英國網絡安全PSTI法案4月29日起強制執行
英國政府宣布PSTI法規即《產品安全和電信基礎設施(相關可連接產品的安全要求)法規2023》于2023年9月14日正式立法,且宣布此PSTI安全制度將于2024年4月29日起生效,適用范圍包括英格蘭和威爾士、蘇格蘭和北愛爾蘭。該法規在《產品安全和電信基礎設施法案2022》基礎上,規定了對向英國消費者提供產品的最低安全要求,基于ETSI EN 303 645 V2.1.1以及ISO/IEC 29147:2018《信息技術-安全技術-漏洞披露標準》(2018年第2版)兩個標準,對密碼、最短安全更新時間周期、如何報告安全問題等進行了相應的規定和要求。同時,該法規明確了以下要求:
視為符合安全要求的情況
排除在監管制度外的產品清單
合規性聲明需要包含的信息
排除在監管制度外的產品清單包括計算機(臺式電腦、筆記本電腦、沒有蜂窩連接的平板電腦)、醫療設備、電動汽車充電樁和智能電表產品,以及供應北愛爾蘭的符合相關立法規定的產品都不在范圍內。
PSTI管控產品范圍:
包括直接和間接連接互聯網的產品,典型的產品包括:智能手機,智能家電,路由器,有蜂窩連接的平板電腦和嬰兒監視器等等。
PSTI法案對網絡安全的要求主要分為三個方面:
1.通用默認密碼安全,對應EN 303 645章節5.1-1和5.1-2
2.弱點報告管理與執行,對應EN 303 645章節5.2-1
3.軟件更新,對應EN 303 645章節5.3-13
這些要求可以根據PSTI法案直接進行評估,也可以通過引用消費者物聯網產品的網絡安全標準ETSI EN 303 645進行評估來證明產品符合PSTI法案。也就是說,滿足ETSI EN 303 645 標準的三個項目的要求就等同于符合英國PSTI法案的要求。
詳情可見官網原文:The UK Product Security and Telecommunications Infrastructure (Product Security) regime - GOV.UK (www.gov.uk)
信息提交成功