IT/AV终端检测认证事业部

2024年4月29日起英国即将强制执行网络安全PSTI法案：

根据英国在2023年4月29日颁布的《产品安全和电信基础设施法案2023》，英国将在2024年4月29日起开始强制执行联网消费设备的网络安全要求，适用于英格兰、苏格兰、威尔士、北爱尔兰。截止目前，距离现在只有短短3个多月时间了，各大出口英国市场的制造厂商需要尽快完成PSTI认证，以确保顺利进入英国市场。

PSTI法案详细介绍如下：

英国消费者可连接产品安全制度将于 2024 年 4 月 29 日生效并强制执行。从该日期起，法律将要求英国消费者可连接产品的制造商遵守最低安全要求。这些最低安全要求基于英国消费者物联网安全实践准则、全球领先的消费者物联网安全标准ETSI EN 303 645，以及英国网络威胁技术权威机构国家网络安全中心的建议。该制度还将确保这些产品供应链中的其他企业发挥作用，防止不安全的消费品出售给英国消费者和企业。

该制度包括两项立法：

● 2022 年产品安全和电信基础设施 ( PSTI ) 法案第 1 部分；

● 2023 年产品安全和电信基础设施（相关可连接产品的安全要求）法案。

PSTI法案发布和执行时间轴:

PSTI法案于 2022 年 12 月获得批准。政府于 2023 年 4 月发布了PSTI （相关可连接产品的安全要求）法案的完整草案，这些法案于2023年 9 月 14 日签署成为法律。消费者可连接产品安全制度将于 2024 年 4 月 29 日生效。

PSTI法案文件：

1. 英国产品安全和电信基础设施（产品安全）PSTI法案 The UK Product Security and Telecommunications Infrastructure (Product Security) regime.

https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime

2. 2022 年产品安全和电信基础设施法案 Product Security and Telecommunications Infrastructure Act 2022

https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted

3. 2023 年产品安全和电信基础设施（相关可连接产品的安全要求）法案 The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023

https://www.legislation.gov.uk/uksi/2023/1007/contents/made

英国PSTI法案覆盖产品范围：

PSTI管控产品范围：

包括互联网连接的产品，但不仅限于互联网连接的产品，典型的产品包括：智能电视、IP摄像机、路由器、智能照明和家用产品等等。

不在PSTI管控范围的产品Schedule 3 Excepted connectable products：

包括计算机（a) 台式电脑；(b) 笔记本电脑；(c) 不具备连接蜂窝网络能力的平板电脑（根据制造商的预期用途，专为14岁以下儿童设计的，不属于例外产品）、医疗产品、智能电表产品、电动汽车充电器，及蓝牙一对一连接产品。请注意，这些产品也可能有网络安全要求，但不在PSTI法案管控范围，而是可能由其它法案管控。

英国PSTI法案具体要求：

PSTI法案对网络安全的要求主要分为三个方面：

1. 通用默认密码安全

2. 弱点报告管理与执行

3. 软件更新

这些要求可以根据PSTI法案直接进行评估，也可以通过引用消费者物联网产品的网络安全标准ETSI EN 303 645进行评估来证明产品符合PSTI法案。也就是说，满足ETSI EN 303 645 标准的三个章节和项目的要求就等同于符合英国PSTI法案的要求。

ETSI EN 303 645针对物联网产品安全及隐私的标准，含如下13类要求：

1. 通用默认密码安全

2. 弱点报告管理与执行

3. 软件更新

4. 机敏安全参数保存

5. 通讯安全

6. 减少暴露攻击面

7. 保护个人资料

8. 软件完整性

9. 系统抗中断能力

10. 检查系统遥测数据

11. 方便使用者删除个人资料

12. 简化设备安装和维护

13. 验证输入数据

PSTI法案和 ETSI EN 303 645测试流程:

如何证明符合英国PSTI法案要求?

最低要求是满足PSTI法案关于密码、软件维护周期和漏洞报告的三个要求，并对这些要求提供评估报告等技术文件，同时进行符合性自我声明。我们建议采用ETSI EN 303 645进行英国PSTI法案的评估。这也是同时在为满足欧盟CE RED指令的网络安全要求将于2025年8月1日开始强制执行最好铺垫作用！