尽管欧盟在执行网络安全要求方面似乎拖拖拉拉,但英国不会。根据《2023年英国产品安全和电信基础设施条例》,从2024年4月29日开始,英国将开始对联网消费设备强制执行网络安全要求。
一、涉及产品
英国《2022年产品安全和电信基础设施条例》规定了需要网络安全控制的产品范围。当然,它包括具有互联网连接功能的产品,但不限于具有互联网连接功能的产品。典型产品包括智能电视、IP摄像机、路由器、智能照明和家居产品。
特别排除的产品包括计算机、医疗产品、智能电表产品和电动汽车充电器。请注意,这些产品也可能有网络安全要求,但它们不在 PSTI 法规范围内,可能受其他法规监管。
2、具体要求?
PSTI法规对网络安全的要求主要分为三个方面
密码
保养周期
漏洞报告
这些要求可以直接根据PSTI法规进行评估,也可以参考消费物联网产品的网络安全标准ETSI EN 303 645进行评估,以证明产品符合PSTI法规。也就是说,满足ETSI EN 303 645标准就相当于满足英国PSTI法规的要求。
3. 关于 ETSI EN 303 645
ETSI EN 303 645标准于2020年首次发布,并迅速成为欧洲以外国际上使用最广泛的物联网设备网络安全评估标准。使用ETSI EN 303 645标准是最实用的网络安全评估方法,它不仅保证了良好的基本安全水平,而且还构成了多种身份验证方案的基础。 2023年,该标准被IECEE正式接受为电气产品国际认证计划CB方案的认证标准。
4.如何证明符合监管要求?
最低要求是满足 PSTI 法案中有关密码、维护周期和漏洞报告的三项要求,并提供符合这些要求的自我声明。
为了更好地向您的客户证明遵守法规,并且如果您的目标市场不限于英国,那么使用国际标准进行评估是合理的。这也是准备满足欧盟将于 2025 年 8 月开始实施的网络安全要求的重要组成部分。
5. 确定您的产品是否在 PSTI 法规范围内?
我们与多个本地认可的权威实验室合作,为物联网设备提供本地化的网络信息安全评估、咨询和认证服务。我们的服务包括:
提供网络产品开发阶段的信息安全设计咨询和预检查。
提供评估以证明产品满足 RED 指令的网络安全要求
根据ETSI/EN 303 645或国家网络安全法规进行评估,并颁发合格证书或认证证书。
发布时间:2023年12月28日
