英国政府于2022年12月通过了《产品安全和电信基础设施法案2022》(PSTI法案),旨在加强互联网接入产品的安全性和抵御网络攻击的能力,并将于2024年4月29日强制实施;
为了确保英国的产品安全和促进通信基础设施的发展。英国将于2024年4月29日强制实施《产品安全和电信基础设施法案2022》(PSTIA)。该法案主要针对大部分可联网的通信类产品或设备。适用于英格兰、苏格兰、威尔士、北爱尔兰地区。
PSTI法案的核心目的在于提高可连接互联网的产品的网络安全水平,保障消费者的利益。该法案要求所有在英国市场上销售的消费者互联网接入产品必须满足最低网络安全标准,以抵御网络攻击和保护用户数据。它不仅适用于制造商,也适用于进口商和分销商。违反这些要求的企业可能面临高达1000万英镑或其全球营业额4%的罚款。
该制度包括两项立法:
● 2022 年产品安全和电信基础设施 ( PSTI ) 法案第 1 部分;
● 2023 年产品安全和电信基础设施(相关可连接产品的安全要求)法案。
PSTI法案对网络安全要求主要为三个方面:
1. 通用默认密码安全
2. 弱点报告管理与执行
3. 软件更新
这些要求可以根据PSTI法案直接进行评估,也可以通过引用消费者物联网产品的网络安全标准ETSI EN 303 645进行评估来证明产品符合PSTI法案。也就是说,满足ETSI EN 303 645 标准的三个章节和项目的要求就等同于符合英国PSTI法案的要求。
ETSI EN 303645 针对物联网产品安全及隐私的标准,含以下13类要求:
1. 通用默认密码安全
2. 弱点报告管理与执行
3. 软件更新
4. 机敏安全参数保存
5. 通讯安全
6. 减少暴露攻击面
7. 保护个人资料
8. 软件完整性
9. 系统抗中断能力
10. 检查系统遥测数据
11. 方便使用者删除个人资料
12. 简化设备安装和维护
13. 验证输入数据
英国PSTI法案覆盖产品范围:(包括但不限于)
● 网络摄像头、智能门锁、报警系统、智能家居助手等;
● 智能手机、智能家电、可穿戴设备等;
● 不能直接连接到互联网但能连接到多个其他设备的产品,如智能照明器具、智能控制器等。
不适用产品:
包括计算机(a) 台式电脑;(b) 笔记本电脑;(c) 不具备连接蜂窝网络能力的平板电脑(根据制造商的预期用途,专为14岁以下儿童设计的,不属于例外产品)、医疗产品、智能电表产品、电动汽车充电器,及蓝牙一对一连接产品。
需注意,这些产品也可能有网络安全要求,只是不在PSTI法案管控范围,而是由其它法案管控。
相关文件:
The UK Product Security and Telecommunications Infrastructure (Product Security) regime.
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
Product Security and Telecommunications Infrastructure Act 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
