Der UK-Produkt-Sicherheits- und Telekommunikationsinfrastrukturgesetz (PSTI Act 2022) und seine Parallelen zum EU Cyber Resilience Act

Das Vereinigte Königreich hat mit dem Product Security and Telecommunications Infrastructure Act 2022 (PSTI Act) innovative Schritte unternommen, um die Sicherheit von verbraucherorientierten Internet-of-Things (IoT)-Geräten zu verbessern.

Dieses Gesetz verpflichtet Hersteller, Importeure und Händler von vernetzten Geräten zu sicherheitsrelevanten Maßnahmen, die insbesondere die Erstellung und Verwaltung von Passwörtern betreffen.

Kernpunkte des PSTI Act

  1. Sichere Standardpasswörter: Der PSTI Act verbietet vordefinierte Universalpasswörter. Jedes Gerät muss mit einem einzigartigen Passwort ausgeliefert werden, das nicht auf eine Standardliste zurückgreift.
  2. Transparenzpflicht: Hersteller müssen klar kommunizieren, wie lange das Produkt Sicherheitsupdates erhalten wird.
  3. Vulnerability Disclosure Policy: Es muss eine klare und öffentlich zugängliche Richtlinie für die Offenlegung von Schwachstellen geben, um die Reaktionsfähigkeit auf Sicherheitslücken zu gewährleisten.

Hinweis: Der Investigatory Powers Act, oft als „Snooper’s Charter“ bezeichnet, gibt den UK-Behörden umfangreiche Befugnisse, Zugang zu elektronischen Daten zu fordern, was auch die Herausgabe von Passwörtern oder anderen Entschlüsselungsinformationen einschließen kann, um auf geschützte Daten zugreifen zu können. Die vorliegende Regelung hat damit gar nichts zu tun.


Vergleich zum EU Cyber Resilience Act

Der Cyber Resilience Act (CRA) der Europäischen Union, der noch in der finalen Abstimmungsphase steht, verfolgt ebenfalls das Ziel, die Cybersicherheit von Produkten zu erhöhen, insbesondere im Hinblick auf Hardware- und Softwareprodukte. Während der PSTI Act spezifisch auf IoT-Geräte abzielt, hat der CRA einen breiteren Anwendungsbereich und umfasst eine größere Vielfalt an digitalen Produkten.

Beide Regelungen teilen ähnliche Sicherheitsanforderungen, wie die Notwendigkeit für sichere Authentifizierungsverfahren und die Berichtspflicht über Schwachstellen. Der EU Cyber Resilience Act geht jedoch in einigen Bereichen weiter, indem er beispielsweise Anforderungen an das Risikomanagement und die gesamte Lieferkette stellt.


Gesamtbetrachtung

PSTI Act und EU Cyber Resilience Act verdeutlichen das wachsende globale Bestreben, die Cybersicherheit in der schnell voranschreitenden digitalen Welt zu stärken. Während der britische Ansatz sich auf verbrauchernahe Geräte konzentriert, bietet der EU-Ansatz eine umfassendere Herangehensweise, die eine breite Palette von Produkten abdeckt. Beide Gesetze erkennen jedoch die kritische Bedeutung von sicheren Passwörtern und effektiven Schwachstellenmanagement-Strategien an, um die Sicherheit der Endnutzer zu gewährleisten.

Fachanwalt für IT-Recht Jens Ferner