根據(jù)英國在2023年4月29日頒布的《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案2023》，英國將在2024年4月29日起開始強制執(zhí)行聯(lián)網(wǎng)消費設(shè)備的網(wǎng)絡(luò)安全要求，適用于英格蘭、蘇格蘭、威爾士、北愛爾蘭。截止目前，距離現(xiàn)在只有短短3個多月時間了，各大出口英國市場的制造廠商需要盡快完成PSTI認證，以確保順利進入英國市場。

一、PSTI法案詳細介紹如下
英國消費者可連接產(chǎn)品安全制度將于2024 年 4 月 29 日生效并強制執(zhí)行。從該日期起，法律將要求英國消費者可連接產(chǎn)品的制造商遵守最低安全要求。這些最低安全要求基于英國消費者物聯(lián)網(wǎng)安全實踐準則、全球領(lǐng)先的消費者物聯(lián)網(wǎng)安全標準ETSI EN 303 645，以及英國網(wǎng)絡(luò)威脅技術(shù)權(quán)威機構(gòu)國家網(wǎng)絡(luò)安全中心的建議。該制度還將確保這些產(chǎn)品供應(yīng)鏈中的其他企業(yè)發(fā)揮作用，防止不安全的消費品出售給英國消費者和企業(yè)。

該制度包括兩項立法
2022 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施 ( PSTI ) 法案第 1 部分
2023 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施（相關(guān)可連接產(chǎn)品的安全要求）法案

PSTI法案發(fā)布和執(zhí)行時間軸
PSTI法案于 2022 年 12 月獲得批準。政府于 2023 年 4 月發(fā)布了PSTI （相關(guān)可連接產(chǎn)品的安全要求）法案的完整草案，這些法案于2023年 9 月 14 日簽署成為法律。消費者可連接產(chǎn)品安全制度將于 2024 年 4 月 29 日生效。

二、PSTI法案文件
1. 英國產(chǎn)品安全和電信基礎(chǔ)設(shè)施（產(chǎn)品安全）PSTI法案 The UK Product Security and Telecommunications Infrastructure (Product Security) regime.
https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime

2. 2022 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案
Product Security and Telecommunications Infrastructure Act 2022
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted

3. 2023 年產(chǎn)品安全和電信基礎(chǔ)設(shè)施（相關(guān)可連接產(chǎn)品的安全要求）法案
The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023
https://www.legislation.gov.uk/uksi/2023/1007/contents/made

三、英國PSTI法案具體要求
PSTI法案對網(wǎng)絡(luò)安全的要求主要分為三個方面：
通用默認密碼安全
弱點報告管理與執(zhí)行
軟件更新

這些要求可以根據(jù)PSTI法案直接進行評估，也可以通過引用消費者物聯(lián)網(wǎng)產(chǎn)品的網(wǎng)絡(luò)安全標準ETSI EN 303 645進行評估來證明產(chǎn)品符合PSTI法案。也就是說，滿足ETSI EN 303 645 標準的三個章節(jié)和項目的要求就等同于符合英國PSTI法案的要求。

ETSI EN 303 645針對物聯(lián)網(wǎng)產(chǎn)品安全及隱私的標準，含如下13類要求：
1.通用默認密碼安全
2.弱點報告管理與執(zhí)行
3.軟件更新
4.機敏安全參數(shù)保存
5.通訊安全
6.減少暴露攻擊面
7.保護個人資料
8.軟件完整性
9.系統(tǒng)抗中斷能力
10.檢查系統(tǒng)遙測數(shù)據(jù)
11.方便使用者刪除個人資料
12.簡化設(shè)備安裝和維護
13.驗證輸入數(shù)據(jù)

PSTI法案和 ETSI EN 303 645測試流程：



四、如何證明符合英國PTSI法案要求
最低要求是滿足PSTI法案關(guān)于密碼、軟件維護周期和漏洞報告的三個要求，并對這些要求提供評估報告等技術(shù)文件，同時進行符合性自我聲明。我們建議采用ETSI EN 303 645進行英國PSTI法案的評估。這也是同時在為滿足歐盟CE RED指令的網(wǎng)絡(luò)安全要求將于2025年8月1日開始強制執(zhí)行最好鋪墊作用！