« 中国 TC260 意見募集 国家標準 「情報システムの災害復旧仕様」案 (2024.04.15) | Main | 中国 TC260 意見募集 国家標準 「政府業務におけるデータ処理のセキュリティ要件」案 (2024.04.15) »

2024.04.30

英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法が施行されました...

こんにちは、丸山満彦です。

英国のIoTのセキュリティについての法律である、Product Security and Telecommunications Infrastructure Act 2022が2024.04.29から施行されましたね...

 

● GOV.UK

プレス...

・2024.04.29 New laws to protect consumers from cyber criminals come into force in the UK

New laws to protect consumers from cyber criminals come into force in the UK サイバー犯罪から消費者を守る新法が英国で施行される
From today, regulations enforcing consumer protections against hacking and cyber-attacks will take effect, mandating that internet-connected smart devices meet minimum-security standards by law. 本日より、ハッキングやサイバー攻撃から消費者を守るための規制が施行され、インターネットに接続されたスマートデバイスが最低限のセキュリティ標準を満たすことが法律で義務付けられる。
・World-first laws protecting UK consumers and businesses from hacking and cyber-attacks take effect today  ・ハッキングやサイバー攻撃から英国の消費者や企業を保護する世界初の法律が本日施行される。  
・manufacturers of products such as phones, TVs and smart doorbells are now required to implement minimum security standards against cyber threats    ・電話、テレビ、スマート・ドアベルなどの製造事業者は、サイバー脅威に対する最低限のセキュリティ標準を導入することが義務付けられる。  
・consumers will benefit from banning of easily guessable default passwords, marking a significant leap in protecting individuals, society and the economy from cyber criminals  ・容易に推測可能なデフォルト・パスワードが禁止され、サイバー犯罪から個人、社会、経済を守る上で大きな飛躍となる。
Consumer protections against hacking and cyber-attacks will come into force today, as all internet connected smart devices will be required by law to meet minimum-security standards.  ハッキングやサイバー攻撃に対する消費者保護が今日から施行され、インターネットに接続されたすべてのスマートデバイスは、最低限のセキュリティ基準を満たすことが法律で義務付けられる。
Manufacturers will be legally required to protect consumers from hackers and cyber criminals from accessing devices with internet or network connectivity - from smartphones to games consoles and connected fridges - as the UK becomes the first country in the world to introduce these laws.   製造事業者は、スマートフォンからゲーム機、接続された冷蔵庫に至るまで、インターネットやネットワークに接続された機器にアクセスするハッカーやサイバー犯罪者から消費者を守ることが法的に義務付けられる。 
Under the new regime, manufacturers will be banned from having weak, easily guessable default passwords like ‘admin’ or ‘12345’ and if there is a common password the user will be promoted to change it on start-up. This will help prevent threats like the damaging Mirai attack in 2016 which saw 300,000 smart products compromised due to weak security features and used to attack major internet platforms and services, leaving much of the US East Coast without internet. Since then, similar attacks have occurred on UK banks including Lloyds and RBS leading to disruption to customers.  新体制の下では、製造事業者は「admin」や「12345」のような脆弱で推測されやすいデフォルト・パスワードを持つことが禁止され、共通のパスワードがある場合は、起動時にユーザーが変更するよう促される。これは、2016年に30万台のスマート製品が脆弱なセキュリティ機能によって危険にさらされ、主要なインターネット・プラットフォームやサービスの攻撃に利用され、アメリカ東海岸の大部分がインターネットに接続できない状態に陥った、被害の大きかったMirai攻撃のような脅威を防ぐのに役立つだろう。それ以来、ロイズやRBSを含む英国の銀行で同様の攻撃が発生し、顧客に混乱をもたらした。
The move marks a significant step towards boosting the UK’s resilience towards cyber-crime, as recent figures show 99% of UK adults own at least one smart device and UK households own an average of nine connected devices. The new regime will also help give customers confidence in buying and using products, which will in turn help grow businesses and the economy.   最近の数字では、英国の成人の99%が少なくとも1台のスマートデバイスを所有し、英国の世帯は平均9台の接続デバイスを所有している。新体制はまた、顧客が安心して製品を購入・使用できるようになり、ひいては企業や経済の成長にもつながるだろう。 
An investigation conducted by Which? showed that a home filled with smart devices could be exposed to more than 12,000 hacking attacks from across the world in a single week, with a total of 2,684 attempts to guess weak default passwords on just five devices.    Which?が実施した調査によると、スマートデバイスでいっぱいの家庭は、1週間で世界中から12,000件以上のハッキング攻撃にさらされる可能性があり、わずか5台のデバイスで合計2,684件の弱いデフォルトパスワードの推測が試みられたという。  
 Minister for Cyber, Viscount Camrose said:     サイバー担当大臣のカムローズ子爵は次のように述べた:   
