英国网络安全PSTI法案4月29日起强制执行
英国政府宣布PSTI法规即《产品安全和电信基础设施(相关可连接产品的安全要求)法规2023》于2023年9月14日正式立法,且宣布此PSTI安全制度将于2024年4月29日起生效,适用范围包括英格兰和威尔士、苏格兰和北爱尔兰。该法规在《产品安全和电信基础设施法案2022》基础上,规定了对向英国消费者提供产品的最低安全要求,基于ETSI EN 303 645 V2.1.1以及ISO/IEC 29147:2018《信息技术-安全技术-漏洞披露标准》(2018年第2版)两个标准,对密码、最短安全更新时间周期、如何报告安全问题等进行了相应的规定和要求。同时,该法规明确了以下要求:
视为符合安全要求的情况
排除在监管制度外的产品清单
合规性声明需要包含的信息
排除在监管制度外的产品清单包括计算机(台式电脑、笔记本电脑、没有蜂窝连接的平板电脑)、医疗设备、电动汽车充电桩和智能电表产品,以及供应北爱尔兰的符合相关立法规定的产品都不在范围内。
PSTI管控产品范围:
包括直接和间接连接互联网的产品,典型的产品包括:智能手机,智能家电,路由器,有蜂窝连接的平板电脑和婴儿监视器等等。
PSTI法案对网络安全的要求主要分为三个方面:
1.通用默认密码安全,对应EN 303 645章节5.1-1和5.1-2
2.弱点报告管理与执行,对应EN 303 645章节5.2-1
3.软件更新,对应EN 303 645章节5.3-13
这些要求可以根据PSTI法案直接进行评估,也可以通过引用消费者物联网产品的网络安全标准ETSI EN 303 645进行评估来证明产品符合PSTI法案。也就是说,满足ETSI EN 303 645 标准的三个项目的要求就等同于符合英国PSTI法案的要求。
详情可见官网原文:The UK Product Security and Telecommunications Infrastructure (Product Security) regime - GOV.UK (www.gov.uk)