Aftellen naar de wet op productbeveiliging en telecommunicatie-infrastructuur (PSTI)

Het cyberrisicolandschap verandert snel naarmate meer apparaten via het internet der dingen met elkaar verbonden raken. In 2023 waren er wereldwijd meer dan 16 miljard verbonden apparaten, en dit aantal zal naar verwachting elk jaar exponentieel groeien. Deze trend benadrukt het belang van de PSTI Bill- en IoT-beveiligingsmaatregelen.

Terwijl deze trend zich voortzet, versterken regeringen over de hele wereld hun inzet om de privacy en veiligheid van eindgebruikers te beschermen door een reeks van internetveiligheid kaders en maatregelen.

Eén zo’n initiatief is de Britse Product Security and Telecommunications Infrastructure (PSTI) Bill.

Het wetsvoorstel werd voor het eerst bij het parlement ingediend in 2021, waarbij het Britse ministerie van Wetenschap, Innovatie en Technologie aankondigde dat het op 29 april 2024 in werking zal treden.

Maar wat is de PSTI-wet en hoe verandert deze de IoT-beveiliging? Op wie is dit van toepassing en welke gevolgen heeft dit mogelijk voor uw bedrijf?

Wij geven antwoorden op deze vragen en meer.

Wat is de PSTI-wet?

Het wetsvoorstel bestaat uit twee grote delen:

Deel 1 – Productbeveiligingsmaatregelen
- Bevat een regelgevingskader om het snel veranderende landschap van de wereld het hoofd te kunnen bieden cyber bedreigingen
Deel 2 – Maatregelen op het gebied van de telecommunicatie-infrastructuur
- Schetst de ambitie van de Britse regering om sneller internet te krijgen en maatregelen voor dienstverleners om deze ambitie te verwezenlijken

Voor dit artikel concentreren we ons uitsluitend op Deel 1 – Productbeveiligingsmaatregelen.

Kort gezegd bevat deel 1 van het wetsvoorstel een reeks clausules verspreid over vier hoofdstukken.

Hoofdstuk 1: Omtrekken essentieel beveiligingsvereisten en producten waarop ze van toepassing zijn
Hoofdstuk 2: Wijst erop dat belangrijke actoren aan deze beveiligingsvereisten moeten voldoen
- In dit geval strekt ‘actoren’ zich uit tot fabrikanten, importeurs en distributeurs van verbonden apparaten
Hoofdstuk 3: Legt de nadruk op handhavingsacties in gevallen van niet-naleving en op de relevante afdelingen die verantwoordelijk zullen zijn voor het uitvoeren van deze handhavingsacties
Hoofdstuk 4: Bevat aanvullende informatie en bijlagen

Hoewel de PSTI-wet voor sommigen als een verrassing kan komen, is deze in lijn met de huidige en toekomstige IoT-cyberbeveiligingskaders in de mondiale wetgevingspijplijn.

Enkele hiervan zijn onder meer de Cyber Resilience Act van de EU, NIS2 in de Verenigde Staten, de Cybersecurity Act in Singapore en de Canadese Digital Charter Implementation Act.

Waarom de noodzaak van een PSTI-wetsvoorstel?

Uit recent onderzoek van de Britse overheid is gebleken dat slechts 1 op de 5 fabrikanten basisveiligheidseisen zal inbouwen in aansluitbare producten. Dit betekent dat bijna 80 procent van alle verbonden consumentenproducten (d.w.z. slimme horloges, telefoons, tv's, koelkasten en meer) wordt blootgesteld aan kwaadaardige aanvallen door vast te houden aan standaardwachtwoorden, waaronder voorbeelden als de volgende:

Wachtwoord
beheerder
1234
Setup
router
gebruiker

Vóór de introductie van de PSTI-wet bestond er een onredelijke verwachting dat gewone gebruikers de last van IoT-beveiliging op zich zouden nemen. Als zodanig is er ook geen verantwoordelijkheid voor dienstverleners om inbreuken op de privacy en persoonlijke gegevens te voorkomen.

Nu de massale IoT-implementaties toenemen en de norm worden, had dit wetsvoorstel echter niet op een beter moment kunnen komen.

Wat Zijn de vereisten van de PSTI?

De drie beveiligingsfundamenten van PSTI zijn als volgt:

U hoeft niet meer te vertrouwen op standaardfabriekswachtwoorden, omdat wachtwoorden uniek moeten zijn voor elk apparaat;
Producten moeten een duidelijk beleid voor het openbaar maken van kwetsbaarheden hebben voor het melden van fouten of bugs;
Transparantie over de tijdsduur gedurende welke het product essentiële beveiligingsupdates ontvangt

Deze clausules hebben betrekking op zowel “producten die op het internet aangesloten kunnen worden” als op “producten die op een netwerk aangesloten kunnen worden” die gegevens kunnen verzenden en ontvangen zonder verbinding te hebben met het internet.

Waarom klinken deze als de praktijkcode en ETSI EN 303 645?

Zelfs toen het eerste concept van de AVG in 2012 werd gepubliceerd, waren er in Groot-Brittannië al discussies over de veiligheid van IoT-producten gaande.

Deze discussies hebben ertoe geleid dat zowel de EU als het Verenigd Koninkrijk in 2018 een Praktijkcode (“Code”) hebben gepubliceerd. Deze Code schetste 13 bepalingen voor fabrikanten om een grotere cyberbeveiliging van verbonden producten te garanderen.

