安全检测
安全检测>英国PSTI法案
英国PSTI法案
PSTI法案强制实施将对联网产品制造商产生什么影响?
近年来,全球范围内网络攻击的频频发生,严重威胁着能源、电力、医疗保健等多个行业所依赖的技术和系统,这也将关键基础设施的安全议题被推到了人们的视野重心。基于此,全球多个国家纷纷重拳出击,迅速反应,以增强关键系统的网络安全。
其中,英国政府在2022年12月通过了《产品安全和电信基础设施法案2022》(Product Security and Telecommunications Infrastructure Act 2022,简称“PSTI”法案),并计划于2024年4月29日强制实施。
PSTI法案的实施能够确保消费者的互联网接入产品更安全地抵御网络攻击,然而,这也给生产连接互联网的相关产品的制造商提出了更高的要求。
PSTI法案的目的与要求
PSTI法案规定了可连接互联网的产品以及能够连接到此类产品和电子通信基础设施的产品的安全性,要求所有参与英国可连接消费产品供应链的企业,都必须符合最低产品安全要求才能投放市场。相关产品的制造商、进口商和分销商必须遵守该法案的安全要求,制造商和进口商必须确保产品附有合规声明,并在出现合规失败的情况下采取行动,保存调查记录等。否则违规企业最高处以1000万英镑或其全球营业额4%的罚款。
PSTI法案需要遵守什么?
PSTI法案分为两个部分:
一、保护产品免受网络攻击的安全要求,规定在英国销售的消费者互联网接入产品必须遵守最低网络安全要求。
二、电信基础设施指南。其中,需要注意以下三点:
1)密码要求
PSTI法案禁止通用默认密码,并对密码强度有相关要求。 这意味着,用户在首次使用时需要提供唯一的密码,或需要更改密码。
2)安全管理
PSTI法案要求制造商应公布漏洞披露政策,即发现漏洞的任何人都可以通知制造商,制造商通知其客户并及时提供修复的信息。
3)安全更新周期
PSTI法案规定,制造商需要有明确且透明的方式对用户公布最短的安全更新周期,即明确说明制造商将持续提供多长时间的更新。
PSTI法案适用的产品范围
新法案覆盖的产品范围包括:连接互联网的相关产品,例如网络摄像头、智能门锁、报警系统、智能家居助手、智能手机、智能家电、可穿戴设备等,也适用于不能直接连接到互联网但能同时连接到多个其他设备的产品,如智能照明器具、智能控制器、物联网基站等。
然而,现有立法涵盖的产品(包括医疗保健监控产品和智能电表)或复杂的产品(如自动驾驶汽车)不包括在PSTI法案中。与此同时,也有部分产品拥有豁免权,其中包括:北爱尔兰销售的产品;台式机、平板电脑,以及14岁以上使用的电脑平板;智能电表、电动汽车充电桩和医疗设备。
高维密码能够如何帮助中国企业应对PSTI法案?
法案解读:帮助中国企业对PSTI法案进行解读和说明,解答客户提出的疑问,确保企业对法规的理解和遵守。
合规评估/审核:进行合规性评估/审核,确保企业的产品能够满足PSTI法规的要求,并提供改进建议。
检测与认证服务:高维密码与英国标准协会(BSI)在PSTI法案领域已经达成密切合作,能够帮助企业获得BSI颁发的认证证书。
获证后监测:开展定期监测和报告,帮助企业实时了解法规遵从及监管情况。
风险咨询:提供风险管理咨询服务,帮助企业评估潜在的合规风险,并制定相应的风险管理计划。