As every-day life becomes increasingly dependent on connected devices, the threats generated by the internet multiply and become even greater.  日常生活がますます接続機器に依存するようになるにつれ、インターネットが生み出す脅威は増大し、さらに大きくなっている。
From today, consumers will have greater peace of mind that their smart devices are protected from cyber criminals, as we introduce world first laws that will make sure their personal privacy, data and finances are safe.    本日より、消費者の個人プライバシー、データ・データ、財務の安全を確保する世界初の法律を導入することで、消費者は自分のスマート・デバイスがサイバー犯罪から保護されているという安心感を得ることができる。  
We are committed to making the UK the safest place in the world to be online and these new regulations mark a significant leap towards a more secure digital world.  我々は、英国を世界で最も安全なオンライン環境にすることを約束し、この新しい規制は、より安全なデジタル世界への大きな飛躍を意味するものである。
Data and Digital Infrastructure Minister, Julia Lopez, said:  ジュリア・ロペス・データ・デジタル・インフラ大臣は、次のように述べた: 
Today marks a new era where consumers can have greater confidence that their smart devices, such as phones and broadband routers, are shielded from cyber threats, and the integrity of personal privacy, data and finances better protected. 今日、携帯電話やブロードバンドルーターなどのスマートデバイスがサイバー脅威から守られ、個人プライバシー、データ・プライバシー、財政の完全性がより確実に保護されるという新たな時代が到来した。
Our pledge to establish the UK as the global standard for online safety takes a big step forward with these regulations, moving us closer to our goal of a digitally secure future. オンライン・セーフティの世界標準として英国を確立するという我々の公約は、この規制によって大きな一歩を踏み出し、デジタルで安全な未来という我々の目標に近づくことになる。
OPSS Chief Executive, Graham Russell said:     OPSSの最高責任者であるグラハム・ラッセルは、次のように述べた:    
The use and ownership of consumer products that can connect to the internet or a network is growing rapidly. UK consumers should be able to trust that these products are designed and built with security in mind, protecting them from the increasing cyber threats to connectable devices.     インターネットやネットワークに接続できる消費者製品の使用と所有は急速に増加している。英国の消費者は、これらの製品がセキュリティを考慮して設計・製造され、接続可能な機器に対する増大するサイバー脅威から保護されていることを信頼できるべきである。   
As the UK’s product regulator, OPSS will be ensuring consumers can have that confidence by working with the industry to encourage innovation and compliance with these new laws. 英国の製品規制当局として、OPSSは業界と協力して技術革新とこれらの新しい法律への準拠を奨励することにより、消費者がそのような信頼を得られるようにする。
NCSC Deputy Director for Economy and Society, Sarah Lyons said:  NCSCのサラ・ライオンズ経済社会担当副局長は、次のように述べた: 
Smart devices have become an important part of our daily lives, improving our connectivity at home and at work; however, we know this dependency also presents an opportunity for cyber criminals.   スマートデバイスは、家庭や職場での接続性を改善し、日常生活の重要な一部となっている。しかし、このような依存は、サイバー犯罪者にとっては好機でもある。 
Businesses have a major role to play in protecting the public by ensuring the smart products they manufacture, import or distribute provide ongoing protection against cyber-attacks and this landmark Act will help consumers to make informed decisions about the security of products they buy.  企業は、製造、輸入、流通するスマート製品がサイバー攻撃に対する継続的な保護を提供することを保証することによって、国民を保護するという大きな役割を担っており、この画期的な法律は、消費者が購入する製品のセキュリティについて十分な情報を得た上で意思決定するのに役立つだろう。
I encourage all businesses and consumers to read the NCSC’s point of sale leaflet, which explains how the new Product Security and Telecommunications Infrastructure (PSTI) regulation affects them and how smart devices can be used securely.  すべての企業と消費者に、NCSCの販売時点情報管理(POS)リーフレットを読むことを勧める。このリーフレットでは、新しい製品セキュリティ・電気通信インフラ(PSTI)規制がどのように影響するか、またスマートデバイスをどのように安全に使用できるかを説明している。
With 57% of households owning a smart TV, 53% owning a voice assistant and 49% owning a smart watch or fitness wristband, this new regime reinforces the government’s commitments to addressing these threats to society and the economy head on.   57%の世帯がスマートテレビを、53%が音声アシスタントを、49%がスマートウォッチやフィットネスリストバンドを所有しており、この新しい制度は、社会と経済に対するこれらの脅威に正面から取り組むという政府のコミットメントを強化するものである。 
The laws are coming into force as part of the Product Security and Telecommunications Infrastructure (PSTI) regime, which has been designed to improve the UK’s resilience from cyber-attacks and ensure malign interference does not impact the wider UK and global economy.     この法律は、英国のサイバー攻撃からのレジリエンスを改善し、悪意のある干渉がより広い英国経済や世界経済に影響を与えないようにすることを目的とした製品セキュリティ・通信インフラ(PSTI)体制の一環として施行される。   
