Yn ôl Deddf Diogelwch Cynnyrch a Seilwaith Telathrebu 2023 (PSTI) a gyhoeddwyd gan y DU ar Ebrill 29, 2023, bydd y DU yn dechrau gorfodi gofynion diogelwch rhwydwaith ar gyfer dyfeisiau defnyddwyr cysylltiedig o 29 Ebrill, 2024, sy'n berthnasol i Gymru, Lloegr, yr Alban a Gogledd Iwerddon. Bydd cwmnïau sy’n torri’r gyfraith yn wynebu dirwyon o hyd at £10 miliwn neu 4% o’u refeniw byd-eang.
1.Cyflwyniad i Ddeddf PSTI:
Bydd Polisi Diogelwch Cynnyrch Cyswllt Defnyddwyr y DU yn dod i rym ac yn cael ei orfodi ar Ebrill 29, 2024. Gan ddechrau o'r dyddiad hwn, bydd y gyfraith yn ei gwneud yn ofynnol i gynhyrchwyr cynhyrchion y gellir eu cysylltu â defnyddwyr Prydeinig gydymffurfio â gofynion diogelwch sylfaenol. Mae’r gofynion diogelwch sylfaenol hyn yn seiliedig ar Ganllawiau Arferion Diogelwch Rhyngrwyd Pethau Defnyddwyr y DU, safon diogelwch Rhyngrwyd Pethau defnyddwyr blaenllaw ETSI EN 303 645, ac argymhellion gan gorff awdurdodol y DU ar gyfer technoleg bygythiadau seiber, y Ganolfan Seiberddiogelwch Genedlaethol. Bydd y system hon hefyd yn sicrhau bod busnesau eraill yng nghadwyn gyflenwi’r cynhyrchion hyn yn chwarae rhan mewn atal nwyddau defnyddwyr anniogel rhag cael eu gwerthu i ddefnyddwyr a busnesau Prydeinig.
Mae’r system hon yn cynnwys dau ddarn o ddeddfwriaeth:
1) Rhan 1 o Ddeddf Seilwaith Diogelwch Cynnyrch a Thelathrebu (PSTI) 2022;
2) Deddf Seilwaith Diogelwch Cynnyrch a Thelathrebu (Gofynion Diogelwch ar gyfer Cynhyrchion Cysylltiedig Cysylltiedig) 2023.
2. Mae Deddf PSTI yn cwmpasu'r ystod cynnyrch:
1) Ystod cynnyrch a reolir gan PSTI:
Mae'n cynnwys, ond nid yw'n gyfyngedig i, gynhyrchion sy'n gysylltiedig â'r Rhyngrwyd. Mae cynhyrchion nodweddiadol yn cynnwys: teledu clyfar, camera IP, llwybrydd, goleuadau deallus a chynhyrchion cartref.
2) Cynhyrchion y tu allan i gwmpas rheolaeth PSTI:
Gan gynnwys cyfrifiaduron (a) cyfrifiaduron pen desg; (b) Gliniadur; (c) Tabledi nad oes ganddynt y gallu i gysylltu â rhwydweithiau cellog (a gynlluniwyd yn benodol ar gyfer plant o dan 14 oed yn ôl defnydd arfaethedig y gwneuthurwr, nid eithriad), cynhyrchion meddygol, cynhyrchion mesurydd clyfar, gwefrwyr cerbydau trydan, a Bluetooth un -ar-un cynhyrchion cysylltiad. Sylwch y gallai fod gan y cynhyrchion hyn ofynion seiberddiogelwch hefyd, ond nid ydynt yn dod o dan y Ddeddf PSTI a gallant gael eu rheoleiddio gan gyfreithiau eraill.
3. Tri phwynt allweddol i'w dilyn gan Ddeddf PSTI:
Mae'r bil PSTI yn cynnwys dwy brif ran: gofynion diogelwch cynnyrch a chanllawiau seilwaith telathrebu. Ar gyfer diogelwch cynnyrch, mae yna dri phwynt allweddol sydd angen sylw arbennig:
1) Gofynion cyfrinair, yn seiliedig ar ddarpariaethau rheoliadol 5.1-1, 5.1-2. Mae Deddf PSTI yn gwahardd defnyddio cyfrineiriau rhagosodedig cyffredinol. Mae hyn yn golygu bod yn rhaid i'r cynnyrch osod cyfrinair diofyn unigryw neu ei gwneud yn ofynnol i ddefnyddwyr osod cyfrinair ar eu defnydd cyntaf.
2) Materion rheoli diogelwch, yn seiliedig ar ddarpariaethau rheoliadol 5.2-1, mae angen i weithgynhyrchwyr ddatblygu a datgelu polisïau datgelu bregusrwydd yn gyhoeddus i sicrhau y gall unigolion sy'n darganfod gwendidau hysbysu gweithgynhyrchwyr a sicrhau y gall gweithgynhyrchwyr hysbysu cwsmeriaid yn brydlon a darparu mesurau atgyweirio.
3) Mae'r cylch diweddaru diogelwch, yn seiliedig ar ddarpariaethau rheoliadol 5.3-13, mae angen i weithgynhyrchwyr egluro a datgelu'r cyfnod amser byrraf y byddant yn darparu diweddariadau diogelwch, fel y gall defnyddwyr ddeall cyfnod cymorth diweddaru diogelwch eu cynhyrchion.
4. Deddf PSTI a Phroses Brofi ETSI EN 303 645:
1) Paratoi data enghreifftiol: 3 set o samplau gan gynnwys gwesteiwr ac ategolion, meddalwedd heb ei amgryptio, llawlyfrau defnyddwyr / manylebau / gwasanaethau cysylltiedig, a gwybodaeth cyfrif mewngofnodi
2) Sefydliad amgylchedd prawf: Sefydlu amgylchedd prawf yn unol â'r llawlyfr defnyddiwr
3) Cyflawni asesiad diogelwch rhwydwaith: adolygu ffeiliau a phrofion technegol, gwirio holiaduron cyflenwyr, a darparu adborth
4) Atgyweirio gwendid: Darparu gwasanaethau ymgynghori i ddatrys problemau gwendid
5) Darparu adroddiad gwerthuso PSTI neu adroddiad gwerthuso ETSI EN 303645
5. Dogfennau Deddf PSTI:
1)Trefn Seilwaith Diogelwch Cynnyrch a Thelathrebu (Diogelwch Cynnyrch) y DU.
https://www.gov.uk/government/publications/the-uk-product-security-and- telecommunications-infrastructure-product-security-regime
2) Deddf Diogelwch Cynnyrch a Seilwaith Telathrebu 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) Rheoliadau Diogelwch Cynnyrch a Seilwaith Telathrebu (Gofynion Diogelwch ar gyfer Cynhyrchion Cysylltadwy Perthnasol) 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
Ar hyn o bryd, mae llai na 2 fis i ffwrdd. Argymhellir bod cynhyrchwyr mawr sy’n allforio i farchnad y DU yn cwblhau ardystiad PSTI cyn gynted â phosibl er mwyn sicrhau mynediad esmwyth i farchnad y DU.
Amser post: Maw-11-2024