英國網(wǎng)絡(luò)安全PSTI法規(guī)發(fā)布有哪些要求？英國產(chǎn)品安全和電信基礎(chǔ)設(shè)施（產(chǎn)品安全）制度。英國的消費(fèi)者可連接產(chǎn)品安全制度于2024年4月29日生效。

相關(guān)政策網(wǎng)站鏈接：https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime

相關(guān)政策文件：
2022年產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案-第1部分
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
與《2022年產(chǎn)品安全和電信基礎(chǔ)設(shè)施法》有關(guān)的解釋性說明
https://www.legislation.gov.uk/ukpga/2022/46/notes/division/1/index.htm
二零二三年產(chǎn)品保安及電訊基礎(chǔ)設(shè)施（有關(guān)連接產(chǎn)品保安規(guī)定）條例
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
二零二三年產(chǎn)品保安及電訊基礎(chǔ)設(shè)施（有關(guān)連接產(chǎn)品保安規(guī)定）條例的解釋備忘錄
https://www.legislation.gov.uk/uksi/2023/1007/pdfs/uksiem_20231007_en_001.pdf
ETSI EN 303 645:消費(fèi)者物聯(lián)網(wǎng)的網(wǎng)絡(luò)安全：基準(zhǔn)要求
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf

法律現(xiàn)在要求英國消費(fèi)者連接產(chǎn)品（或“智能”產(chǎn)品）的制造商遵守該法規(guī)定的相關(guān)義務(wù)，包括確保他們和他們的產(chǎn)品達(dá)到相關(guān)最低安全要求。

該制度由兩項(xiàng)立法組成：
產(chǎn)品安全和電信基礎(chǔ)設(shè)施的第1部分（PSTI）第2022號法令；
《2023年產(chǎn)品安全和電信基礎(chǔ)設(shè)施（相關(guān)可連接產(chǎn)品的安全要求）條例》。

PSTI法案于2022年12月獲準(zhǔn)。政府在2023年4月發(fā)表了一份完整的草案PSTI（相關(guān)可連接產(chǎn)品的安全要求）條例》。這些條例于2023年9月14日簽署成為法律。強(qiáng)調(diào)了企業(yè)在尋求遵守該制度時(shí)應(yīng)考慮的關(guān)鍵條款。

相關(guān)的可連接產(chǎn)品
該法案中規(guī)定了有關(guān)人員須履行特定義務(wù)的條件。如果這些條件或責(zé)任本身與“相關(guān)可連接產(chǎn)品”相關(guān)，則該法案第4條規(guī)定了該術(shù)語的定義。如果產(chǎn)品是互聯(lián)網(wǎng)連接產(chǎn)品或網(wǎng)絡(luò)連接產(chǎn)品，則該產(chǎn)品是相關(guān)可連接產(chǎn)品，而不是“例外產(chǎn)品”。
因此，尋求確定產(chǎn)品是否為“相關(guān)可連接產(chǎn)品”的制造商應(yīng)審查法案第5條中規(guī)定的“互聯(lián)網(wǎng)可連接產(chǎn)品”和“網(wǎng)絡(luò)可連接產(chǎn)品”的定義，以及條例附表3中指定為“例外產(chǎn)品”的產(chǎn)品。
安全需求

安全需求是供應(yīng)鏈中相關(guān)業(yè)務(wù)必須采取的行動，“相關(guān)可連接產(chǎn)品”必須滿足的，以解決安全問題或消除潛在的安全漏洞。

2023法規(guī)的附表1列出了與“相關(guān)可連接產(chǎn)品”有關(guān)的必須遵守的具體要求。
1.密碼
每個產(chǎn)品的密碼必須是唯一的；或者能夠由產(chǎn)品的用戶定義。
條例附表1第1（3）段就每項(xiàng)產(chǎn)品的唯一密碼作出進(jìn)一步規(guī)定。它們不能基于增量計(jì)數(shù)器；基于或來源于公開信息的；基于或衍生自唯一產(chǎn)品標(biāo)識符，如序列號，除非使用加密方法或密鑰散列算法完成，這是公認(rèn)的良好行業(yè)慣例的一部分；否則很容易猜出來。
2.關(guān)于如何公布漏洞安全問題的信息
制造商必須提供有關(guān)如何向他們公布有關(guān)其產(chǎn)品漏洞安全問題的信息，實(shí)現(xiàn)一種方法來管理漏洞報(bào)告，做好漏洞披露政策，制造商還必須提供關(guān)于收到漏洞安全問題的確認(rèn)和狀態(tài)更新的時(shí)間長度的信息，直到公布的漏洞安全問題得到解決。
這種方法應(yīng)該以英文版本免費(fèi)提供，并且是可訪問的、清晰的和透明的。
3.關(guān)于最低安全更新期的信息

有關(guān)最低安全更新期的信息必須以可訪問的、清晰的和透明的方式公布并提供給消費(fèi)者。必須提供安全更新的最小時(shí)間長度以及結(jié)束日期。

符合性聲明
《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案2022》規(guī)定，符合性聲明（SoC）必須“伴隨”產(chǎn)品，并將SoC定義為“文件”。

該法案沒有定義術(shù)語“文件”或“附件”，因此在該制度范圍內(nèi)的每個企業(yè)必須確定他們將如何遵守與“相關(guān)可連接產(chǎn)品”的要求。制造商、進(jìn)口商和分銷商最終必須確保產(chǎn)品符合PSTI法案。

以上資料由環(huán)測威整理發(fā)布，如有疑問或需檢測認(rèn)證歡迎與環(huán)測威檢測直接溝通（4008-707-283）擁有自建實(shí)驗(yàn)室，為廣大客戶提供各行各業(yè)的檢測認(rèn)證服務(wù)，深受廣大客戶信賴。