根据英国于2023年4月29日发布的《2023年产品安全和电信基础设施法案》,英国将从2024年4月29日开始对联网消费设备强制执行网络安全要求,适用于英格兰、苏格兰、威尔士和北爱尔兰。截至目前,仅过去了短短3个多月的时间,出口英国市场的各大制造商需要尽快完成PSTI认证,以确保顺利进入英国市场。自公告之日起至实施之日,预计有12个月的宽限期。
1.PSTI法案文件:
①英国产品安全和电信基础设施(产品安全)制度。
https://www.gov.uk/government/publications/the-uk-product-security-and-te communications-infrastruct-product-security-regime
②《2022 年产品安全和电信基础设施法案》。https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
③《2023 年产品安全和电信基础设施(相关可连接产品的安全要求)条例》。https://www.legislation.gov.uk/uksi/2023/1007/contents/made
2. 该法案分为两部分:
第1部分:关于产品安全要求
英国政府2023年提出的《产品安全和电信基础设施(相关互联产品的安全要求)条例》草案。该草案针对制造商、进口商和分销商作为义务实体提出的要求,并有权处以罚款对违规者处以最高 1000 万英镑或公司全球收入的 4%。继续违反规定的公司还将被处以每天2万英镑的额外罚款。
第 2 部分:电信基础设施指南,旨在加速此类设备的安装、使用和升级
本节要求物联网制造商、进口商和分销商遵守特定的网络安全要求。它支持引入高达千兆位的宽带和 5G 网络,以保护公民免受不安全的消费者连接设备带来的风险。
《电子通信法》规定网络运营商和基础设施提供商有权在公共和私人土地上安装和维护数字通信基础设施。 2017年《电子通信法》的修订使得数字基础设施的部署、维护和升级变得更加便宜和容易。 PSTI法案草案中与电信基础设施相关的新措施是基于修订后的2017年电子通信法,这将有助于确保面向未来的千兆宽带和5G网络的推出。
PSTI 法案是对 2022 年产品安全和通信基础设施法案第 1 部分的补充,该法案规定了向英国消费者提供产品的最低安全要求。基于ETSI EN 303 645 v2.1.1,第5.1-1、5.1-2、5.2-1和5.3-13节以及ISO/IEC 29147:2018标准,针对密码、最低安全性提出了相应的法规和要求更新时间周期,以及如何报告安全问题。
涉及产品范围:
联网安全相关产品,例如烟雾探测器、火灾探测器和门锁、联网家庭自动化设备、智能门铃和报警系统、连接多个设备的物联网基站和集线器、智能家居助理、智能手机、联网摄像头(IP 和CCTV)、可穿戴设备、联网冰箱、洗衣机、冰柜、咖啡机、游戏控制器和其他类似产品。
豁免产品范围:
在北爱尔兰销售的产品、智能电表、电动汽车充电点和医疗设备,以及14岁以上使用的平板电脑。
3.物联网产品安全和隐私的ETSI EN 303 645标准包括以下13类要求:
1) 通用默认密码安全
2) 弱点报告管理和执行
3)软件更新
4)智能安全参数保存
5)通讯安全
6)减少攻击面暴露
7) 保护个人信息
8) 软件完整性
9)系统抗干扰能力
10) 检查系统遥测数据
11)方便用户删除个人信息
12)简化设备安装和维护
13) 验证输入数据
票据要求及对应2个标准
禁止通用默认密码 - ETSI EN 303 645 规定 5.1-1 和 5.1-2
实施漏洞报告管理方法的要求 - ETSI EN 303 645 规定 5.2-1
ISO/IEC 29147 (2018) 第 6.2 条
要求产品的最小安全更新时间周期透明 - ETSI EN 303 645 规定 5.3-13
PSTI要求产品必须满足以上三项安全标准才可以投放市场。相关产品的制造商、进口商和分销商必须遵守本法的安全要求。制造商和进口商必须确保其产品附有合规声明,并在合规失败时采取行动,保存调查记录等。否则,违规者将被处以最高1000万英镑或公司全球收入4%的罚款。
4.PSTI法案和ETSI EN 303 645测试流程:
1)样本数据准备
3套样品,包括主机及配件、未加密软件、用户手册/规格书/相关服务、登录账户信息
2)测试环境搭建
根据用户手册搭建测试环境
3)网络安全评估执行:
文件审查和技术测试、供应商调查问卷检查并提供反馈
4)弱点修复
提供咨询服务以解决薄弱问题
5)提供PSTI评估报告或ETSIEN 303645评估报告
5.如何证明符合英国PSTI法案的要求?
最低要求是满足PSTI法案中关于密码、软件维护周期和漏洞报告的三项要求,并针对这些要求提供评估报告等技术文件,同时做出符合性的自我声明。我们建议使用 ETSI EN 303 645 来评估英国 PSTI 法案。这也是为2025年8月1日起强制实施欧盟CE RED指令的网络安全要求做的最好的准备!
BTF检测实验室是经中国合格评定国家认可委员会(CNAS)认可的检测机构,编号:L17568。经过多年的发展,BTF拥有电磁兼容实验室、无线通信实验室、SAR实验室、安全实验室、可靠性实验室、电池测试实验室、化学测试等实验室。拥有完善的电磁兼容、射频、产品安全、环境可靠性、材料失效分析、ROHS/REACH等检测能力。 BTF检测实验室配备专业齐全的检测设施,经验丰富的检测认证专家团队,具备解决各种复杂检测认证问题的能力。我们坚持“公平、公正、准确、严谨”的指导原则,严格按照ISO/IEC 17025检测校准实验室管理体系的要求进行科学管理。我们致力于为客户提供最优质的服务。如果您有任何疑问,请随时与我们联系。
发布时间:2024年1月16日
