虽然欧盟在强制执行网络安全要求方面显得有点拖拖拉拉,但英国并不会。 根据英国《产品安全和电信基础设施法规2023》,自2024年4月29日起,英国将开始强制实施联网消费设备的网络安全要求。
涉及的产品
在英国2022年的PSTI法规 《产品安全和电信基础设施法规2022》中就规定了需要管控网络安全的产品范围。当然包括互联网连接的产品,但不仅限于互联网连接的产品。典型的产品包括是智能电视、IP摄像机、路由器、智能照明和家用产品。
特别排除的产品包括计算机、医疗产品、智能电表产品、电动汽车充电器。请注意,这些产品也可能有网络安全要求,但不在PSTI法规管控范围,而是可能由其它法规管控。
具体的要求?
PSTI 法规对网络安全的要求主要分为三个方面
- 密码
- 维护周期
- 漏洞报告
这些要求可以根据PSTI法规直接进行评估,也可以通过引用消费者物联网产品的网络安全标准ETSI EN 303 645进行评估来证明产品符合PSTI法规。也就是说,满足ETSI EN 303 645 标准就意味着符合英国PSTI法规的要求。
关于ETSI EN 303 645
ETSI EN 303 645标准于2020年首次发布,并迅速成为欧洲以外国际上使用最多的物联网设备网络安全评估标准。使用ETSI EN 303 645标准是一种最务实的的网络安全评估方法, 终止评估方式既确保了良好的基础安全水平,同时也构成了几个认证方案的基础。2023年,该标准也被IECEE正式接受用于电气产品国际性认证方案CB方案的发证标准。
如何证明符合法规要求?
最低要求是满足PSTI法案关于密码、维护周期和漏洞报告的三个要求,并对这些要求进行符合性自我声明。
为了更好地向您的客户证明产品符合法规,并且如果您的目标市场不仅限于英国,那么比较合理的建议是使用国际标准进行评估。 这也是同时在为满足欧盟将于2025年8月开始强制执行的网络安全要求而做准备的重要组成部分。
我的产品在PSTI法规范围内吗?
要确定您的产品是否在范围内,以及与您的产品特别相关的具体要求是什么,欢迎联系我们预约一个免费的咨询会议!19128450786 info.cn@nemko.com
标签:
网络安全