全球范圍內網絡攻擊的頻頻發生，當前全球多個國家紛紛啟動各項舉措和計劃，以增強關鍵系統的網絡安全。其中，英國政府在2022年12月通過了《產品安全和電信基礎設施法案2022》（Product Security and Telecommunications Infrastructure Act 2022，簡稱“PSTI”法案），并將于2024年4月29日強制實施。PSTI法案的實施將更好地確保消費者的互聯網接入產品能更安全地抵御網絡攻擊，但另一方面，也給生產連接互聯網的相關產品的制造商提出了更為嚴格的要求。

PSTI法案規定了可連接互聯網的產品以及能夠連接到此類產品和電子通信基礎設施的產品的安全性，要求所有參與英國可連接消費產品供應鏈的企業，都必須符合最低產品安全要求才能投放市場。相關產品的制造商、進口商和分銷商必須遵守該法案的安全要求，制造商和進口商必須確保產品附有合規聲明，并在出現合規失敗的情況下采取行動，保存調查記錄等。否則違規企業最高處以1000萬英鎊或其全球營業額4%的罰款。

PSTI法案分為兩個部分：第一部分是保護產品免受網絡攻擊的安全要求，規定在英國銷售的消費者互聯網接入產品必須遵守最低網絡安全要求。

第二部分則是電信基礎設施指南。其中，有以下三個關鍵點需要注意：

• 密碼要求。
  PSTI法案禁止通用默認密碼，并對密碼強度有相關要求。 這意味著，用戶在首次使用時需要提供唯一的密碼，或需要更改密碼。

• 安全管理問題。
  PSTI法案要求制造商應公布漏洞披露政策，即發現漏洞的任何人都可以通知制造商，制造商通知其客戶并及時提供修復的信息。

• 安全更新周期。
  PSTI法案規定，制造商需要有明確且透明的方式對用戶公布最短的安全更新周期，即明確說明制造商將持續提供多長時間的更新。

• 這些要求可以根據PSTI法案直接進行評估，也可以通過引用消費者物聯網產品的網絡安全標準ETSI EN 303 645進行評估來證明產品符合PSTI法案。也就是說，滿足ETSI EN 303 645 標準的三個章節和項目的要求就等同于符合英國PSTI法案的要求。

• ETSI EN 303 645針對物聯網產品安全及隱私的標準，含如下13類要求：

• 1) 通用默認密碼安全

• 2) 弱點報告管理與執行

• 3) 軟件更新

• 4) 機敏安全參數保存

• 5) 通訊安全

• 6) 減少暴露攻擊面

• 7) 保護個人資料

• 8) 軟件完整性

• 9) 系統抗中斷能力

• 10) 檢查系統遙測數據

• 11) 方便使用者刪除個人資料

• 12) 簡化設備安裝和維護

• 13) 驗證輸入數據

新法案覆蓋的產品范圍包括：連接互聯網的相關產品，例如網絡攝像頭、智能門鎖、報警系統、智能家居助手、智能手機、智能家電、可穿戴設備等，也適用于不能直接連接到互聯網但能同時連接到多個其他設備的產品，如智能照明器具、智能控制器、物聯網基站等。

但是，現有立法涵蓋的產品（包括醫療保健監控產品和智能電表）或復雜的產品（如自動駕駛汽車）不包括在PSTI法案中。與此同時，也有部分產品擁有豁免權，其中包括：北愛爾蘭銷售的產品；臺式機、平板電腦，以及14歲以上使用的電腦平板；智能電表、電動汽車充電樁和醫療設備。

PSTI法案文件：

 1.英國產品安全和電信基礎設施（產品安全）PSTI法案 

The UK Product Security and Telecommunications Infrastructure (Product Security) regime.

https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime

2. 2022 年產品安全和電信基礎設施法案

Product Security and Telecommunications Infrastructure Act 2022

https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted

3. 2023 年產品安全和電信基礎設施（相關可連接產品的安全要求）法案

The Product Security and Telecommunications Infrastructure (Security Requirements for Relevant Connectable Products) Regulations 2023

https://www.legislation.gov.uk/uksi/2023/1007/contents/made