2024年4月29日起英国即将强制执行网络安全PSTI法案：

根据英国在2023年4月29日颁布的《产品安全和电信基础设施法案2023》，英国将在2024年4月29日起开始强制执行联网消费设备的网络安全要求，适用于英格兰、苏格兰、威尔士、北爱尔兰。截止目前，距离现在只有短短3个多月时间了，各大出口英国市场的制造厂商需要尽快完成PSTI认证，以确保顺利进入英国市场。

PSTI法案详细介绍如下：

英国消费者可连接产品安全制度将于 2024 年 4 月 29 日生效并强制执行。从该日期起，法律将要求英国消费者可连接产品的制造商遵守最低安全要求。这些最低安全要求基于英国消费者物联网安全实践准则、全球领先的消费者物联网安全标准ETSI EN 303 645，以及英国网络威胁技术权威机构国家网络安全中心的建议。该制度还将确保这些产品供应链中的其他企业发挥作用，防止不安全的消费品出售给英国消费者和企业。

该制度包括两项立法：

l  2022 年产品安全和电信基础设施 ( PSTI ) 法案第 1 部分；

l  2023 年产品安全和电信基础设施（相关可连接产品的安全要求）法案。

PSTI法案发布和执行时间轴:

PSTI法案于 2022 年 12 月获得批准。政府于 2023 年 4 月发布了PSTI （相关可连接产品的安全要求）法案的完整草案，这些法案于2023年 9 月 14 日签署成为法律。消费者可连接产品安全制度将于 2024 年 4 月 29 日生效。

PSTI法案文件：

1. 英国产品安全和电信基础设施（产品安全）PSTI法案 The UK Product Security and Telecommunications Infrastructure (Product Security) regime.

https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime

2. 2022 年产品安全和电信基础设施法案Product Security and Telecommunications Infrastructure Act 2022

https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted

3. 2023 年产品安全和电信基础设施（相关可连接产品的安全要求）法案The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023

https://www.legislation.gov.uk/uksi/2023/1007/contents/made

英国PSTI法案覆盖产品范围：

PSTI管控产品范围：

包括互联网连接的产品，但不仅限于互联网连接的产品，典型的产品包括：智能电视、IP摄像机、路由器、智能照明和家用产品等等。

不在PSTI管控范围的产品Schedule 3 Excepted connectable products：

包括计算机（a) 台式电脑；(b) 笔记本电脑；(c) 不具备连接蜂窝网络能力的平板电脑（根据制造商的预期用途，专为14岁以下儿童设计的，不属于例外产品）、医疗产品、智能电表产品、电动汽车充电器，及蓝牙一对一连接产品。请注意，这些产品也可能有网络安全要求，但不在PSTI法案管控范围，而是可能由其它法案管控。

英国PSTI法案具体要求：

PSTI法案对网络安全的要求主要分为三个方面：

1. 通用默认密码安全

2. 弱点报告管理与执行

3. 软件更新

这些要求可以根据PSTI法案直接进行评估，也可以通过引用消费者物联网产品的网络安全标准ETSI EN 303 645进行评估来证明产品符合PSTI法案。也就是说，满足ETSI EN 303 645 标准的三个章节和项目的要求就等同于符合英国PSTI法案的要求。

ETSI EN 303 645针对物联网产品安全及隐私的标准，含如下13类要求：

1)     通用默认密码安全

2)     弱点报告管理与执行

3)     软件更新

4)     机敏安全参数保存

5)     通讯安全

6)     减少暴露攻击面

7)     保护个人资料

8)     软件完整性

9)     系统抗中断能力

10)   检查系统遥测数据

11)   方便使用者删除个人资料

12)   简化设备安装和维护

13)   验证输入数据

PSTI法案和 ETSI EN 303 645测试流程:

如何证明符合英国PSTI法案要求?

最低要求是满足PSTI法案关于密码、软件维护周期和漏洞报告的三个要求，并对这些要求提供评估报告等技术文件，同时进行符合性自我声明。我们建议采用ETSI EN 303 645进行英国PSTI法案的评估。这也是同时在为满足欧盟CE RED指令的网络安全要求将于2025年8月1日开始强制执行最好铺垫作用！

服务优势：

l  提供研发阶段的网络信息安全咨询与评估

l  CE RED指令网络安全的咨询与评估

l  美国加州SB-327的咨询与评估

l  英国PSTI法案的咨询与评估

l  美国FCC自愿性网络安全认证的咨询与评估

l  巴西网络安全的咨询与评估

l  新加坡网络安全的咨询与评估

l  全球各国网络安全咨询与评估

关于CCICT：

东莞中认信通检测技术有限公司（简称“CCICT”）是专业的第三方检测认证机构，始终以“专业、权威、高效、便捷”的服务宗旨，致力于为全球进出口企业提供一站式的检测认证服务。CCICT设有多个具有国际先进设备和测试功能齐全的实验室，拥有经验丰富的业界资深工程师团队，实验室严格依照国际标准ISO/IEC 17025规范建立和运行，并获得美国A2LA认可实验室及众多目击实验室等授权资质，测试能力涵盖电磁兼容、无线射频、SAR、电信终端、OTA、5G移动通信等多个领域，可为客户提供相关产品的FCC、CE、ISED、IMDA、NCC、NTRA、SABS、OFCA、MIC、NTC、NBTC、SIRIM等国际认证服务，助力您的产品快速进军全球市场！CCICT欢迎广大客户来电咨询！