Corrigendum

     
07/09/2020
07/09/2020
08/09/2020
United Kingdom
Proposal for Cyber Security of Consumer IoT Devices

Item 5 of the notification should read as follows: Proposal for Cyber Security of Consumer IoT Devices

Proposition relative à la cybersécurité des produits de consommation de l'IdO
Le contenu du point 5 de la notification doit se lire comme suit: Proposal for Cyber Security of Consumer IoT Devices (Proposition relative à la cybersécurité des produits de consommation de l'IdO).
Proposal for Cyber Security of Consumer IoT Devices (Propuesta sobre la ciberseguridad de los dispositivos de consumo de la Internet de las cosas)
La redacción del punto 5 de la notificación debe ser la siguiente: "Proposal for Cyber Security of Consumer IoT Devices (Propuesta sobre la ciberseguridad de los dispositivos de consumo de la Internet de las cosas)".
Language Attachments  
There are currently no attachments
 

This notification is in reference to the cyber security of Consumer Internet of Things (IoT) products defined as any network-connectable product and their associated services that are supplied or made available within the UK. This relates to the HS Code List of Chapter 84 and 85. Products may include, but are not limited to: connected children’s toys and baby monitors, connected safety-relevant products such as smoke detectors and door locks, smart cameras, TVs and speakers, wearable health trackers, connected home automation and alarm systems, connected appliances (e.g. washing machines, fridges), smart home assistants, smartphones, tablets and laptops. Products that are out of scope as they are or soon will be covered by existing legislation, this includes smart metering devices that require Commercial Product Assurance (CPA), automotive including electric vehicles, and smart charge points and medical devices.

La présente notification concerne la cybersécurité des produits de consommation de l'Internet des objets (IdO), définis comme tout produit pouvant être connecté à un réseau, et les services qui lui sont associés, fournis ou rendus disponibles dans le Royaume-Uni. Ils relèvent des chapitres 84 et 85 du SH. Ces produits peuvent inclure, sans que cette énumération soit exhaustive: les jouets pour enfants et les systèmes de surveillance des bébés connectés; les produits connectés liés à la sécurité tels que les détecteurs de fumé et les serrures de porte; les caméras, les téléviseurs et les haut-parleurs intelligents; les dispositifs de suivi de la condition physique portables; les systèmes domotiques et d'alarme connectés; les équipements connectés (par exemple: machines à laver, réfrigérateurs); les systèmes d'assistance à la maison intelligents; les téléphones intelligents; les tablettes; et les ordinateurs portables; les produits n'entrant pas dans le champ d'application tels quels ou qui seront bientôt couverts par la législation existante, à savoir les dispositifs de mesures nécessitant une assurance de produit commercial (Commercial Product Assurance -CPA), les véhicules à moteur, y compris électriques et les points de charge et les dispositifs médicaux intelligents; RÉACTEURS NUCLÉAIRES, CHAUDIÈRES, MACHINES, APPAREILS ET ENGINS MÉCANIQUES; PARTIES DE CES MACHINES OU APPAREILS (chapitre 84 du SH); MACHINES, APPAREILS ET MATÉRIELS ÉLECTRIQUES ET LEURS PARTIES; APPAREILS D'ENREGISTREMENT OU DE REPRODUCTION DU SON, APPAREILS D'ENREGISTREMENT OU DE REPRODUCTION DES IMAGES ET DU SON EN TÉLÉVISION, ET PARTIES ET ACCESSOIRES DE CES APPAREILS (chapitre 85 du SH).
Esta notificación hace referencia a la ciberseguridad de los productos de consumo de la Internet de las cosas (IdC). Estos se definen como todos aquellos productos, y sus servicios conexos, que pueden conectarse a una red y que se suministran o están disponibles en el Reino Unido. La notificación se refiere a la lista de los códigos SA de los capítulos 84 y 85. Los productos abarcados podrían ser, entre otros: los juguetes para niños y equipos de vigilancia de bebés conectados, los productos relacionados con la seguridad conectados, tales como detectores de humo y cerraduras para puertas, las cámaras inteligentes, los televisores y altavoces (altoparlantes), los equipos portátiles de seguimiento de la salud, los sistemas domésticos conectados de automatización y alarma, los electrodomésticos conectados (por ejemplo, lavadoras o frigoríficos), los asistentes domésticos inteligentes, los teléfonos inteligentes, las tabletas y los ordenadores portátiles. Estos son algunos de los productos que quedan fuera del ámbito de aplicación por estar abarcados por la legislación vigente, o porque pronto lo estarán: los dispositivos de medición inteligentes que requieren la Garantía de Productos Comerciales, los automóviles, incluidos los vehículos eléctricos, y los puntos de carga inteligentes, y los dispositivos médicos; REACTORES NUCLEARES, CALDERAS, MÁQUINAS, APARATOS Y ARTEFACTOS MECÁNICOS; PARTES DE ESTAS MÁQUINAS O APARATOS (SA: 84); MÁQUINAS, APARATOS Y MATERIAL ELÉCTRICO, Y SUS PARTES; APARATOS DE GRABACIÓN O REPRODUCCIÓN DE SONIDO, APARATOS DE GRABACIÓN O REPRODUCCIÓN DE IMAGEN Y SONIDO EN TELEVISIÓN, Y LAS PARTES Y ACCESORIOS DE ESTOS APARATOS (SA: 85).
Version Products covered Interpreted
HS3 84 - NUCLEAR REACTORS, BOILERS, MACHINERY AND MECHANICAL APPLIANCES; PARTS THEREOF No
HS3 85 - ELECTRICAL MACHINERY AND EQUIPMENT AND PARTS THEREOF; SOUND RECORDERS AND REPRODUCERS, TELEVISION IMAGE AND SOUND RECORDERS AND REPRODUCERS, AND PARTS AND ACCESSORIES OF SUCH ARTICLES No
Products covered Interpreted
There are currently no items in the database.

