伴随着人工智能普及,生活中物联网产品使用频率高速增长,网络安全事件频发,为了保障消费者使用的互联网接入产品能够更好地抵御网络信息安全攻击,各个国家纷纷出台了网络安全相关法规,以加强对相关产品的规范化管理。
其中,英国政府在2022年12月通过的《产品安全和电信基础设施法案》(Product Security and Telecommunications Infrastructure Act 2022,简称“PSTI”法案),已于2024年4月29日强制实施。
英国PSTI法案提出了哪些合规要求?
(英国税务局官网截图)
PSTI法案规定了可连接互联网的产品以及能够连接到此类产品和电子通信基础设施的产品的安全性,要求所有参与英国可连接消费产品供应链的企业,都必须符合最低产品安全要求才能投放市场。即产品需满足通用密码、软件维护周期和漏洞报告这三个要求,并提供评估报告等技术文件,在产品中附带符合性声明。
PSTI于2024年4月29日生效,所有进入英国的物联网产品均需提交相关合规证明。违反条例规定的企业可能会被处以高达1000万英镑,或其全球营业额的4%作为罚款。
英国PSTI法案适用的产品范围?
法案覆盖的产品范围包括:
可连接互联网的产品(使用构成互联网协议套件一部分的通信协议在互联网上发送和接收数据)
可连接网络的产品①通过涉及电能或电磁能的传输方式发送和接收数据;
②不是可连接互联网的产品,但符合以下任一条件之一;
a.能够通过构成互联网协议套件一部分的通信协议直接连接到可连接互联网的产品
b.能够通过不属于互联网协议套件的通信协议同时直接与两个或两个以上产品连接,并能够通过此类通信协议直接与可连接互联网的产品连接(无论是否与任何其他产品同时连接)
例如: 智能手机、智能电视/冰箱、智能扬声器、医疗设备、汽车相关网联零部件产品、联网婴儿监视器和联网报警系统。(以上品类卖家建议尽快完成PSTI合规要求,并提供合规声明报告)
注意,以下产品不适用于该法规
在北爱尔兰供应并适用相关法律的产品电动汽车充电点医疗设备智能电表产品无法连接到蜂窝网络的台式电脑、笔记本电脑和平板电脑(除非根据制造商的预期用途,它们是专为14岁以下儿童设计的)英国PSTI法案适用于哪些群体?
(英国税务局官网截图) (英国税务局官网截图)
相关可联接产品的制造商、进口商和分销商。
PSTI法案中的合规性声明需包含哪些内容?
范围内产品必须随附合规声明,其中必须包括以下信息:
产品(类型和批次)每个制造商的名称和地址,以及(如适用)其授权代表声明由产品制造商或其代表编写符合相关安全要求或符合视为符合的条件的声明制造商首次供应产品时正确的产品规定支持期合规声明的签名、签名人姓名和职务以及签发地点和日期卖家需要特别注意哪些方面?
PSTI法案已经于4月29日强制实施,如果您是向英国销售法案覆盖范围内的物联网产品,为了确保产品可以进入英国市场正常销售,您需要特别注意以下三方面的安全要求:
密码安全
PSTI法案禁止通用默认密码,并对密码强度有相关要求。每个产品的密码必须是唯一的,或者是可以由产品用户自行更改的。
安全管理问题
制造商必须免费提供有关如何向他们报告其产品的安全问题的信息。制造商还必须提供有关确认收到报告和状态更新的时间范围的信息,直到报告的人员可以预期报告的安全问题得到解决。简单来说,即制造商必须提供清晰透明的售后安全管理信息。
安全更新周期
PSTI法案规定,制造商需要使用明确且透明的方式对用户公布最短的安全更新周期,明确说明制造商将持续提供多长时间的更新。
建议相关卖家尽快完成PSTI产品合规要求,以提高产品竞争力,同时确保在英国的正常销售。从长远来看,也有利于产品符合欧盟CE-RED指令,为之后进入欧盟市场销售做准备。