The new measures will also introduce a series of improved security protections to tackle the threat of cyber-crime:   この新たな措置はまた、サイバー犯罪の脅威に対処するため、一連の改善されたセキュリティ防御を導入する:  
・Common or easily guessable passwords like ‘admin’ or ‘12345’ will be banned to prevent vulnerabilities and hacking   ・脆弱性やハッキングを防ぐため、'admin'や'12345'のような一般的なパスワードや推測されやすいパスワードは禁止される。 
・Manufacturers will have to publish contact details so bugs and issues can be reported and dealt with   ・製造事業者は、バグや問題を報告し対処できるよう、連絡先を公表しなければならなくなる。 
・Manufacturers and retailers will have to be open with consumers on the minimum time they can expect to receive important security updates   ・製造事業者や輸入事業者は、重要なセキュリティ・アップデートを受け取ることができる最短期間について、消費者にオープンにする必要がある。 
Rocio Concha, Which? Director of Policy and Advocacy, said:  Which? 政策・アドボカシー担当ディレクターのロシオ・コンチャ氏は次のように述べた: 
Which? has been instrumental in pushing for these new laws which will give consumers using smart products vital protections against cyber criminals looking to launch hacking attacks and steal their personal information.  Which?は、ハッキング攻撃を仕掛けて個人情報を盗み出そうとするサイバー犯罪者に対して、スマート製品を使用する消費者に重要な防御を与えるこの新しい法律の制定を推進する上で、尽力してきた。
The OPSS must provide industry with clear guidance and be prepared to take strong enforcement action against manufacturers if they flout the law, but we also expect smart device brands to do right by their customers from day one and ensure shoppers can easily find information on how long their devices will be supported and make informed purchases. OPSSは、業界に明確なガイダンスを提供し、製造事業者が法律に違反した場合には、強力な強制措置を取る用意がなければならない。しかし、我々はまた、スマートデバイスブランドが初日から顧客に対して正しい行動を取り、買い物客が自分のデバイスがいつまでサポートされるのかという情報を簡単に見つけ、十分な情報を得た上で購入できるようにすることを期待している。
David Rogers, CEO of Copper Horse, said:    コッパーホースのデビッド・ロジャース最高経営責任者(CEO)は、次のように述べた:   
We started this work many years ago so that people would not have to understand lots about the security of connected product in order to be secure. Getting rid of things like default passwords that are set to ‘admin’ or ‘12345’ are fundamental basics.    私たちは何年も前に、人々が安全であるためにコネクテッド製品のセキュリティについて多くを理解する必要がないように、この作業を始めた。admin』や『12345』に設定されたデフォルト・パスワードのようなものをなくすことは、基本中の基本だ。  
Manufacturers should not be providing anyone with products like webcams that are so weak and insecure that they are trivial to hack into and takeover. This stops now and people can have greater confidence that the internet connected products that they buy have better security measures built-in to protect them. 製造事業者は、ハッキングや乗っ取りが容易なほど脆弱で安全でないウェブカメラのような製品を誰にでも提供すべきではない。インターネットに接続された製品を購入する際には、より優れたセキュリティ対策が施されていることを、より確信できるようになるのだ。
The UK government has collaborated with industry leaders to introduce this raft of transformative protections, which also include manufacturers having to publish information on how to report security issues to increase the speed at which they can address these problems. In addition, consumers and cyber security experts can play an active role in protecting themselves and society from cyber criminals by reporting any products which don’t comply to the Office for Product Safety and Standards (OPSS).    英国政府は、業界のリーダーたちと協力して、この一連の変革的な防御策を導入した。その中には、製造事業者がこれらの問題に対処するスピードを上げるために、セキュリティ上の問題を報告する方法に関する情報を公表しなければならないことも含まれている。さらに、消費者やサイバーセキュリティの専門家は、製品安全標準局(OPSS)に適合しない製品を報告することで、サイバー犯罪から自分自身と社会を守るために積極的な役割を果たすことができる。  
The government is beginning the legislative process for certain automotive vehicles to be exempt from the product security regulatory regime, as they will be covered by alternative legislation.    政府は、特定の自動車を製品セキュリティ規制体制から除外するための立法手続きを開始している。  
This new regime intends to increase consumer confidence in the security of the products they buy and use, delivering on one of the government’s five priorities to grow the economy. The new laws are part of the government’s £2.6 billion National Cyber Strategy to protect and promote the UK online. この新体制は、消費者が購入・使用する製品の安全性に対する信頼を高め、政府の5つの優先事項のひとつである経済成長を実現することを意図している。この新法は、英国をオンラインで保護・促進するための政府の26億ポンドの国家サイバー戦略の一環である。

