電源|IT|AV檢測(cè)事業(yè)部

2024年4月29日起英國(guó)即將強(qiáng)制執(zhí)行網(wǎng)絡(luò)安全PSTI法案：

根據(jù)英國(guó)在2023年4月29日頒布的《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案2023》，英國(guó)將在2024年4月29日起開始強(qiáng)制執(zhí)行聯(lián)網(wǎng)消費(fèi)設(shè)備的網(wǎng)絡(luò)安全要求，適用于英格蘭、蘇格蘭、威爾士、北愛爾蘭。截止目前，距離現(xiàn)在只有短短3個(gè)多月時(shí)間了，各大出口英國(guó)市場(chǎng)的制造廠商需要盡快完成PSTI認(rèn)證，以確保順利進(jìn)入英國(guó)市場(chǎng)。

 

PSTI法案詳細(xì)介紹如下：

英國(guó)消費(fèi)者可連接產(chǎn)品安全制度將于 2024 年 4 月 29 日生效并強(qiáng)制執(zhí)行。從該日期起，法律將要求英國(guó)消費(fèi)者可連接產(chǎn)品的制造商遵守最低安全要求。這些最低安全要求基于英國(guó)消費(fèi)者物聯(lián)網(wǎng)安全實(shí)踐準(zhǔn)則、全球領(lǐng)先的消費(fèi)者物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)ETSI EN 303 645，以及英國(guó)網(wǎng)絡(luò)威脅技術(shù)權(quán)威機(jī)構(gòu)國(guó)家網(wǎng)絡(luò)安全中心的建議。該制度還將確保這些產(chǎn)品供應(yīng)鏈中的其他企業(yè)發(fā)揮作用，防止不安全的消費(fèi)品出售給英國(guó)消費(fèi)者和企業(yè)。

該制度包括兩項(xiàng)立法：

● 2022 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施 ( PSTI ) 法案第 1 部分；

● 2023 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施（相關(guān)可連接產(chǎn)品的安全要求）法案。

 

PSTI法案發(fā)布和執(zhí)行時(shí)間軸:

PSTI法案于 2022 年 12 月獲得批準(zhǔn)。政府于 2023 年 4 月發(fā)布了PSTI （相關(guān)可連接產(chǎn)品的安全要求）法案的完整草案，這些法案于2023年 9 月 14 日簽署成為法律。消費(fèi)者可連接產(chǎn)品安全制度將于 2024 年 4 月 29 日生效。

 

PSTI法案文件：

1. 英國(guó)產(chǎn)品安全和電信基礎(chǔ)設(shè)施（產(chǎn)品安全）PSTI法案 The UK Product Security and Telecommunications Infrastructure (Product Security) regime.

https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime

 

2. 2022 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案 Product Security and Telecommunications Infrastructure Act 2022

https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted

 

3. 2023 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施（相關(guān)可連接產(chǎn)品的安全要求）法案 The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023

https://www.legislation.gov.uk/uksi/2023/1007/contents/made

 

英國(guó)PSTI法案覆蓋產(chǎn)品范圍：

PSTI管控產(chǎn)品范圍：

包括互聯(lián)網(wǎng)連接的產(chǎn)品，但不僅限于互聯(lián)網(wǎng)連接的產(chǎn)品，典型的產(chǎn)品包括：智能電視、IP攝像機(jī)、路由器、智能照明和家用產(chǎn)品等等。

不在PSTI管控范圍的產(chǎn)品Schedule 3 Excepted connectable products：

包括計(jì)算機(jī)（a) 臺(tái)式電腦；(b) 筆記本電腦；(c) 不具備連接蜂窩網(wǎng)絡(luò)能力的平板電腦（根據(jù)制造商的預(yù)期用途，專為14歲以下兒童設(shè)計(jì)的，不屬于例外產(chǎn)品）、醫(yī)療產(chǎn)品、智能電表產(chǎn)品、電動(dòng)汽車充電器，及藍(lán)牙一對(duì)一連接產(chǎn)品。請(qǐng)注意，這些產(chǎn)品也可能有網(wǎng)絡(luò)安全要求，但不在PSTI法案管控范圍，而是可能由其它法案管控。

 

英國(guó)PSTI法案具體要求：

PSTI法案對(duì)網(wǎng)絡(luò)安全的要求主要分為三個(gè)方面：

1. 通用默認(rèn)密碼安全

2. 弱點(diǎn)報(bào)告管理與執(zhí)行

3. 軟件更新

這些要求可以根據(jù)PSTI法案直接進(jìn)行評(píng)估，也可以通過引用消費(fèi)者物聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)ETSI EN 303 645進(jìn)行評(píng)估來證明產(chǎn)品符合PSTI法案。也就是說，滿足ETSI EN 303 645 標(biāo)準(zhǔn)的三個(gè)章節(jié)和項(xiàng)目的要求就等同于符合英國(guó)PSTI法案的要求。

 

ETSI EN 303 645針對(duì)物聯(lián)網(wǎng)產(chǎn)品安全及隱私的標(biāo)準(zhǔn)，含如下13類要求：

1. 通用默認(rèn)密碼安全

2. 弱點(diǎn)報(bào)告管理與執(zhí)行

3. 軟件更新

4. 機(jī)敏安全參數(shù)保存

5. 通訊安全

6. 減少暴露攻擊面

7. 保護(hù)個(gè)人資料

8. 軟件完整性

9. 系統(tǒng)抗中斷能力

10. 檢查系統(tǒng)遙測(cè)數(shù)據(jù)

11. 方便使用者刪除個(gè)人資料

12. 簡(jiǎn)化設(shè)備安裝和維護(hù)

13. 驗(yàn)證輸入數(shù)據(jù)

 

PSTI法案和 ETSI EN 303 645測(cè)試流程:

 

如何證明符合英國(guó)PSTI法案要求?

最低要求是滿足PSTI法案關(guān)于密碼、軟件維護(hù)周期和漏洞報(bào)告的三個(gè)要求，并對(duì)這些要求提供評(píng)估報(bào)告等技術(shù)文件，同時(shí)進(jìn)行符合性自我聲明。我們建議采用ETSI EN 303 645進(jìn)行英國(guó)PSTI法案的評(píng)估。這也是同時(shí)在為滿足歐盟CE RED指令的網(wǎng)絡(luò)安全要求將于2025年8月1日開始強(qiáng)制執(zhí)行最好鋪墊作用！