英国PSTI(Product Security and Telecommunications Infrastructure Act 2022,即《产品安全和电信基础设施法案2022》)是英国政府为提升联网设备安全性、减少网络攻击风险而制定的一项重要法规。以下是对该法案的详细介绍:
一、背景与目的
随着物联网(IoT)设备的普及,网络安全问题日益凸显。为了保障消费者的互联网接入产品能更安全地抵御网络攻击,英国政府通过了PSTI法案,并于2024年4月29日强制实施。该法案旨在通过设定最低安全要求,确保在英国销售的联网消费设备具备足够的安全性能。
二、主要内容
安全要求:
PSTI法案规定了可连接互联网的产品以及能够连接到此类产品和电子通信基础设施的产品的安全性要求。
要求所有参与英国可连接消费产品供应链的企业(包括制造商、进口商和分销商)都必须符合最低产品安全要求才能投放市场。
制造商和进口商必须确保产品附有合规声明,并在出现合规失败的情况下采取行动,保存调查记录等。
密码要求:
PSTI法案禁止通用默认密码,并对密码强度有相关要求。这意味着用户在首次使用时需要提供唯一的密码,或需要更改密码。
安全管理问题:
PSTI法案要求制造商应公布漏洞披露政策,即发现漏洞的任何人都可以通知制造商,制造商需及时通知其客户并提供修复信息。
安全更新周期:
PSTI法案规定制造商需要有明确且透明的方式对用户公布最短的安全更新周期,即明确说明制造商将持续提供多长时间的更新。
三、适用范围
PSTI法案覆盖的产品范围广泛,包括但不限于:
连接互联网的相关产品,如网络摄像头、智能门锁、报警系统、智能家居助手、智能手机、智能家电、可穿戴设备等。
不能直接连接到互联网但能同时连接到多个其他设备的产品,如智能照明器具、智能控制器、物联网基站等。
不过,现有立法涵盖的产品(如医疗保健监控产品和智能电表)或复杂的产品(如自动驾驶汽车)不包括在PSTI法案中。
四、违规处罚
对于违反PSTI法案的企业,将面临严厉的处罚措施,包括:
最高处以1000万英镑或其全球营业额4%的罚款。
如果违规行为继续存在,将处以每天最高2万英镑的罚款。
监管机构还有权从市场上召回违规产品,并将违规信息公之于众。
五、影响与意义
提升消费者信心:PSTI法案的实施将帮助消费者识别具有更好网络安全性能的产品,从而做出更明智的购买决策。
推动制造商提升安全水平:为了获得市场准入,制造商需要满足PSTI法案的安全要求,这将促使他们提升产品的网络安全性能。
促进国际合作与标准统一:PSTI法案与国际上的网络安全标准相接轨,有助于推动全球物联网设备市场的安全标准统一。