 

NCSCのリーフレット...

・[PDF] NCSC’s point of sale leaflet

20240430-24257

 

ガイダンスのページ...

The UK Product Security and Telecommunications Infrastructure (Product Security) regime

 

Documents 文書
2022年製品安全・通信インフラ法-その1
2022年製品安全および電気通信インフラ法に関する説明文書
製品セキュリティおよび電気通信インフラ(関連接続可能製品に対するセキュリティ要件)規則2023
製品セキュリティおよび電気通信インフラ(関連する接続可能な製品に対するセキュリティ要件)規則2023に対する説明文書
ETSI EN 303 645:消費者向けモノのインターネットのサイバーセキュリティ: ベースライン要件
Details 詳細
The UK’s consumer connectable product security regime comes into effect on 29 April 2024.   英国の消費者向け接続可能製品のセキュリティ体制は、2024年4月29日に施行される。 
From that date, the law will require manufacturers of UK consumer connectable products (or ‘smart’ products) to comply with the relevant obligations set out in the Act, which include ensuring they and their products meet the relevant minimum security requirements.  この法律により、英国の消費者向け接続可能製品(または「スマート」製品)の製造事業者は、同法に定められた関連義務を遵守することが義務付けられる。
The regime comprises of two pieces of legislation:  この制度は2つの法律で構成されている: 
・Part 1 of the Product Security and Telecommunications Infrastructure (PSTI) Act 2022; and  ・2022年製品セキュリティおよび電気通信インフラ(PSTI)法第1部、および 
・The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023.  ・製品セキュリティおよび電気通信インフラストラクチャー(関連接続可能製品のセキュリティ要件)規則2023。
The PSTI Act received Royal Assent in December 2022. The government published a full draft of the PSTI (Security Requirements for Relevant Connectable Products) Regulations in April 2023. These regulations were signed into law on 14 September 2023. This guidance page highlights the key provisions businesses should consider in seeking to comply with the regime.  PSTI法は2022年12月に勅許を得た。政府は2023年4月にPSTI(関連接続可能製品のセキュリティ要件)規則の全ドラフトを公表した。これらの規則は2023年9月14日に署名された。本ガイダンスのページでは、企業が本規制に準拠するために考慮すべき主要な条項を紹介する。
Commencement of the regime  規制の開始 
Regulation 3 of The Product Security and Telecommunications Infrastructure Act 2022 (Commencement No. 2) Regulations 2023 provides that all parts of Part 1 of the Act not already in force come into force on 29 April 2024.   The Product Security and Telecommunications Infrastructure Act 2022 (Commencement No. 2) Regulations 2023の第3規則は、同法第1部のうちまだ施行されていないすべての部分が2024年4月29日に施行されることを規定している。 
Regulation 1 of the PSTI (Security Requirements for Relevant Connectable Products) Regulations 2023 provides that those Regulations come into force on 29 April 2024.  PSTI(関連接続製品のセキュリティ要件)規則2023の規則1は、これらの規則が2024年4月29日に施行されることを規定している。
Persons subject to duties under the regime  本制度に基づく義務の対象者 
The economic actors to which the duties of the product security regime apply (“relevant persons”) are the manufacturers, importers, and distributors of relevant connectable products.   製品セキュリティ制度の義務が適用される経済主体(「重要な製品」)は、関連接続可能製品の製造事業者、輸入事業者、頒布事業者である。 
Section 7 of the Act provides definitions of these persons in relation to a product.  同法第7条は、製品に関連するこれらの者の定義を定めている。
Where a manufacturer established abroad authorises a person in the United Kingdom, with the agreement of that person, to perform certain duties on their behalf, section 51 sets out that the authorised representative must comply with those duties, while stipulating that this does not affect the manufacturer’s liability for a failure to comply with a duty.  外国に設立された製造事業者が、その者の同意を得て、英国にいる者に一定の義務を代行させる場合、第51条は、委任された代表者がその義務を遵守しなければならないことを定める一方、このことは、義務を遵守しなかった場合の製造事業者の責任には影響しないと規定している。
Duties of relevant persons  関係者の義務 
Chapter 2 of the Act sets out the duties of relevant persons.   同法第2章は、関係者の義務を定めている。 
Additionally, where a manufacturer has appointed an “authorised representative” as defined in section 51(2) of the act, section 13 of this chapter sets out duties that must be complied with by that authorised representative.  さらに、製造事業者が法第51条第2項に定義される「公認代表者」を任命している場合、本章第13項は、当該公認代表者が遵守すべき義務を定めている。
