注意:2024年4月29日起,英国即将强制执行网络安全PSTI法案!
以下文章带您更好的了解网络安全法规主要内容
根据英国在2023年4月29日颁布的《产品安全和电信基础设施法案2023》,英国将在2024年4月29日起开始强制执行联网消费设备的网络安全要求,适用于英格兰、苏格兰、威尔士、北爱尔兰。截止目前,距离现在只有短短1个多月时间了,各大出口英国市场的制造厂商需要尽快完成PSTI认证,以确保顺利进入英国市场。
1.PSTI法案介绍:
英国消费者可连接产品安全制度将于2024 年 4 月 29 日生效并强制执行。从该日期起,法律将要求英国消费者可连接产品的制造商遵守z低安全要求。这些z低安全要求基于英国消费者物联网安全实践准则、全球的消费者物联网安全标准ETSI EN 303 645,以及英国网络威胁技术q威机构***网络安全中心的建议。该制度还将确保这些产品供应链中的其他企业发挥作用,防止不安全的消费品出售给英国消费者和企业。
2.关于ETSI EN 303 645:
ETSI EN 303 645标准于2020年发布,并迅速成为欧洲以外国际上使用z多的物联网设备网络安全评估标准。使用ETSI EN 303 645 标准是一种务实的的网络安全评估方法, 这种评估方式既确保了良好的基础安全水平,同时也构成了几个认证方案的基础。2023年,该标准也被IECEE正式接受用于电气产品国际性认证方案CB方案的发证标准。
ETSI EN 303 645针对物联网产品安全及隐私的标准,含如下13类要求:
1) 通用默认密码安全 2) 弱点报告管理与执行 3) 软件更新 4) 机敏安全参数保存 5) 通讯安全 6) 减少暴露攻击面 7) 保护个人资料 8) 软件完整性 9) 系统抗中断能力 10) 检查系统遥测数据 11) 方便使用者删除个人资料 12) 简化设备安装和维护 13) 验证输入数据。
3.如何证明符合法规要求?
z低要求是满足PSTI法案关于密码、维护周期和漏洞报告的三个要求,并对这些要求进行符合性自我声明。
为了更好地向您的客户证明产品符合法规,并且如果您的目标市场不仅限于英国,那么比较合理的建议是使用国际标准进行评估。这也是同时在为满足欧盟将于2025年8月开始强制执行的网络安全要求而做准备的重要组成部分。
4.具体的要求:
PSTI法案对网络安全的要求主要分为三个方面:
1.通用默认密码安全
2. 弱点报告管理与执行
3. 软件更新
这些要求可以根据PSTI法案直接进行评估,也可以通过引用消费者物联网产品的网络安全标准ETSI EN 303 645进行评估来证明产品符合PSTI法案。也就是说,满足ETSI EN 303 645 标准的三个章节和项目的要求就等同于符合英国PSTI法案的要求。
5.适用的产品范围:
智能手机
连接的相机、电视和扬声器
连接的儿童玩具和婴儿监视器
连接安全相关产品,例如烟雾探测器和门锁
多个设备连接到的物联网基站和集线器
可戴连接健身追踪器
穿户外休闲产品,例如不可穿戴的手持连接 GPS 设备
连接的家庭自动化和警报系统
联网设备,例如洗衣机和冰箱
智能家居助手
某些产品将被排除在外,例如智能电表、医 疗设备、车辆和智能充电点(用于电动汽车)
6.PSTI法案和 ETSI EN 303 645测试流程:
(1)样品资料准备: 3套样品含主机和配件、无加密的软体、使用说明书/规格书/相关服务和登录账户等资料。
(2)测试环境建立:依据使用说明书建立测试环境。
(3)网络安全评估执行:文件审查和技术测试、检查供应商问卷和提供反馈。
(4)弱点修复:提供咨询服务,修复弱点问题。
(5)出具PSTI评估报告或ETSIEN 303645评估报告。