近年來，全球範圍內網路攻擊的頻頻發生，對能源、電力、醫療保健等多個產業所依賴的技術和系統造成了嚴重的威脅，並將關鍵基礎設施的安全議題推到了關鍵位置。於是，全球多個國家紛紛啟動各項措施和計畫，以增強關鍵系統的網路安全。

 

其中，英國政府在2022年12月通過了《產品安全和電信基礎設施法案2022》（Product Security and Telecommunications Infrastructure Act 2022，簡稱“PSTI”法案），並將於2024年4月29日強制實施。PSTI法案的實施將更好地確保消費者的互聯網接入產品能更安全地抵禦網路攻擊，但另一方面，也給生產連接互聯網的相關產品的製造商提出了更為嚴格的要求。

 

如今，距離PSTI法案強制實施時間越來越近了，我們特別邀請了德國萊因TÜV專家對法案中的關鍵要求進行解讀。

 

PSTI法案的目的與要求

PSTI法案規定了可連接互聯網的產品以及能夠連接到此類產品和電子通信基礎設施的產品的安全性，要求所有參與英國可連接消費產品供應鏈的企業，都必須符合最低產品安全要求才能進入市場。相關產品的製造商、進口商和分銷商必須遵守該法案的安全要求，製造商和進口商必須確保產品附有合規聲明，並在出現合規失敗的情況下採取行動，保存調查記錄等。否則違規企業最高處以1000萬英鎊或其全球營業額4%的罰款。

 

PSTI法案需要遵守的三個關鍵點

PSTI法案分為兩個部分：第一部分是保護產品免受網路攻擊的安全要求，規定在英國銷售的消費者互聯網接入產品必須遵守最低網路安全要求。第二部分則是電信基礎設施指南。其中，有以下三個關鍵點需要注意：

• 密碼要求：PSTI法案禁止通用預設密碼，並對密碼強度有相關要求。這意味著，使用者在首次使用時需要提供唯一的密碼，或需要更改密碼。
• 安全管理問題：PSTI法案要求製造商應公佈漏洞揭露政策，即發現漏洞的任何人都可以通知製造商，製造商通知其客戶並及時提供修復的資訊。
• 安全更新週期：PSTI法案規定，製造商需要有明確且透明的方式對使用者公佈最短的安全更新週期，即明確說明製造商將持續提供多長時間的更新。

 

PSTI法案適用的產品範圍

新法案覆蓋的產品範圍包括：連接互聯網的相關產品，例如網路攝影機、智慧門鎖、報警系統、智慧家居助手、智慧手機、智慧家電、可穿戴設備等，也適用於不能直接連接到互聯網但能同時連接到多個其它設備的產品，如智慧照明器具、智慧控制器、物聯網基站等。

但是，現有立法涵蓋的產品（包括醫療保健監控產品和智慧電錶）或複雜的產品（如自動駕駛汽車）不包括在PSTI法案中。與此同時，也有部分產品擁有豁免權，其中包括：北愛爾蘭銷售的產品；桌上型電腦、平板電腦，以及14歲以上使用的電腦平板；智慧電錶、電動汽車充電樁和醫療設備。

 

德國萊因TÜV如何説明中國製造商應對法規更新

• 法規解讀與培訓： 提供對PSTI法規的解讀和詳細說明，為企業員工提供相關法規的培訓，確保他們對法規的理解和遵守。
• 技術諮詢與升級： 提供專業的技術諮詢服務和與法規相關的培訓課程，協助企業升級技術和設備，以符合法規的新要求。
• 合規評估與審核： 進行合規性評估和審核，確保企業的生產流程和產品設計滿足PSTI法規的要求，同時提供改進建議。
• 檢測與認證服務： 對產品進行檢測並支援相關的認證服務，確保企業達到法規標準。
• 監測與報告服務： 設立監測體系，進行定期的監測和報告，幫助企業即時瞭解法規遵從及監管情況，及時發現問題並採取糾正措施。
• 風險管理與諮詢： 提供風險管理諮詢服務，説明企業評估潛在的合規風險，並制定相應的風險管理計畫。

 

德國萊因TÜV作為國際性的認證和檢測機構，以其專業的技術能力和全球性的服務網路，可以為企業提供全面的支援，確保其適應並遵守PSTI法規，促進企業的永續發展。

 

相關文章 :

英國物聯網產品市場必要門檻 PSTI 方案 4 月 29 日正式生效

ETSI 發布全球首個物聯網產品網路安全/隱私保護標準

進一步資訊請聯絡工業服務與資訊安全部門/ 莊小姐　irene.chuang@tuv.com