相關政策網站鏈接:https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime
2022年產品安全和電信基礎設施法案-第1部分
https://www.legislation.gov.uk/ukpga/2022/46/part/1/enacted
與《2022年產品安全和電信基礎設施法》有關的解釋性說明
https://www.legislation.gov.uk/ukpga/2022/46/notes/division/1/index.htm
二零二三年產品保安及電訊基礎設施(有關連接產品保安規定)條例
https://www.legislation.gov.uk/uksi/2023/1007/contents/made
二零二三年產品保安及電訊基礎設施(有關連接產品保安規定)條例的解釋備忘錄
https://www.legislation.gov.uk/uksi/2023/1007/pdfs/uksiem_20231007_en_001.pdf
ETSI EN 303 645:消費者物聯網的網絡安全:基準要求
https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf
法律現在要求英國消費者連接產品(或“智能”產品)的制造商遵守該法規定的相關義務,包括確保他們和他們的產品達到相關最低安全要求。
產品安全和電信基礎設施的第1部分(PSTI)第2022號法令;
《2023年產品安全和電信基礎設施(相關可連接產品的安全要求)條例》。
PSTI法案于2022年12月獲準。政府在2023年4月發表了一份完整的草案PSTI(相關可連接產品的安全要求)條例》。這些條例于2023年9月14日簽署成為法律。強調了企業在尋求遵守該制度時應考慮的關鍵條款。
該法案中規定了有關人員須履行特定義務的條件。如果這些條件或責任本身與“相關可連接產品”相關,則該法案第4條規定了該術語的定義。如果產品是互聯網連接產品或網絡連接產品,則該產品是相關可連接產品,而不是“例外產品”。
因此,尋求確定產品是否為“相關可連接產品”的制造商應審查法案第5條中規定的“互聯網可連接產品”和“網絡可連接產品”的定義,以及條例附表3中指定為“例外產品”的產品。
安全需求
安全需求是供應鏈中相關業務必須采取的行動,“相關可連接產品”必須滿足的,以解決安全問題或消除潛在的安全漏洞。
1.密碼
每個產品的密碼必須是唯一的;或者能夠由產品的用戶定義。
條例附表1第1(3)段就每項產品的唯一密碼作出進一步規定。它們不能基于增量計數器;基于或來源于公開信息的;基于或衍生自唯一產品標識符,如序列號,除非使用加密方法或密鑰散列算法完成,這是公認的良好行業慣例的一部分;否則很容易猜出來。
2.關于如何公布漏洞安全問題的信息
制造商必須提供有關如何向他們公布有關其產品漏洞安全問題的信息,實現一種方法來管理漏洞報告,做好漏洞披露政策,制造商還必須提供關于收到漏洞安全問題的確認和狀態更新的時間長度的信息,直到公布的漏洞安全問題得到解決。
這種方法應該以英文版本免費提供,并且是可訪問的、清晰的和透明的。
3.關于最低安全更新期的信息
有關最低安全更新期的信息必須以可訪問的、清晰的和透明的方式公布并提供給消費者。必須提供安全更新的最小時間長度以及結束日期。
《產品安全和電信基礎設施法案2022》規定,符合性聲明(SoC)必須“伴隨”產品,并將SoC定義為“文件”。
該法案沒有定義術語“文件”或“附件”,因此在該制度范圍內的每個企業必須確定他們將如何遵守與“相關可連接產品”的要求。制造商、進口商和分銷商最終必須確保產品符合PSTI法案。
