随着全球范围内消费类物联网设备(IoT设备)在我们身边日益广泛的应用以及普及,IoT设备终端收到网络攻击指数越来越多,消费者对网络安全和隐私保护意识在逐渐增强,品牌商的网络安全和数据保护已提升到了战略地位。网络安全法规强制性化已渐成趋势,各个国家纷纷出台了网络安全法规,例如中国、欧盟、英国、新加坡、巴西、日本以及美国都已经提上了日程,以增强市场物联网产品规范化管理。
在传统电子电气产品方面,目前已经有电气安全、电磁兼容、无线、能效以及化学相关的强制性法规要求,未来1-2年,IoT产品会增加网络安全以及数据保护的要求。
2022年12月,英国政府正式通过了《产品安全和电信基础设施法案2022》(Product Security and Telecommunications Infrastructure Act 2022,简称PSTI),并将于2024年4月29日强制实施。适用范围包括英格兰和威尔士、苏格兰和北爱尔兰。
哪些产品在PSTI范围里面?
参考文件
UK GOV 发布的 PSTI 文件:
Product Security and Telecommunications Infrastructure Act 2022,CHAPTER 1- SecuritY REOUIREMENTS -Security requirements relating to products.
下载链接:
以上链接中文件详细的描述了管控产品的相关要求,同时您还可以查阅以下链接的解读进行参考:
https://www.gov.uk/guidance/the-product-security-and-telecommunications infrastructure-psti-bill-product-security factsheet 中的“Products that will be included in the Bill”。
受管控产品范围主要包括:
绝大多数的消费类物联网产品,例如智能手机、智能家电、智能家居助手、路由器、摄像头、智能门锁、警报系统、智能家庭集线器和语音助手、可穿戴健身追踪器、户外休闲产品、可联网儿童玩具和婴儿监视器等。
豁免产品范围主要包括:
台式机和笔记本电脑(专为14 岁或以下儿童设计使用的台式机和及笔记本电脑)、车辆、智能电表、电动汽车充电点和医疗设备。
义务主体
相关产品的制造商、进口商以及经销商。
如果不做 PSTI 认证有何惩罚?
违规企业最高将被处以 1000 万英镑或其全球营业额 4% 的罚款。此外,违规产品也将被召回,并将违规信息公开。
如下为GOV UK 官网截图:
法案要求及参照标准
根据 UK GOV 发布关于 PSTI 的文件,如文件:The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023 的 Schedule 2 内容所示,PSTI目前评估产品是否符合现阶段 PSTI 有如下三个管控要求,同时法规文件也指出此三个管控要求的参考标准分别是:EN 303 645 : 5.1-1,5.1-2,5.2.-1 和 5.3-13。
1
禁止通用默认密码
ETSI EN 303 645 provisions 5.1-1 and 5.1-2
2
实施漏洞披露管理
ETSI EN 303 645 provisions 5.2-1
3
要求对产品最短安全更新时间周期保持透明
ETSI EN 303 645 provision 5.3-13
ETSI EN 303 645为物联网连接的消费设备建立了新的网络安全全球通用标准,使产品能够抵挡严重的网络安全威胁,并符合GDPR的要求,保护个人资料及消费者隐私。
在强制日期到来之前,制造商要确保设计的产品符合标准要求后再投入生产从而进入市场,5168CC银河建议相关厂家在产品开发过程中尽早了解相关法律法规,以便更好地规划产品设计、生产和出海,确保产品符合安全标准。
如果您对PSTI法规及管控产品类别有任何疑问,欢迎通过以下渠道联系咨询我们:
服务热线:+86-0755-26954280
E-mail:cs.rep@emtek.com.cn
EMTEK5168CC银河依托强大的检测能力和国内外权威机构、品牌客户的广泛认可,长期以来为广大客户的产品提供专业的咨询服务、技术支持和检测认证服务,助力企业经济高效取得各国认证,提升产品质量、降低违规风险,提升品牌信誉,强化竞争优势,轻松快速进驻目标国际市场。
EMTEK