相关政策网站链接:https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2022年产品安全和电信基础设施法案-第1部分
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
与《2022年产品安全和电信基础设施法》有关的解释性说明
https://www.legislation.gov.uk/ukpga/2022/46/notes/division/1/index.htm
二零二三年产品保安及电讯基础设施(有关连接产品保安规定)条例
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
二零二三年产品保安及电讯基础设施(有关连接产品保安规定)条例的解释备忘录
https://www.legislation.gov.uk/uksi/2023/1007/pdfs/uksiem_20231007_en_001.pdf
ETSI EN 303 645:消费者物联网的网络安全:基准要求
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf
法律现在要求英国消费者连接产品(或“智能”产品)的制造商遵守该法规定的相关义务,包括确保他们和他们的产品达到相关最低安全要求。
产品安全和电信基础设施的第1部分(PSTI)第2022号法令;
《2023年产品安全和电信基础设施(相关可连接产品的安全要求)条例》。
PSTI法案于2022年12月获准。政府在2023年4月发表了一份完整的草案PSTI(相关可连接产品的安全要求)条例》。这些条例于2023年9月14日签署成为法律。强调了企业在寻求遵守该制度时应考虑的关键条款。
该法案中规定了有关人员须履行特定义务的条件。如果这些条件或责任本身与“相关可连接产品”相关,则该法案第4条规定了该术语的定义。如果产品是互联网连接产品或网络连接产品,则该产品是相关可连接产品,而不是“例外产品”。
因此,寻求确定产品是否为“相关可连接产品”的制造商应审查法案第5条中规定的“互联网可连接产品”和“网络可连接产品”的定义,以及条例附表3中指定为“例外产品”的产品。
安全需求
安全需求是供应链中相关业务必须采取的行动,“相关可连接产品”必须满足的,以解决安全问题或消除潜在的安全漏洞。
1.密码
每个产品的密码必须是唯一的;或者能够由产品的用户定义。
条例附表1第1(3)段就每项产品的唯一密码作出进一步规定。它们不能基于增量计数器;基于或来源于公开信息的;基于或衍生自唯一产品标识符,如序列号,除非使用加密方法或密钥散列算法完成,这是公认的良好行业惯例的一部分;否则很容易猜出来。
2.关于如何公布漏洞安全问题的信息
制造商必须提供有关如何向他们公布有关其产品漏洞安全问题的信息,实现一种方法来管理漏洞报告,做好漏洞披露政策,制造商还必须提供关于收到漏洞安全问题的确认和状态更新的时间长度的信息,直到公布的漏洞安全问题得到解决。
这种方法应该以英文版本免费提供,并且是可访问的、清晰的和透明的。
3.关于最低安全更新期的信息
有关最低安全更新期的信息必须以可访问的、清晰的和透明的方式公布并提供给消费者。必须提供安全更新的最小时间长度以及结束日期。
《产品安全和电信基础设施法案2022》规定,符合性声明(SoC)必须“伴随”产品,并将SoC定义为“文件”。
该法案没有定义术语“文件”或“附件”,因此在该制度范围内的每个企业必须确定他们将如何遵守与“相关可连接产品”的要求。制造商、进口商和分销商最终必须确保产品符合PSTI法案。