Internet of Things (IoT) devices are becoming commonplace in millions of homes around the world and while forecasts vary, research suggests that there could be as many as 75 billion connected smart devices in homes around the world by the end of 2025.


Many of the  devices on the market still have basic flaws, such as universal default passwords, which leave the devices vulnerable to DDoS (Distributed Denial of Service) attacks. Similarly, a 2019 report by the IoTSF showed that 87% of manufacturers surveyed did not maintain a coordinated vulnerability disclosure policy, representing an inability to properly respond to vulnerabilities that can have real world consequences.


Forecasts of the number of IoT devices being attacked are set to increase, with Kaspersky identifying 105 million attacks on IoT endpoints in 2019, increasing significantly from the 12 million detected in the first half of 2018, highlighting that urgent intervention is needed to protect the security and privacy of UK consumers.


What the UK government is proposing represents widely recognised good practice, and regulation was strongly supported in a 2019 consultation on regulatory options. An updated landscape map was designed to ease international implementation, and also to illustrate the level of consensus on these core principles from international standards bodies and other governments.


The UK government has worked in partnership with other countries and international organisations. Since 2018, DCMS have worked in partnership with ETSI (European Telecommunications Standards Institute), to develop Technical Specification 103 645 in February 2019, and European Standard (EN) 303 645 v2.1.1  in June 2020. These outputs are the product of intense feedback from representatives from up to 65 countries.


In addition, the UK government has worked in partnership with other governments to raise the profile of this issue and seek to deliver alignment and avoid fragmentation. In 2019, representatives from the UK, USA, New Zealand, Canada and Australia published a‘five country ministerial statement’ outlining their shared commitment to improving the security of IoT products in their respective domestic markets. Through the IoT Security Platform the UK government works foreign governments and industry members including Arcep (France), ISED (Canada), MCTPEN (Senegal), AGESIC (Uruguay), METI (Japan), New Zealand, NIST (USA).

