隨著全球范圍內(nèi)消費(fèi)類(lèi)物聯(lián)網(wǎng)設(shè)備(IoT設(shè)備)在我們身邊日益廣泛的應(yīng)用以及普及,IoT設(shè)備終端收到網(wǎng)絡(luò)攻擊指數(shù)越來(lái)越多,消費(fèi)者對(duì)網(wǎng)絡(luò)安全和隱私保護(hù)意識(shí)在逐漸增強(qiáng),品牌商的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)已提升到了戰(zhàn)略地位。網(wǎng)絡(luò)安全法規(guī)強(qiáng)制性化已漸成趨勢(shì),各個(gè)國(guó)家紛紛出臺(tái)了網(wǎng)絡(luò)安全法規(guī),例如中國(guó)、歐盟、英國(guó)、新加坡、巴西、日本以及美國(guó)都已經(jīng)提上了日程,以增強(qiáng)市場(chǎng)物聯(lián)網(wǎng)產(chǎn)品規(guī)范化管理。
在傳統(tǒng)電子電氣產(chǎn)品方面,目前已經(jīng)有電氣安全、電磁兼容、無(wú)線、能效以及化學(xué)相關(guān)的強(qiáng)制性法規(guī)要求,未來(lái)1-2年,IoT產(chǎn)品會(huì)增加網(wǎng)絡(luò)安全以及數(shù)據(jù)保護(hù)的要求。
2022年12月,英國(guó)政府正式通過(guò)了《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案2022》(Product Security and Telecommunications Infrastructure Act 2022,簡(jiǎn)稱PSTI),并將于2024年4月29日強(qiáng)制實(shí)施。適用范圍包括英格蘭和威爾士、蘇格蘭和北愛(ài)爾蘭。
哪些產(chǎn)品在PSTI范圍里面?
參考文件
UK GOV 發(fā)布的 PSTI 文件:
Product Security and Telecommunications Infrastructure Act 2022,CHAPTER 1- SecuritY REOUIREMENTS -Security requirements relating to products.
下載鏈接:
以上鏈接中文件詳細(xì)的描述了管控產(chǎn)品的相關(guān)要求,同時(shí)您還可以查閱以下鏈接的解讀進(jìn)行參考:
https://www.gov.uk/guidance/the-product-security-and-telecommunications infrastructure-psti-bill-product-security factsheet 中的“Products that will be included in the Bill”。
受管控產(chǎn)品范圍主要包括:
絕大多數(shù)的消費(fèi)類(lèi)物聯(lián)網(wǎng)產(chǎn)品,例如智能手機(jī)、智能家電、智能家居助手、路由器、攝像頭、智能門(mén)鎖、警報(bào)系統(tǒng)、智能家庭集線器和語(yǔ)音助手、可穿戴健身追蹤器、戶外休閑產(chǎn)品、可聯(lián)網(wǎng)兒童玩具和嬰兒監(jiān)視器等。
豁免產(chǎn)品范圍主要包括:
臺(tái)式機(jī)和筆記本電腦(專(zhuān)為14 歲或以下兒童設(shè)計(jì)使用的臺(tái)式機(jī)和及筆記本電腦)、車(chē)輛、智能電表、電動(dòng)汽車(chē)充電點(diǎn)和醫(yī)療設(shè)備。
義務(wù)主體
相關(guān)產(chǎn)品的制造商、進(jìn)口商以及經(jīng)銷(xiāo)商。
如果不做 PSTI 認(rèn)證有何懲罰?
違規(guī)企業(yè)最高將被處以 1000 萬(wàn)英鎊或其全球營(yíng)業(yè)額 4% 的罰款。此外,違規(guī)產(chǎn)品也將被召回,并將違規(guī)信息公開(kāi)。
如下為GOV UK 官網(wǎng)截圖:
法案要求及參照標(biāo)準(zhǔn)
根據(jù) UK GOV 發(fā)布關(guān)于 PSTI 的文件,如文件:The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023 的 Schedule 2 內(nèi)容所示,PSTI目前評(píng)估產(chǎn)品是否符合現(xiàn)階段 PSTI 有如下三個(gè)管控要求,同時(shí)法規(guī)文件也指出此三個(gè)管控要求的參考標(biāo)準(zhǔn)分別是:EN 303 645 : 5.1-1,5.1-2,5.2.-1 和 5.3-13。
1
禁止通用默認(rèn)密碼
ETSI EN 303 645 provisions 5.1-1 and 5.1-2
2
實(shí)施漏洞披露管理
ETSI EN 303 645 provisions 5.2-1
3
要求對(duì)產(chǎn)品最短安全更新時(shí)間周期保持透明
ETSI EN 303 645 provision 5.3-13
ETSI EN 303 645為物聯(lián)網(wǎng)連接的消費(fèi)設(shè)備建立了新的網(wǎng)絡(luò)安全全球通用標(biāo)準(zhǔn),使產(chǎn)品能夠抵擋嚴(yán)重的網(wǎng)絡(luò)安全威脅,并符合GDPR的要求,保護(hù)個(gè)人資料及消費(fèi)者隱私。
在強(qiáng)制日期到來(lái)之前,制造商要確保設(shè)計(jì)的產(chǎn)品符合標(biāo)準(zhǔn)要求后再投入生產(chǎn)從而進(jìn)入市場(chǎng),信測(cè)標(biāo)準(zhǔn)建議相關(guān)廠家在產(chǎn)品開(kāi)發(fā)過(guò)程中盡早了解相關(guān)法律法規(guī),以便更好地規(guī)劃產(chǎn)品設(shè)計(jì)、生產(chǎn)和出海,確保產(chǎn)品符合安全標(biāo)準(zhǔn)。
如果您對(duì)PSTI法規(guī)及管控產(chǎn)品類(lèi)別有任何疑問(wèn),歡迎通過(guò)以下渠道聯(lián)系咨詢我們:
服務(wù)熱線:+86-0755-26954280
E-mail:cs.rep@emtek.com.cn
EMTEK信測(cè)標(biāo)準(zhǔn)依托強(qiáng)大的檢測(cè)能力和國(guó)內(nèi)外權(quán)威機(jī)構(gòu)、品牌客戶的廣泛認(rèn)可,長(zhǎng)期以來(lái)為廣大客戶的產(chǎn)品提供專(zhuān)業(yè)的咨詢服務(wù)、技術(shù)支持和檢測(cè)認(rèn)證服務(wù),助力企業(yè)經(jīng)濟(jì)高效取得各國(guó)認(rèn)證,提升產(chǎn)品質(zhì)量、降低違規(guī)風(fēng)險(xiǎn),提升品牌信譽(yù),強(qiáng)化競(jìng)爭(zhēng)優(yōu)勢(shì),輕松快速進(jìn)駐目標(biāo)國(guó)際市場(chǎng)。
EMTEK