英国网络安全PSTI法案具体标准及要求是什么?根据英国在2023年4月29日颁布的《产品安全和电信基础设施法案2023》,英国将在2024年4月29日起开始强制执行联网消费设备的网络安全要求,适用于英格兰、苏格兰、威尔士、北爱尔兰。截止目前,距离现在只有短短几天时间了,各大出口英国市场的制造厂商需要尽快完成PSTI认证,以确保顺利进入英国市场。
英国消费者可连接产品安全制度将于2024年4月29日生效并强制执行。从该日期起,法律将要求英国消费者可连接产品的制造商遵守最低安全要求。这些最低安全要求基于英国消费者物联网安全实践准则、全球领先的消费者物联网安全标准ETSI EN 303 645.以及英国网络威胁技术权威机构国家网络安全中心的建议。该制度还将确保这些产品供应链中的其他企业发挥作用,防止不安全的消费品出售给英国消费者和企业。
·PSTI管控产品范围:
包括互联网连接的产品,但不仅限于互联网连接的产品,典型的产品包括:智能电视、IP摄像机、路由器、智能照明和家用产品等等。
·不在PSTI管控范围的产品Schedule 3 Excepted connectable products:
包括计算机(a) 台式电脑;(b) 笔记本电脑;(c) 不具备连接蜂窝网络能力的平板电脑(根据制造商的预期用途,专为14岁以下儿童设计的,不属于例外产品)、医疗产品、智能电表产品、电动汽车充电器,及蓝牙一对一连接产品。请注意,这些产品也可能有网络安全要求,但不在PSTI法案管控范围,而是可能由其它法案管控。
如果不做 PSTI 认证有何惩罚?
违规企业最高将被处以 1000 万英镑或其全球营业额 4% 的罚款。此外,违规产品也将被召回,并将违规信息公开。
一、PSTI法案对网络安全的要求主要分为三个方面:
1.通用默认密码安全
2.弱点报告管理与执行
3.软件更新
这些要求可以根据PSTI法案直接进行评估,也可以通过引用消费者物联网产品的网络安全标准ETSI EN 303 645进行评估来证明产品符合PSTI法案。也就是说,满足ETSI EN 303 645 标准的三个章节和项目的要求就等同于符合英国PSTI法案的要求。
二、ETSI EN 303 645针对物联网产品安全及隐私的标准,含如下13类要求:
1)通用默认密码安全
2)弱点报告管理与执行
3)软件更新
4)机敏安全参数保存
5)通讯安全
6)减少暴露攻击面
7)保护个人资料
8)软件完整性
9)系统抗中断能力
10)检查系统遥测数据
11)方便使用者删除个人资料
12)简化设备安装和维护
13)验证输入数据
最低要求是满足PSTI法案关于密码、软件维护周期和漏洞报告的三个要求,并对这些要求提供评估报告等技术文件,同时进行符合性自我声明。我们建议采用ETSI EN 303 645进行英国PSTI法案的评估。这也是同时在为满足欧盟CE RED指令的网络安全要求将于2025年8月1日开始强制执行最好铺垫作用!
在强制日期到来之前,制造商要确保设计的产品符合标准要求后再投入生产从而进入市场,信恒检测建议相关厂家在产品开发过程中尽早了解相关法律法规,以便更好地规划产品设计、生产和出海,确保产品符合安全标准。