Les dispositifs de l'Internet des objets (IdO) sont de plus en plus courants et sont utilisés dans des millions de foyers du monde entier; les prévisions sont variables mais les recherches suggèrent qu'il pourrait y avoir 75 milliards de dispositifs intelligents domestiques dans le monde d'ici à la fin de 2025. Beaucoup des dispositifs sur le marché ont encore des failles de base, telles que des mots de passe par défaut universels, ce qui les rend vulnérables à des attaques par déni de service distribué (DDoS). De même, un rapport de 2019 de l'IoTSF a montré que 87% des fabricants ayant participé à l'enquête n'avaient pas de politique de divulgation des failles coordonnée, ce qui les empêchait de répondre de manière adéquate à des failles susceptibles d'avoir des conséquences sur le monde réel. Les prévisions du nombre de dispositifs de l'IdO subissant une attaque sont en hausse; Kaspersky a ainsi identifié 105 millions d'attaques de points terminaux en 2019, une augmentation sensible par rapport aux 12 millions détectées au premier semestre 2018, ce qui souligne qu'une intervention d'urgence est nécessaire pour protéger la sécurité et la vie privée des consommateurs britanniques. Les propositions du gouvernement du Royaume-Uni sont conformes à des bonnes pratiques largement reconnues et le règlement projeté a bénéficié d'un fort soutien lors de la consultation tenue en 2019 sur les possibilités de réglementation. Un plan actualisé a été conçu pour faciliter la mise en œuvre internationale et aussi illustrer le niveau de consensus au sujet des principes fondamentaux obtenu des organismes internationaux à activité normative et des autres gouvernements. Le gouvernement britannique a travaillé sur ce sujet en partenariat avec d'autres pays et les organisations internationales. Le DCMS, en partenariat avec l'ETSI (Institut européen des normes de télécommunications), a élaboré la spécification technique 103 645 en 2019 et la Norme européenne (EN) 303 645 v2.1.1 en juin 2020. Ces résultats sont le fruit de nombreuses observations communiquées en retour par les représentants de 65 pays. De plus, le gouvernement britannique a collaboré avec d'autres gouvernements afin de mieux faire connaître ce sujet, d'améliorer l'harmonisation et d'éviter la fragmentation. En 2019, des représentants du Royaume-Uni, des États-Unis, de la Nouvelle-Zélande, du Canada et de l'Australie ont publié une "déclaration ministérielle de cinq pays" indiquant leur engagement commun à améliorer la sécurité des produits de l'IdO sur leurs marchés intérieurs. Par l'entremise de la IoT Security Platform (plate-forme de sécurité de l'IdO), le gouvernement britannique collabore avec des gouvernements étrangers et des membres de la branche de production, dont l'Arcep (France), ISDE (Canada), le MCTPEN (Sénégal), l'AGESIC (Uruguay), le METI (Japon), la Nouvelle-Zélande et le NIST (États-Unis); prévention des pratiques de nature à induire en erreur et protection des consommateurs.
Los dispositivos de la Internet de las cosas (IdC) se están convirtiendo en algo común en millones de hogares de todo el mundo y, aunque existen previsiones divergentes, hay investigaciones que sugieren que a finales de 2025 podría haber hasta 75.000 millones de dispositivos inteligentes conectados en los hogares de todo el planeta. Muchos de los dispositivos existentes en el mercado siguen teniendo fallas elementales, como contraseñas universales por defecto, lo que los hace vulnerables a los ataques de denegación de servicio distribuidos (DDoS, por su sigla en inglés). Asimismo, un informe de la Fundación para la Seguridad de la IdC de 2019 puso de manifiesto que el 87% de los fabricantes encuestados no aplicaba ninguna política coordinada de divulgación de vulnerabilidades, lo que supone una falta de capacidad para responder de forma adecuada a vulnerabilidades que pueden tener consecuencias en el mundo real. Las previsiones acerca del número de dispositivos de IdC que serán atacados seguirán en aumento, y en este sentido en 2019 Kaspersky detectó 105 millones de ataques contra puntos extremos de la IdC, lo que supone un importante incremento con respecto a los 12 millones detectados en la primera mitad de 2018. Esta evolución pone de manifiesto que se requiere intervenir de forma urgente para proteger la seguridad y la privacidad de los consumidores del Reino Unido. La reglamentación que propone el Gobierno del Reino Unido consiste en unas buenas prácticas que gozan de un amplio reconocimiento, y que además ha recibido un sólido respaldo mediante unas consultas celebradas en 2019 sobre las diversas posibilidades reglamentarias. Se diseñó un mapa actualizado para facilitar la puesta en práctica en el ámbito internacional, así como para ilustrar el grado de consenso del que gozan esos principios fundamentales por parte de los organismos internacionales de normalización y de otros Gobiernos. El Gobierno del Reino Unido ha trabajado en asociación con otros países y organizaciones internacionales. El DCMS trabajó desde 2018 en asociación con el Instituto Europeo de Normas de Telecomunicaciones (ETSI) hasta elaborar la Especificación Técnica 103 645 en febrero de 2019, y la Norma Europea (EN) 303 645 v2.1.1 en junio de 2020. Estos resultados son el fruto de la ingente cantidad de observaciones recibidas de representantes de hasta 65 países. Además, el Gobierno del Reino Unido ha trabajado en asociación con otros Gobiernos para dar un mayor relieve a esta cuestión, y con ello tratar de lograr resultados compatibles y evitar fragmentaciones. En 2019, representantes del Reino Unido, los Estados Unidos, Nueva Zelandia, el Canadá y Australia publicaron una comunicación ministerial de cinco países donde expusieron su compromiso común para mejorar la seguridad de los productos de IdC en sus respectivos mercados internos. A través de la Plataforma para la Seguridad de la IdC, el Gobierno del Reino Unido colabora con Gobiernos y miembros de la industria de otros países, por ejemplo Arcep (Francia), ISED (Canadá), MCTPEN (Senegal), AGESIC (Uruguay), METI (Japón), Nueva Zelandia y NIST (Estados Unidos); prevención de prácticas que pueden inducir a error y protección del consumidor.

Notification objective













Notified Under Article

 
 
 
 
 
 
 

Reasons for addendum/corrigendum

 
 
 
 
 
 
 
 

Related notifications