一、产品网络安全法案PSTIAct 2022简介

英国已在2024年4月29日起开始强制执行联网消费设备的网络安全法案PSTIAct 2022，适用于英格兰、苏格兰、威尔士、北爱尔兰。凡是在管控范围内的产品需要尽快完成PSTI认证，以确保产品顺利进入英国市场。

义务主体:

相关产品的制造商、进口商和分销商必须遵守该法案的安全要求，有责任制作合规声明并保留适当的记录，调查合规失败等，须确保产品附有合规声明，并在出现合规失败的情况下采取行动。

二、英国PSTI认证产品范围

包括大多数的物联网/联网产品，例如智能手机、智能家电、路由器、智能家居助理、可穿戴健身追踪器、户外休闲产品、联网儿童玩具和婴儿监视器等、有蜂窝连接的平板电脑，以及14岁儿童以下使用的计算机(台式电脑、笔记本电脑等)，以及不能直接连接到互联网，但能同时连接到多个其他设备的产品，如智能照明器具、智能控制器、物联网基站等。

涉及产品类型：智能音箱、网络终端、家庭摄像头可穿戴设备、家庭智能网关、智能家庭打印机、智能门锁、家用联网传感器等等。

三、豁免产品:

14岁儿童以上使用的计算机(台式电脑、笔记本电脑)、无蜂窝连接的平板电脑、医疗设备、电动汽车充电桩和智能电表产品，以及供应北爱尔兰的符合相关立法规定的产品。

四、英国PSTI认证要求

PSTI认证对网络安全的要求主要分为三个方面：

1.禁止通用默认密码；

2.实施漏洞披露管理；

3.产品安全更新服务透明化。

这些要求可以根据PSTI认证直接进行评估，也可以通过引用消费者物联网产品的网络安全标准ETSIEN 303 645标准进行评估来证明产品符合PSTI认证。也就是说，满足ETSIEN 303 645标准的三个章节和项目的要求就等同于符合英国PSTI认证的要求。

五、PSTI法案和ETSIEN 30364标准测试流程

1.样品资料准备：

3套样品，含主机和配件、无加密的软体、使用说明书、规格书、相关服务和登录账户等资料。

2.测试环境建立：

依据使用说明书建立测试环境。

3.网络安全评估执行：

文件审查和技术测试、检查供应商问卷和提供反馈。

4.弱点修复：

提供咨询服务，修复弱点问题。

5.出具报告：

出具PSTI评估报告或ETSIEN 30364评估报告。