Dal 29 aprile 2024 il regolamento PSTI (Product Security and Telecommunication Infrastructure) è in vigore nel mercato britannico. Qui puoi trovare una panoramica su cosa implica, quali specifici prodotti di consumo coinvolge, e come adeguarsi ai requisiti indetti dal regolamento.
Quadro normativo del regolamento PSTI
Il quadro PSTI del Regno Unito è composto da:
- Legge del 2022 sulla Sicurezza dei Prodotti e sulle Infrastrutture delle Telecomunicazioni
- Regolamento 2023 n.1007 sulla Sicurezza dei Prodotti e sulle Infrastrutture di Telecomunicazioni (i.e. Requisiti di Sicurezza per i Prodotti Collegabili Rilevanti)
Il quadro si applica a tutti i prodotti collegabili rilevanti a partire dal 29 aprile 2024.
I prodotti collegabili rilevanti includono gli articoli di consumo collegabili ad internet o ad altre reti di comunicazione, come smartphone, laptop, dispositivi domestici o indossabili.
Il regolamento PSTI impone ai produttori, agli importatori e ai distributori dei prodotti interessati di attenersi ai requisiti minimi di sicurezza, ossia:
- Le password predefinite o facili da indovinare sono vietate.
- I prodotti devono sottostare a una politica di divulgazione delle vulnerabilità. La legge specifica infatti l’obbligo per i produttori di mettere in atto misure che consentano a chi è esterno all’azienda di segnalare pubblicamente le vulnerabilità che affliggono un prodotto.
- I consumatori devono essere messi a conoscenza della durata degli aggiornamenti di sicurezza, attraverso la diffusione di informazioni espresse in un linguaggio accessibile anche agli utenti privi di competenze tecniche.
Produttori, importatori e distributori di prodotti collegabili di consumo possono seguire le disposizioni pertinenti della norma ETSI EN 303 645 o i paragrafi pertinenti dello standard ISO/IEC 29147.
Dichiarazione di conformità e autodichiarazione
Il regolamento PSTI richiede agli operatori della supply chain di garantire che il loro prodotto sia dotato di dichiarazione di conformità, e, in caso di criticità, di mettere in atto adeguate contromisure per il ripristino dei requisiti di sicurezza informatica.
La legge PSTI introduce un sistema di autodichiarazione supervisionato dalle autorità di vigilanza del mercato, al quale i produttori devono precisare la propria adesione, includendo nella propria dichiarazione di conformità le informazioni richieste dall’Allegato 4.
Ciò implica la necessità di eseguire una scrupolosa valutazione di conformità dei prodotti prima di sottoscrivere la dichiarazione, in quanto il falso è soggetto a sanzioni.
Sapevi che anche l’Unione Europea ha previsto un atto legislativo per le apparecchiature di consumo collegabili, in vigore da agosto 2025? Leggi qui per conoscere il RED DA.
Come possiamo aiutarvi nella conformità al regolamento PSTI
Il nostro consiglio è di iniziare a comprendere l’ambito PSTI attraverso una GAP Analysis, ossia un’analisi che evidenzi il livello di rispondenza del prodotto ai requisiti di cybersecurity indetti dal regolamento, e chiarisca quali azioni correttive apportare ai dispositivi affinché possiate dichiararne la conformità.
L’analisi include un’indagine approfondita del prodotto e lo svolgimento dei test di resilienza.
Nel caso in cui la certificazione del prodotto si renda necessaria, vi guideremo nella stesura dei documenti tecnici di conformità, completando per voi l’intera rendicontazione. A conclusione, l’Assessment Report, emesso da TÜV Rheinland come parte terza, dimostrerà in modo ineccepibile la conformità al regolamento PSTI secondo lo standard ETSI EN 303 645.
Vi consegneremo infine un report dettagliato che raccoglierà le informazioni che vi saranno più utili a rendere i vostri prodotti conformi agli standard di cybersecurity. Contattaci per richiedere una consulenza sul PSTI.
Vuoi ricevere consigli su come trasformare le sfide aziendali in risultati?
Torna all'elenco degli articoli
