurity-Anforderungen für vernetzte Verbraucherprodukte unter dem Product Security and Telecommunications Infrastructure Act 2022(PSTI-Gesetz) eingeführt.

Das PSTI-Gesetz legt neue Sicherheitsanforderungen für "verbindungsfähige Produkte" fest (z.B. Internet-of-Things-Produkte). Das PSTI-Gesetz aktualisiert zudem das Telekommunikationsinfrastrukturregime des Vereinigten Königreichs.

Das Gesetz ist in zwei Teile gegliedert. Teil 1 ist für uns hier der Entscheidende und definiert neue Cybersecurity-Anforderungen für "verbindungsfähige Produkte".  Ein "verbindungsfähiges Produkt" ist entweder

  • ein mit dem Internet verbundenes Produkt
    (...unter Verwendung eines Kommunikationsprotokolls, das Teil der Internet Protocol Suite ist, um Daten über das Internet zu senden und zu empfangen...)

oder

  • ein netzwerkfähiges Produkt,
    (...in der Lage, Daten durch Übertragung elektrischer oder elektromagnetischer Energie sowohl zu senden als auch zu empfangen ...)
    welches über andere Produkte mit dem Internet verbunden werden kann.

Die konkreten Cybersecurity-Anforderungen werden in einer Verordnung (engl. Regulation) zu dem oben genannten Gesetz (engl. Act) weiter spezifiziert.



The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023 [Verordnung]

Die Verordnung gilt ab dem 29. April 2024 und kodifiziert Cybersicherheitsmaßnahmen, die zuvor im Vereinigten Königreich freiwillig waren. Produkte, die im Vereinigten Königreich vermarktet werden, unterliegen bereits der Produktsicherheitsgesetzgebung, einschließlich des Consumer Protection Act 1987 und der General Product Safety Regulations 2005. Das bestehende Rahmenwerk des Vereinigten Königreichs enthielt jedoch keine Mindestanforderungen zur Cybersecurity, weshalb die Regierung eingegriffen hat. Das Regime des Vereinigten Königreichs ähnelt dem entsprechenden Entwurf des Cyber Resilience Act (CRA) der EU in gewisser Weise.

Der Geltungsbereich des Regelwerks ist weit gefasst und soll eine breite Palette von IoT- und smarten Verbraucherprodukten erfassen. Betroffen sind alle Produkte, welche

  • in der Lage sind, sich mit dem Internet zu verbinden; oder
  • jene Produkte, welche sich direkt oder indirekt mit einem internet-vernetzbaren Produkt verbinden können.

Einige Produkte sind vom Regelwerk ausgenommen, weil die Regierung der Ansicht ist, dass es bereits sektorale Cybersecurity-Vorschriften mit ausreichendem Schutz gibt. Dazu gehören medizinische Geräte, intelligente Zähler, Ladestationen für Elektrofahrzeuge und Computer (für Nutzer älter als 14 Jahre).

Das Gesetz gilt wie üblich für verschiedene Akteure der Wirtschaft: Hersteller, Einführer und Händler. Die Anforderungen variieren je nach Rolle des Unternehmens.

Im Allgemeinen müssen Unternehmen die Sicherheitsanforderungen einhalten, einschließlich:

  • Erfüllung von Mindestanforderungen an Passwörter;
  • Bereitstellung von Informationen zur Meldung von Sicherheitsproblemen an einen festgelegten Ansprechpartner;
  • Bereitstellung von Informationen über den Mindestzeitraum, in dem Sicherheitsupdates als Teil eines Produkts bereitgestellt werden; und
  • Einhaltung relevanter Bestimmungen aus den technischen Normen ETSI EN 303 645 und ISO/IEC 29147, um die Einhaltung der Cybersecurity-Anforderungen „zu vermuten“.

Zudem muss eine Konformitätserklärung („statement of compliance“) mit festgelegten Informationen abgegeben werden:

  • Produktdetails und Identifikation;
  • Name und Adresse des Herstellers;
  • Erklärung der Konformität;
  • Erklärung, ob die Anforderungen von Anhang 1 oder 2 („Schedule“) der Vorschrift erfüllt wurden;
  • Ein „definierter Supportzeitraum“;

(… bezeichnet den Mindestzeitraum, ausgedrückt als Zeitraum mit Enddatum, für den Sicherheitsupdates bereitgestellt werden); und

  • Unterschrift, Name und Funktion des Unterzeichners sowie Ort/Datum der Ausstellung.

Weitere Pflichten sind:

  • Untersuchung und Maßnahmen gegen vermutete Konformitätsverstöße einzuleiten;
  • Aufzeichnungen über Untersuchungen und bestätigte Konformitätsverstöße zu führen;
  • Die Marktüberwachungsbehörden und andere Wirtschafsakteure über Konformitätsverstöße zu informieren; und
  • Maßnahmen zu ergreifen, um nicht konforme Produkte vom britischen Markt fernzuhalten.


Autor

Benjamin Kerger (B. Eng.)
Product Compliance Consultant

Weitere Informationen zu dieser News

Compliance News

Die wichtigsten Neuigkeiten rund um Marktzulassungen und Product Compliance.

Expertise rund um Product, Material & Environmental Compliance
Weitere News
EU: Batterieverordnung – Probleme in der Praxis bei der Einordnung von leichten Blei-Batterien

Wir bieten Unterstützung bei der Abgrenzung von Geräte- und Industriebatterie

mehr

USA: Freiwilliges Label zur Cybersicherheit von der Federal Communications Commission in den USA veröffentlicht

Startschuss für Zertifizierungsprogramm von drahtlosen IoT-Produkten 2024 möglich

mehr

EU: Geplante Stoffbewertungen 2024

Community Rolling Action Plan (CoRAP)

mehr

Expertengeprüfte Informationspakete für konforme Produkte weltweit

Ressourcen schonen, Haftungsrisiko senken, Sicherheit gewinnen!

jetzt informieren und bestellen

©Lucky_Business@shutterstock.com/ROGER-WILLCO

Product-Compliance-Portal

Die zentrale Recherche-Plattform, mit der Sie alle Marktzulassungsanforderungen sammeln und aktuell halten.
 
©Lucky_Business@shutterstock.com/GLOBALNORM

Normenmanagement mit System

Die effiziente IT-Lösung, mit der Sie alle relevanten Normen zentral verwalten und überwachen.
En
Login
x

Gemäß der Cookie-Richtlinie der EU (RL 2009/136/EG) möchten wir Sie darüber informieren, dass unsere Website Cookies verwendet. Wenn Sie unsere Webseite benutzen, akzeptieren Sie das und stimmen unseren Datenschutzbestimmungen zu. Welche Cookies konkret gesetzt werden und wie Sie von Ihrem Widerspruchsrecht Gebrauch machen können, erfahren Sie auf unserer Seite zum. Datenschutz.

OK