Certain duties under the regime require a relevant person to consider provisions of the Regulations to discharge those duties:  本制度に基づく特定の義務は、関連者がその義務を果たすために規則の規定を考慮することを求めている: 
・Regulation 3 provides that the security requirements specified in schedule 1 to the Regulations apply to manufacturers of relevant connectable products.  ・規則3は、関連する接続可能製品の製造事業者に対し、規則別表1に定めるセキュリティ要件が適用されることを規定している。
・Regulation 7 provides that the information specified in schedule 4 to the regulations must be included in the statement of compliance. Manufacturers must produce a statement of compliance that includes all the information specified in schedule 4 and ensure that it accompanies the product to make it available.   ・規則7は、規則のスケジュール4に規定された情報を適合声明書に含めなければならないことを規定している。製造事業者は、スケジュール4に規定されたすべての情報を含む適合性確認書を作成し、製品に添付して利用できるようにしなければならない。 
・Sections 15 and 22 of the PSTI Act further set out that importers and distributors respectively also have duties placed upon them to not make available a product unless it is accompanied by a statement of compliance.   ・PSTI法第15条と第22条はさらに、輸入事業者と頒布事業者はそれぞれ、適合説明書が添付されない限り、製品を入手可能な状態にしない義務を負うと定めている。 
Additionally, regulations 8 and 9 set out the requirements for a manufacturer and an importer respectively to retain a copy of the statement of compliance.  さらに、規則第8条および第9条は、製造事業者および輸入事業者がそれぞれ適合宣言書の写しを保管する要件を定めている。
Relevant connectable products  関連する接続可能製品 
The conditions under which a relevant person is subject to a specific duty are set out in the section of the Act where that duty is provided for. Where these conditions, or the duty itself, relates to a “relevant connectable product”, section 4 of the Act provides for the definition of this term. A product is a relevant connectable product if it is an internet-connectable product or a network-connectable product, and not an excepted product.  関連者が特定の関税を課される条件は、当該関税が規定されている法律の条文に定められている。これらの条件または義務そのものが「関連する接続可能な製品」に関するものである場合、法第4条にこの用語の定義が規定されている。製品がインターネット接続可能な製品またはネットワーク接続可能な製品であり、例外製品でない場合、製品は関連接続可能製品である。
Economic actors seeking to determine whether a product is a “relevant connectable product” should therefore review the definitions of “internet-connectable product” and “network-connectable product” provided for in section 5 of the Act, as well as the products specified as excepted products in schedule 3 to the Regulations.  したがって、ある製品が「関連する接続可能な製品」であるかどうかを判断しようとする経済主体は、同法第5条に規定されている「インターネット接続可能な製品」および「ネットワーク接続可能な製品」の定義、ならびに同規則のスケジュール3で除外製品として指定されている製品を確認する必要がある。
The Security Requirements  セキュリティ要件 
The security requirements are actions that relevant businesses in the supply chain must take, or requirements that a product must meet, to address a security problem or eliminate a potential security vulnerability.  セキュリティ要件とは、セキュリティ上の問題に対処し、潜在的なセキュリティの脆弱性を排除するために、サプライチェーンの関連事業者が講じなければならない措置、または製品が満たさなければならない要件である。
Schedule 1 to the 2023 Regulations sets out the specific requirements that must be complied with in relation to relevant connectable products.   2023年規則の別表1には、関連する接続可能な製品に関して遵守しなければならない具体的な要件が定められている。 
1. Passwords   1. パスワード  
Passwords must be unique per product; or capable of being defined by the user of the product.   パスワードは、製品ごとに一意であるか、製品のユーザーが定義できるものでなければならない。 
