필수 사이버 보안 요구사항에 대해 더디게 움직이는 EU와 달리, 영국은 발빠르게 대처하고 있습니다. 이미 영국은 2024년 4월 29일부터 PSTI법(제품 안전 및 통신 인프라 법)에 명시된 요구 사항을 이행하고 있습니다.
요구 사항의 배경은 커넥티드 제품(connected products)의 증가와 함께 악성 활동의 증가로 인해 소비자용 커넥티드 제품이 주요 범위가 되었습니다.
이 범위를 명시한 규정은 PSTI 법 2022입니다. 인터넷에 연결된 제품은 당연히 규정에 포함되며, 연결되지 않는 제품도 포함될 수 있습니다. 대표적인 제품으로는 스마트 TV, IP 카메라, 라우터, 스마트 조명 및 가정용 제품 등이 있습니다.
컴퓨터, 의료 제품, 스마트 계량기 제품, 전기차 충전기 등은 제외되는 제품입니다.
이러한 제품에도 사이버 보안 요구 사항이 있지만, 다른 규정이 적용될 수 있습니다.
요구 사항은 크게 세 가지 그룹으로 나뉩니다:
- 비밀번호
- 지원 기간
- 취약점 보고
이러한 요구사항은 PSTI 법에 따라 평가될 수도 있지만, "소비자 IoT의 사이버 보안"이라는 ETSI EN 303 645 표준에 따라 평가가 이루어질 수도 있습니다.
이 표준은 2020년에 처음 발표된 이래 유럽 외 지역을 포함하여 국제적으로 가장 많이 사용되는 IoT 사이버 보안 표준으로 빠르게 자리 잡았습니다. 이 표준은 사이버 보안에 대한 실용적인 접근 방식으로, 우수한 기본 보안 수준을 보장하며 여러 인증 제도의 기초를 형성합니다. 2023년에는 IECEE에서 연간 10만 개 이상의 인증서가 발급되는 최대 규모의 전기 제품 인증 제도인 CB 인증 제도에서 사용할 수 있도록 공식적으로 승인되었습니다.
적어도 비밀번호, 유지 기간, 취약점 보고에 관한 PSTI 법의 세 가지 요구사항을 준수하고 이에 따라 자체 신고를 하는 것입니다.
고객에게 규정 준수를 입증하고 더 넓은 지역을 대상으로 하신다면 국제 표준을 사용하는 것이 좋습니다. 또한 내년(2025년) EU에서 시행되는 필수 사이버 보안 요구사항에 대비하는 데 중요한 부분이 될 것입니다.
귀하의 제품이 해당 범위에 속하는지, 특히 어떤 요구 사항이 귀하의 제품과 관련이 있는지 확인하려면 아래 링크를 사용하여 사이버 보안 전문가와 함께하는 무료 Teams 회의를 예약하세요.
더 자세한 내용이 궁금하시다면 1월 23일 무료 웹 세미나에 참여하세요