Bijgevolg heeft deze Code ook invloed gehad op de normen die zijn opgesteld door het European Telecommunication Standards Institute (ETSI): ETSI EN 303 645 Cybersecurity Standard for Consumer IoT Devices.

Toen ETSI EN 2021 303 in 645 werd gepubliceerd, was het de eerste wereldwijde cyberbeveiligingsnorm voor IoT-producten voor consumenten. Het presenteert een reeks van 68 verplichte en aanbevolen bepalingen om een goede mondiale beveiligingsbasis vast te stellen voor alle consumentgerelateerde IoT-cyberbeveiliging.

Op wie zal de PSTI-wet van invloed zijn?

Zoals eerder vermeld, hebben drie entiteiten volgens artikel 7 van deel 1 van de PSTI-wet te maken met nalevingsverplichtingen.

Dit zijn onder meer fabrikanten, importeurs en distributeurs van relevante aansluitbare producten.

In de artikelen 8 tot en met 24 van het wetsvoorstel worden de belangrijkste taken voor deze entiteiten uiteengezet, waaronder:

Op de hoogte zijn van en voldoen aan alle gereguleerde beveiligingsvereisten;
Het verstrekken van certificaten van overeenstemming;
Het onderzoeken en oplossen van compliance-fouten;
Het communiceren van details over storingen en oplossingen aan consumenten en autoriteiten;
Het bijhouden van gegevens over fouten en daaropvolgende onderzoeken

Over het algemeen dragen importeurs en distributeurs dezelfde verantwoordelijkheden als fabrikanten, met enkele aanvullende verplichtingen. Als ontdekt wordt dat het product kwetsbaarheden bevat, zijn deze actoren er ook verantwoordelijk voor om te voorkomen dat het product in Groot-Brittannië wordt verkocht. Bovendien moeten importeurs en/of distributeurs contact opnemen met fabrikanten buiten het Verenigd Koninkrijk als zij een van de clausules niet naleven.

Niet-naleving kan resulteren in een verscheidenheid aan straffen, zoals bepaald door het ministerie van Wetenschap, Informatie en Technologie. Elke boete komt overeen met de mate van schade die aan de eindgebruiker wordt toegebracht.

De belangrijkste handhavingsmaatregelen bestaan uit stop- en terugroepberichten en/of openbare aankondigingen van niet-naleving door de overtredende partij. Verdere niet-naleving kan ook resulteren in aanzienlijke financiële boetes, waaronder mogelijke maximale boetes van £10 miljoen, of 4% van de wereldwijde omzet van het bedrijf.

Hoe kunt u uw IoT-beveiliging verbeteren?

Blijf veranderingen in de regelgeving voor door IoT-beveiliging en gegevensprivacy tot prioriteit te maken.

Deze regelgeving vraagt om tastbare veranderingen in het bestuur en de besluitvorming binnen bedrijven die verder reiken dan het uitvoerend leiderschapsteam. Dergelijke maatregelen kunnen worden bereikt door uw beveiligingspraktijken proactiever aan te pakken, zodat u op uitdagingen kunt anticiperen en operationele verstoringen tot een minimum kunt beperken.

Organisaties moeten ook een duidelijk beveiligingsbeleid en -strategieën vaststellen en handhaven om de ontwikkeling van een organisatiecultuur aan te moedigen die cyberbeveiliging waardeert. Als zodanig kunnen IT-teams niet langer geïsoleerd blijven en moeten ze voortdurend samenwerken met het management om de noodzakelijke veranderingen door te voeren.

In plaats van de reeks wetgeving als een last te beschouwen, kunt u ze ook beschouwen als kansen om de klantveiligheid te verbeteren en prioriteit te geven aan netwerkbeveiliging.

Buiten Groot-Brittannië past het internationale regelgevingslandschap zich voortdurend aan om effectieve wetgeving te handhaven in het licht van de snelle technologische vooruitgang.

Nu de regelgeving op het gebied van cyberbeveiliging en gegevensprivacy steeds robuuster wordt, kunt u vandaag nog van de gelegenheid gebruik maken om een veiligheidscultuur in uw organisatie te introduceren.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
Bron: https://www.iotforall.com/countdown-to-the-product-security-telecommunications-infrastructure-psti-bill

Generatieve data-intelligentie

Aftellen naar de wet op productbeveiliging en telecommunicatie-infrastructuur (PSTI).

Wat is de PSTI-wet?

Waarom de noodzaak van een PSTI-wetsvoorstel?

Wat Zijn de vereisten van de PSTI?

Waarom klinken deze als de praktijkcode en ETSI EN 303 645?

Op wie zal de PSTI-wet van invloed zijn?

Hoe kunt u uw IoT-beveiliging verbeteren?

CEO van Binance veroordeeld tot gevangenisstraf: oprichter van 's werelds grootste crypto-uitwisseling opgesloten – CryptoInfoNet

CEO van Binance veroordeeld tot gevangenisstraf: oprichter van 's werelds grootste crypto-uitwisseling opgesloten – CryptoInfoNet

Laatste intelligentie

Bitcoin-prijs duikt, kunnen stieren de belangrijkste steun van $60 redden?

BDAG naar $30 in 2030, overtreft de TON-prijs in Top Crypto om te kopen

Tweede editie - Flip That House Bordspel crowdfundingmogelijkheid project pitch door Indiegogo

Digital Pantry Makeover: Eliminate Diets crowdfunding-projectpitch door Indiegogo

Een van de beste gaming-headsets krijgt een stijlvol nieuw uiterlijk

Baanbrekend met tools aangedreven door kunstmatige intelligentie – CryptoInfoNet