根据《2023 年产品安全和电信基础设施法案》(PSTI)由英国于 2023 年 4 月 29 日发布,英国将从 2024 年 4 月 29 日开始对联网消费设备实施网络安全要求,适用于英格兰、苏格兰、威尔士和北爱尔兰。违规公司将面临高达 1000 万英镑或全球收入 4% 的罚款。
1.PSTI法案简介:
英国消费者连接产品安全政策将于 2024 年 4 月 29 日生效并执行。从该日期开始,法律将要求可连接到英国消费者的产品制造商遵守最低安全要求。这些最低安全要求基于英国消费者物联网安全实践指南、全球领先的消费者物联网安全标准 ETSI EN 303 645 以及英国网络威胁技术权威机构国家网络安全中心的建议。该系统还将确保这些产品供应链中的其他企业发挥作用,防止不安全的消费品出售给英国消费者和企业。
该制度包括两项立法:
1) 2022 年《产品安全和电信基础设施 (PSTI) 法案》第 1 部分;
2) 2023 年《产品安全和电信基础设施(相关互联产品的安全要求)法案》。
2. PSTI 法案涵盖的产品范围:
1)PSTI管制产品范围:
它包括但不限于互联网连接产品。典型产品包括:智能电视、IP摄像机、路由器、智能照明和家居产品。
2)不在PSTI管制范围内的产品:
包括计算机 (a) 台式计算机; (b) 笔记本电脑; (c) 不具备连接蜂窝网络能力的平板电脑(根据制造商的预期用途专门为 14 岁以下儿童设计,不例外)、医疗产品、智能电表产品、电动汽车充电器和蓝牙一类产品一对一连接产品。请注意,这些产品可能也有网络安全要求,但它们不受 PSTI 法案涵盖,可能受其他法律监管。
3. PSTI法案应遵循的三个要点:
PSTI法案包括两个主要部分:产品安全要求和电信基础设施指南。对于产品安全,有以下三个重点需要特别关注:
1) 密码要求,基于监管规定5.1-1、5.1-2。 PSTI 法案禁止使用通用默认密码。这意味着产品必须设置唯一的默认密码或要求用户在首次使用时设置密码。
2)安全管理问题,基于监管规定5.2-1,制造商需要制定并公开披露漏洞披露政策,以确保发现漏洞的个人能够通知制造商,并确保制造商能够及时通知客户并提供修复措施。
3)安全更新周期,根据监管规定5.3-13,制造商需要明确并披露其提供安全更新的最短时间周期,以便消费者了解其产品的安全更新支持周期。
4. PSTI法案和ETSI EN 303 645测试流程:
1)样本数据准备:3套样本,包括主机及配件、未加密软件、用户手册/规格书/相关服务、登录账户信息
2)测试环境建立:根据用户手册建立测试环境
3)网络安全评估执行:文件审核和技术测试,检查供应商调查问卷,并提供反馈
4)弱点修复:提供咨询服务,修复弱点问题
5)提供PSTI评估报告或ETSI EN 303645评估报告
5. PSTI 法案文件:
1)英国产品安全和电信基础设施(产品安全)制度。
https://www.gov.uk/government/publications/the-uk-product-security-and- te communications-infrastruct-product-security-regime
2)2022 年产品安全和电信基础设施法案
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
3) 2023 年产品安全和电信基础设施(相关可连接产品的安全要求)法规
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
截至目前,距离该计划还有不到2个月的时间。建议出口英国市场的各大制造商尽快完成PSTI认证,以确保顺利进入英国市场。
发布时间:2024年3月11日