Paragraph 1(3) of schedule 1 to the Regulations provides further requirements that relate to passwords which are unique per product. They must not be based on incremental counters; based on or derived from publicly available information; based on or derived from unique product identifiers, such as a serial number unless this is done using an encryption method, or keyed hashing algorithm, that is accepted as part of good industry practice; or otherwise easily guessable.  規則別表1の第1項(3)は、製品ごとに一意であるパスワードに関する更なる要件を規定している。パスワードは、インクリメンタルカウンタに基づくもの、一般に入手可能な情報に基づくもの、一般に入手可能な情報に由来するもの、業界の適正な慣行の一部として認められている暗号化方法または鍵付きハッシュアルゴリズムを使用しない限り、シリアル番号などの一意の製品識別子に基づくもの、またはそれらに由来するものであってはならない、その他容易に推測可能なものであってはならない。
2. Information on how to report security issues   2. セキュリティ問題の報告方法に関する情報  
The manufacturer must provide information on how to report to them security issues about their product. The manufacturer must also provide information on the timescales within which an acknowledgment of the receipt of the report and status updates until the resolution of the reported security issues can be expected by person making the report.   製造事業者は、製品に関するセキュリティ上の問題を報告する方法に関する情報を提供しなければならない。また、製造事業者は、報告者が報告を受領したことの確認と、報告されたセキュリ ティ問題の解決までの状況更新を期待できる期間に関する情報を提供しなければならない。 
This information should be made available without prior request in English, free of charge. It should also be accessible, clear and transparent.  この情報は、事前の要請なしに、英語で、無料で提供されなければならない。また、アクセスしやすく、明瞭で透明性のあるものでなければならない。
3. Information on minimum security update periods   3. 最低セキュリティ更新期間に関する情報  
Information on minimum security update periods must be published and made available to the consumer in a clear accessible and transparent manner. This must be the minimum length of time security updates will be provided along with an end date.   最低セキュリティ更新期間に関する情報は、明確でアクセス可能かつ透明性のある方法で公表され、消費者が入手できるようにされなければならない。この情報には、セキュリティ更新が提供される最短期間と、その終了日が記載されていなければならない。 
This information should be available without prior request in English, free of charge and in a such a way that is understandable for a reader without prior technical knowledge.   この情報は、事前の要請なしに、英語で、無償で、専門知識のない読者にも理解できるように提供されなければならない。 
Enforcement  施行 
The Office for Product Safety and Standards (OPSS) will be responsible for enforcing the PSTI Act 2022 and the 2023 Regulations from 29 April 2024, acting under an MoU with DSIT.  製品安全基準局(OPSS)は、DSITとのMoUに基づき、2022年4月29日からPSTI法および2023年規則の施行に責任を負う。
OPSS is part of the Department for Business and Trade and already enforce the UK’s existing product safety regulations  OPSSは商務貿易省の一部であり、すでに英国の既存の製品安全規制を執行している。
OPSS will utilise existing processes and relationships to enforce the UK product security regime in a robust and risk-based manner and take appropriate and proportionate action against businesses that fail to comply with their obligations.   OPSSは既存のプロセスと関係を活用し、英国の製品安全規制を強固かつリスクベースで実施し、義務を遵守しない企業に対して適切かつ相応の措置を講じる。 
Please visit the OPSS web page for further information on OPSS’s enforcement activity and how to work with the enforcing authority. OPSSの取締り活動および取締り当局との協力方法に関する詳細は、OPSSのウェブページを参照されたい。
Resources   リソース  
OPSS and DSIT will continue to provide support to industry as the regime progresses. Please continue to check these web pages for updates - you can sign up to alerts for this page here. OPSSとDSITは、制度が進展するにつれ、産業界にサポートを提供し続ける。引き続き、これらのウェブページの最新情報をチェックしていただきたい。
The resources below provide information to support compliance with the PSTI Product Security regime.    以下のリソースは、PSTI製品セキュリティ体制への準拠をサポートする情報を提供する。  
ETSI standards and supporting guidance  ETSI標準とサポートガイダンス 
ETSI EN 303 645  ETSI EN 303 645 
ETSI Technical Specification 103 645    ETSI 技術仕様 103 645   
ETSI Implementation Guide 103 621    ETSI 実施ガイド 103 621   
ETSI Assessment Specification 103 701    ETSI 評価仕様書 103 701   
Quick guides and webinars   クイックガイドとウェビナー  
[web] [web]

