Der UK-Produkt-Sicherheits- und Telekommunikationsinfrastrukturgesetz (PSTI Act 2022) und seine Parallelen zum EU Cyber Resilience Act

Das Vereinigte Königreich hat mit dem Product Security and Telecommunications Infrastructure Act 2022 (PSTI Act) innovative Schritte unternommen, um die Sicherheit von verbraucherorientierten Internet-of-Things (IoT)-Geräten zu verbessern.

Dieses Gesetz verpflichtet Hersteller, Importeure und Händler von vernetzten Geräten zu sicherheitsrelevanten Maßnahmen, die insbesondere die Erstellung und Verwaltung von Passwörtern betreffen.

Kernpunkte des PSTI Act

  1. Sichere Standardpasswörter: Der PSTI Act verbietet vordefinierte Universalpasswörter. Jedes Gerät muss mit einem einzigartigen Passwort ausgeliefert werden, das nicht auf eine Standardliste zurückgreift.
  2. Transparenzpflicht: Hersteller müssen klar kommunizieren, wie lange das Produkt Sicherheitsupdates erhalten wird.
  3. Vulnerability Disclosure Policy: Es muss eine klare und öffentlich zugängliche für die Offenlegung von Schwachstellen geben, um die Reaktionsfähigkeit auf Sicherheitslücken zu gewährleisten.

Hinweis: Der Investigatory Powers Act, oft als „Snooper’s Charter“ bezeichnet, gibt den UK-Behörden umfangreiche Befugnisse, Zugang zu elektronischen Daten zu fordern, was auch die Herausgabe von Passwörtern oder anderen Entschlüsselungsinformationen einschließen kann, um auf geschützte Daten zugreifen zu können. Die vorliegende Regelung hat damit gar nichts zu tun.


Vergleich zum EU Cyber Resilience Act

Der Cyber Resilience Act (CRA) der Europäischen Union, der noch in der finalen Abstimmungsphase steht, verfolgt ebenfalls das Ziel, die Cybersicherheit von Produkten zu erhöhen, insbesondere im Hinblick auf Hardware- und Softwareprodukte. Während der PSTI Act spezifisch auf IoT-Geräte abzielt, hat der CRA einen breiteren Anwendungsbereich und umfasst eine größere Vielfalt an digitalen Produkten.

Beide Regelungen teilen ähnliche Sicherheitsanforderungen, wie die Notwendigkeit für sichere Authentifizierungsverfahren und die Berichtspflicht über Schwachstellen. Der EU Cyber Resilience Act geht jedoch in einigen Bereichen weiter, indem er beispielsweise Anforderungen an das Risikomanagement und die gesamte stellt.


Gesamtbetrachtung

PSTI Act und EU Cyber Resilience Act verdeutlichen das wachsende globale Bestreben, die Cybersicherheit in der schnell voranschreitenden digitalen Welt zu stärken. Während der britische Ansatz sich auf verbrauchernahe Geräte konzentriert, bietet der EU-Ansatz eine umfassendere Herangehensweise, die eine breite Palette von Produkten abdeckt. Beide Gesetze erkennen jedoch die kritische Bedeutung von sicheren Passwörtern und effektiven Schwachstellenmanagement-Strategien an, um die Sicherheit der Endnutzer zu gewährleisten.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.