一、背景
2022年,英國出臺了《產品安全和電信基礎設施(PSTI)法案》第1部分。隨後,英國又頒佈了《產品安全和電信基礎設施法案2023》,宣佈從2024年4月29日起,英國將強制執行消費者可連接產品的網絡安全要求,適用於整個英格蘭、蘇格蘭、威爾士和北愛爾蘭。該法案要求製造商完成PSTI認證,遵守最低安全標準,這些標準源自英國消費者物聯網安全實踐準則、歐洲消費者物聯網網絡安全標準ETSI EN 303 645,以及英國國家網絡安全中心的建議。該法案旨在確保供應鏈中的企業共同防範不安全產品進入英國市場,保護消費者和企業利益。
二、政策
商家需要了解並遵守英國《產品安全和電信基礎設施法案2023》的要求以及消費者物聯網安全標準ETSI EN 303 645,以確保其產品在英國市場上的合規性。
針對不合規商品,TEMU保留採取一系列處理措施的權力,包括但不限於積極響應監管部門的要求、向買家發出風險提示、下架商品、通知買家或其他相關方將商品銷燬/退回等。
三、合規指南
根據PSTI法案的產品安全制度規定,消費類聯網產品在進入英國市場銷售前,必須提供基本的網絡安全保護。
1、PSTI管控產品範圍
PSTI法案的管控範圍涵蓋了各種互聯網連接的產品,如智能電視、IP攝像頭、路由器,以及智能家居產品,如智能門鎖、報警系統和智能家居助手。此外,智能手機、可穿戴設備以及智能家電等聯網消費電子產品也在其監管範圍內。不僅限於特定類型的產品,只要具備聯網功能的產品都受到PSTI法案的規範,旨在提升這些產品的網絡安全性。
某些限定條件下的電動汽車充電點、醫療設備、智能電錶產品、計算機(臺式電腦、筆記本電腦以及不具備連接蜂窩網絡能力的平板電腦)等不在PSTI法案管控之中。
2、PSTI法案對網絡安全的要求主要分爲三個方面
1)通用默認密碼安全
2)弱點報告管理與執行
3)軟件更新
這些要求可直接評估PSTI法案,也可參考消費者物聯網產品的網絡安全標準ETSI EN 303 645來驗證產品合規性。滿足ETSI EN 303 645標準中相關章節和項目要求即符合英國PSTI法案的規定。
ETSI EN 303 645標準包括通用默認密碼安全、弱點報告管理與執行、軟件更新、機敏安全參數保存、通訊安全、減少暴露攻擊面、保護個人資料、軟件完整性、系統抗中斷能力、檢查系統遙測數據、方便用戶刪除個人資料、簡化設備安裝和維護以及驗證輸入數據。
3、具體合規要求
爲確保產品的網絡安全和隱私保護,商家需要確保所有產品在進入英國市場前滿足PSTI法案關於密碼、漏洞報告和軟件維護週期的三大要求,並具備相關的評估報告等技術文件。
製造商需要確保產品通過ETSI EN 303 645標準的檢測,同時出具符合性自我聲明。
(來源:跨境白武士James)
以上內容屬作者個人觀點,不代表雨果跨境立場!本文經原作者授權轉載,轉載需經原作者授權同意。
