• Electrónicos
• La Ley PSTI del Reino Unido: Guía de Cumplimiento para Fabricantes

La Ley PSTI del Reino Unido: Guía de Cumplimiento para Fabricantes

Según un informe de 2020 de la Fundación de Seguridad de Internet de las Cosas, solo 1 de cada 5 fabricantes incluye requisitos de seguridad en sus productos conectables al consumidor, dejando a los consumidores expuestos al riesgo. Teniendo esto en cuenta, el gobierno del Reino Unido ha introducido la Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones (PSTI), una próxima regulación de ciberseguridad. Esta legislación busca fortalecer la seguridad de los productos conectables al consumidor imponiendo requisitos de seguridad mínimos que los fabricantes deben cumplir.

En este artículo, profundizaremos en los detalles de la Ley PSTI, discutiremos las implicaciones de cumplimiento para los fabricantes y exploraremos los nuevos poderes que otorga a las autoridades de cumplimiento.

Puntos clave

• La Ley PSTI entra en vigor el 29 de abril de 2024. Después de esa fecha, los fabricantes de productos conectables al consumidor (también llamados dispositivos de Internet de las Cosas o IoT) deben cumplir con los requisitos de seguridad establecidos en la Ley.

• El objetivo de la Ley PSTI es garantizar que los productos conectables al consumidor sean más seguros contra los ataques cibernéticos.

• La Ley PSTI también trabaja para crear un régimen de cumplimiento para evitar que se vendan productos inseguros cibernéticamente en el Reino Unido.

Resumen de la Ley PSTI

La Ley PSTI fue oficialmente promulgada en 2022, y las regulaciones completas de la PSTI entrarán en pleno efecto el 29 de abril de 2024. La nueva regulación marca una nueva era para la ciberseguridad en el Reino Unido, ya que exige la creación de nuevos requisitos mínimos de seguridad que los fabricantes, importadores y distribuidores de productos conectables al consumidor deben cumplir.

Los productos conectables al consumidor incluyen productos que pueden conectarse a Internet u otras redes de comunicación, como teléfonos inteligentes, laptops, dispositivos domésticos inteligentes y dispositivos portátiles. Estos productos se han vuelto omnipresentes en la vida diaria de los consumidores, pero muchos carecen de características de ciberseguridad, lo que los convierte en un objetivo principal para los ciberdelincuentes. La Ley PSTI busca mitigar estos riesgos de ciberseguridad y proteger a los consumidores al garantizar que los fabricantes incorporen medidas de seguridad en sus productos.

La Parte 1 de la Ley se centra en la seguridad de los productos, mientras que la Parte 2 de la Ley se centra en las mejoras a la infraestructura de telecomunicaciones. Este artículo se centra únicamente en la Parte 1.

Nuevos Requisitos para la Seguridad de los Productos

Los nuevos requisitos de seguridad que deben cumplir los fabricantes se detallan en el Anexo 1 de las Regulaciones PSTI 2023.

Por ejemplo, la regulación establece requisitos para las contraseñas creadas por el fabricante, como el requisito de que las contraseñas deben ser creadas por el usuario o deben ser únicas para cada producto individual.

En resumen, los requisitos de seguridad en la Ley PSTI son los siguientes:

• Se prohíben las contraseñas predeterminadas o contraseñas fáciles de adivinar.

• Los productos deben tener una “política de divulgación de vulnerabilidades.” La Ley requiere que los fabricantes establezcan medidas que permitan a los externos reportar vulnerabilidades en un producto y publicar información sobre este proceso de reporte.

• Los productos deben proporcionar información a los consumidores sobre cuánto tiempo son compatibles sus productos con actualizaciones de seguridad. El Anexo 2 de la Ley PSTI exige que esta información se exprese en un lenguaje que los consumidores que carecen de conocimientos técnicos puedan entender.

¿Quién debe cumplir con la Ley PSTI?

Los fabricantes, importadores y distribuidores de productos conectables al consumidor deben seguir los requisitos de seguridad establecidos por esta ley. La Ley también requiere que estas personas aseguren que su producto venga con una declaración de cumplimiento y que tomen medidas si hay un problema para cumplir con esos requisitos de seguridad.

¿Qué productos están cubiertos por la Ley PSTI?

Los productos que pueden conectarse a una red o Internet están bajo el alcance de esta regulación. Estos son los dispositivos del Internet de las Cosas, que incluyen, pero no se limitan a:

• Teléfonos inteligentes

• Cámaras conectadas, televisores y altavoces

• Juguetes infantiles conectados y monitores de bebé

• Productos conectados relevantes para la seguridad, como detectores de humo y cerraduras de puertas

• Estaciones base y concentradores de Internet de las Cosas a los que se conectan varios dispositivos

• Rastreadores de fitness conectados portátiles

• Productos de ocio al aire libre, como dispositivos GPS conectados de mano que no son dispositivos portátiles

• Sistemas de automatización y alarmas para el hogar conectados

• Electrodomésticos conectados como refrigeradores inteligentes

• Asistentes inteligentes para el hogar

También es importante saber que los siguientes dispositivos están excluidos de las Regulaciones del Reino Unido PSTI:

• Puntos de recarga para vehículos eléctricos

• Dispositivos médicos (si están bajo el MDR)

• Productos de medidores inteligentes

• Productos informáticos como computadoras de escritorio, portátiles y tabletas que no tienen la capacidad de conectarse a redes celulares.

Asegurando el Cumplimiento de la Ley PSTI

La Ley PSTI introduce un sistema de autodeclaración supervisado por las autoridades de vigilancia del mercado. Los fabricantes deben declarar su adhesión a la ley a través de una declaración de cumplimiento, que debe incluir la información establecida en el Anexo 4 de las Regulaciones PSTI. Esto implica la necesidad de realizar una evaluación de conformidad de los productos conectables de manera competente, antes de firmar la declaración de cumplimiento.

El Secretario de Estado tiene poderes para examinar productos e investigar casos de incumplimiento. Los fabricantes que afirmen falsamente el cumplimiento pueden enfrentar sanciones como resultado de las investigaciones. Las sanciones monetarias que los fabricantes que no cumplen pueden enfrentar están descritas en Parte 1, Capítulo 3, Sección 36 de la Ley PSTI. La sanción máxima es de £10 millones o “4% de los ingresos mundiales calificados de la persona para el periodo contable completo más reciente de la persona”, lo que sea mayor. La Ley también ofrece al Secretario de Estado la capacidad de publicar públicamente información sobre fallos de cumplimiento y el poder de retirar productos que no cumplan.

QIMA, a través del laboratorio acreditado de ciberseguridad de CCLab, ofrece evaluaciones, pruebas, certificación y consultoría para ayudar a los fabricantes, importadores y distribuidores a demostrar eficazmente el cumplimiento de la Parte 1, los requisitos de seguridad de los productos, de la Ley PSTI. Le guiamos en cada paso del proceso de cumplimiento, permitiéndole vender sus productos en el mercado del Reino Unido con tranquilidad. Trabaje con CCLab para asegurar el cumplimiento, evitar retiradas y proteger la reputación de su marca.

Más información sobre nuestros servicios de ciberseguridad o póngase en contacto hoy mismo.