 

 


 

参考...

 まるちゃんの情報セキュリティ気まぐれ日記

 

英国 PTSI

・2024.01.29 英国 2022年製品セキュリティ・通信インフラ制度のウェブページ(Product Security and Telecommunications Infrastructure Act 2022 関係)

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

EU CRA...

・2024.03.19 欧州議会 AI法 (2024.03.13) とサイバーレジリエンス法を採択 (2024.03.12)

・2024.02.02 欧州委員会 サイバーセキュリティ認証制度 (EUCC) を採択

・2024.01.17 欧州 欧州議会の投票にかけられるサイバーレジリエンス法案 (Cyber Resilience Act)

・2023.12.04 欧州理事会、欧州議会がサイバーレジリエンス法について政治的合意

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.01.29 欧州 サイバーレジリエンス法案に対するポジションペーパー by 欧州消費者機構

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

 

ドイツのセキュリティ製品の認証

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2024.04.19 米国 NIST NIST IR 8425A(初期公開ドラフト)消費者向けルータ製品に推奨されるサイバーセキュリティ要件

・2024.04.05 米国 意見募集 NIST CSWP 33(初公開ドラフト) 製品開発サイバーセキュリティハンドブック: IoT製品製造者のための概念と考慮事項

・2024.03.20 米国 連邦通信委員会 (FCC) がIoTサイバーセキュリティ表示プログラム(サイバートラストマーク)の規則を採択 (2024.03.14)

・2023.07.19 米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2023.05.10 米国 ホワイトハウス 重要新興技術に関する国家標準化戦略を発表 (2023.05.04)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.05.07 米国 NIST SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化(初期ドラフト)(2023.05.03)

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本...

・2024.03.17 経済産業省 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

 

|

« 中国 TC260 意見募集 国家標準 「情報システムの災害復旧仕様」案 (2024.04.15) | Main | 中国 TC260 意見募集 国家標準 「政府業務におけるデータ処理のセキュリティ要件」案 (2024.04.15) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 TC260 意見募集 国家標準 「情報システムの災害復旧仕様」案 (2024.04.15) | Main | 中国 TC260 意見募集 国家標準 「政府業務におけるデータ処理のセキュリティ要件」案 (2024.04.15) »