Das bereits im November 2022 verabschiedete “Product Security and Telecommunications Infrastructure” (PSTI) Gesetz tritt ab heute (29. April 2024) in Großbritannien in Kraft. Das Gesetz stellt einen großen sicherheitsrelevanten Fortschritt in der Regulierung von Smart-Home-Geräten dar. Ursprünglich ermöglicht durch den Brexit, führt es grundlegende Sicherheitsanforderungen ein, die bisher nur auf freiwilliger Basis existierten.
Die wichtigsten Regelungen im Überblick:
- Eindeutige Passwörter: Produkte müssen über eindeutige Passwörter verfügen, die nicht auf Werkseinstellungen zurückgesetzt werden können.
- Transparenz bezüglich Sicherheitsupdates: Hersteller müssen Informationen über die Mindestdauer von Sicherheitsupdates bereitstellen, die ihre Produkte erhalten.
- Konformitätserklärungen: Hersteller, Importeure und Distributoren müssen eine Konformitätserklärung für jedes Produkt ausstellen, die die Einhaltung der Sicherheitsanforderungen bestätigt.
- Verbot allgemeiner Standardpasswörter: Allgemein verwendete und leicht zu erratende Standardpasswörter sind verboten.
- Veröffentlichung von Kontaktinformationen: Hersteller müssen Kontaktinformationen veröffentlichen, über die Sicherheitslücken gemeldet werden können.
- Technische Standards und Leitfäden: Die Einhaltung von technischen Standards wie ETSI EN 303 645 wird gefordert, um eine angemessene Sicherheit durch Design zu gewährleisten.
- Sanktionen bei Nichteinhaltung: Bei Verstößen gegen das Gesetz können hohe Geldstrafen verhängt werden, die bis zu £10 Millionen oder bis zu 4% des weltweiten Umsatzes erreichen können.
Sicherheitsanforderungen für vernetzte Produkte
Unter dem PSTI-Gesetz müssen alle Geräte, die in Großbritannien verkauft werden, bestimmte Sicherheitsmerkmale erfüllen. Dazu gehört das Verbot von Standardpasswörtern, die leicht zu erraten sind, und die Notwendigkeit, dass alle Geräte über eindeutige Passwörter verfügen, die vom Benutzer zurückgesetzt werden können. Zudem müssen Hersteller transparente Informationen über die Dauer der Sicherheitsupdates bereitstellen, die sie für ihre Produkte garantieren.
Pflichten der Hersteller und Händler
Hersteller, Importeure und Distributoren sind verpflichtet, eine Konformitätserklärung für jedes Produkt bereitzustellen, die bestätigt, dass die Sicherheitsanforderungen eingehalten werden. Diese Erklärung muss klare Informationen über den Typ des Produkts, die Sicherheitsupdates und die Kontaktdaten für die Meldung von Sicherheitslücken enthalten.
Rolle der Aufsichtsbehörden
Das Office for Product Safety and Standards (OPSS) ist ab dem 29. April 2024 für die Durchsetzung des PSTI-Gesetzes verantwortlich. Die Aufsichtsbehörde wird ein risikobasiertes Regulierungsmodell anwenden und dabei pragmatisch und verhältnismäßig vorgehen, um die Einhaltung der Vorschriften zu gewährleisten.
Technische Standards und Leitfäden
Zur Unterstützung der Umsetzung des Gesetzes sind auch technische Standards wichtig, wie z.B. der ETSI EN 303 645, der Mindestanforderungen an die Cybersicherheit für Verbraucher-IoT-Geräte festlegt. Diese Standards helfen dabei, einheitliche Sicherheitsmaßnahmen zu etablieren und die Hersteller bei der Einhaltung zu unterstützen.
Auswirkungen auf Unternehmen und Verbraucher
Das PSTI-Gesetz wird erhebliche Auswirkungen auf die Art und Weise haben, wie Produkte in Großbritannien verkauft und verwendet werden. Unternehmen müssen ihre Produkte und Prozesse anpassen, um den neuen Regulierungen gerecht zu werden, was letztlich zu einer sichereren Produktumgebung für Verbraucher führt.
Dieses neue Gesetz positioniert Großbritannien als Vorreiter in der Regulierung der Sicherheit von vernetzten Produkten und spiegelt das wachsende globale Bewusstsein für die Bedeutung der Cybersicherheit wider. Durch die strengen Sicherheitsanforderungen und die aktive Rolle der Regulierungsbehörden setzt das PSTI-Gesetz neue Standards, die als Modell für andere Länder dienen könnten. Mehr Infos zu dem Gesetz findest du auf gov.uk (english).