在數位時代的浪潮中，英國 PSTI 法案正迎來強制實施的關鍵時刻，這項法案的誕生源於大眾對網路安全和資料隱私的重視與日俱增，旨在建立更為健全的數位生態系。然而，隨著法案的推進，企業面臨著新的挑戰與機遇。如何在適應法規的同時保持技術創新的領先地位，成為企業所面對的關鍵決策。有鑑於此，德國萊因專家對法規中的關鍵要求進行深度解讀，助力企業搶佔先機，迎接數位時代新挑戰。

英國消費性相關可連網產品安全制度將於 2024 年 4 月 29 日生效。這將影響英國對消費性可連網產品的設備監管。自該日起，根據《2022 年產品安全和電信基礎設施法案》（”PSTI 法案”）第 1 部分的規定，英國可連網消費產品製造商必須遵守相關產品安全要求。《產品安全和電信基礎設施法案》旨在確保英國消費者不會因不安全的技術產品而面臨風險。

該制度還將適用於進口商和經銷商等其他供應鏈參與者，他們需要確保符合要求的產品才能進入英國市場。如果製造商尚未採取任何措施，應立即開始因應以確保合規。

哪些實體有符合《PSTI 法案》規定的義務

• 可連網產品的製造商
• 可連網產品的英國進口商
• 可連網產品的英國的零售商

《PSTI法案》的產品適用範圍

– 可連接互聯網的產品 （使用構成互聯網協定套件一部分的通信協定在互聯網上發送和接收資料）
– 可連接網路的產品

a) 通過涉及電能或電磁能的傳輸方式發送和接收資料、

b) 不是可連接互聯網的產品，且

c) 符合以下條件之一
–  能通過構成互聯網協議套件一部分的通信協議直接連接到可連接互聯網的產品，或
–  能通過不屬於互聯網協定套件的通信協定同時直接與兩個或兩個以上產品連接，並能夠通過此類通信協定直接與可連接互聯網的產品連接 (無論是否與其他產品同時連接）。 例如: 智慧手機、智慧電視/冰箱、智慧揚聲器、醫療設備、汽車相關網聯零部件產品、聯網嬰兒監視器和聯網報警系統。

《PSTI法案》需遵守的三個關鍵點

PSTI法案包括兩大部分：產品安全要求和電信基礎設施指南。對於產品安全而言，有三個關鍵點需要特別注意：

1. 密碼要求 : 基於法規條款5.1-1,5.1-2PSTI法案禁止使用通用預設密碼。這意味著產品必須設置唯一的預設密碼或要求使用者在初次使用時設置密碼。

2. 安全管理問題 : 基於法規條款5.2-1製造商需要制定並公開漏洞披露政策，確保發現漏洞的個人能夠通知製造商，並確保製造商能夠及時通知客戶並提供修補措施。

3. 安全更新週期 : 基於法規條款5.3-13製造商需明確並公開他們將提供安全更新的最短時間週期，以便消費者瞭解他們產品的安全更新支援期。

《PSTI 法案》中要求的合規性聲明

規範內產品必須隨附合規聲明，其中必須包括以下資訊：

• 產品（類型和批次）
• 每個製造商的名稱和地址，以及（如適用）其授權代表
• 聲明由產品製造商或其代表編寫
• 符合相關安全要求（《PSTI 條例》附表 1）或符合視為符合的條件（附表 2）的聲明
• 製造商首次供應產品時正確的產品規定支援期
• 合規聲明的簽名、簽名人姓名和職務以及簽發地點和日期

德國萊因一站式解決方案

• PSTI 法規解讀與培訓
  提供對PSTI法規的解讀和詳細說明，為企業員工提供相關法規的培訓，確保他們對法規的理解和遵守。
• PSTI 技術諮詢與升級
  提供專業的技術諮詢服務和與法規相關的培訓課程，協助企業升級技術和設備，以符合法規的新要求。
• PSTI 合規評估與審核
  進行合規性評估和審核，確保企業的生產流程和產品設計滿足PSTI法規的要求，同時提供改進建議。
• PSTI 檢測與認證服務
  對產品進行檢測並支援相關的認證服務，確保企業達到法規的要求。
• PSTI 監測與報告服務
  設立監測體系，進行定期的監測和報告，幫助企業即時瞭解法規遵從及監管情況，及時發現問題並採取糾正措施。
• PSTI 風險管理與諮詢
  提供風險管理諮詢服務，説明企業評估潛在的合規風險，並制定相應的風險管理計畫。

 

快問快答

1. 商用產品適用嗎？例如smart office home office產品？

適用。一般智慧聯網產品，產品會有IP位址，就會在PSTI的管控範圍內。

2. 藍牙耳機在範圍內嗎？可以藍牙連接到手機和電腦，手機有APP 可以控制耳機？

藍牙類型的設備：

• 如果能直接連接上一個能連接互聯網的設備，且組成TCP/IP的一部分進行上網，那麼該藍牙設備會在PSTI管控範圍內。
• 該藍牙設備能直接同時連接兩個或更多的設備，且能直接連接上一個能連接互聯網的設備，那麼該藍牙設備會在PSTI管控範圍內。

3. 漏洞披露性政策的公佈，是有多少產品種類就要做多少嗎？

製造商可以有統一的漏洞披露政策，不強制要求根據產品種類去區分。

4. 是不是每一個型號都要做認證，是否接受一致性聲明？

認證不是強制的，但是每一個型號都需要去評估，最後再採用符合性聲明的形式出口到UK。

5. PSTI TÜV萊因有標誌嗎？

PSTI 沒有德國萊因的測試標誌。德國萊因針對PSTI發符合性證書。

6. 像藍牙耳機，穿戴設備這種產品，自身沒有能力可以完成安全更新，必須借助連接手機產品，才可以完成安全更新。這種產品，是否還需要披露安全更新週期？

需要。只要設備能接受安全更新就需要披露安全更新週期。

7. 已經在英國市場倉庫還沒有出售的機器在4月29日也要滿足？

需要滿足，PSTI中有說明，在 4 月 29 日之後在 UK 市場上出售的產品都需要滿足要求。

8. 303645當中是只要滿足幾條就能聲明PSTI嗎？還是要至少滿足所有 M 類的要求或是滿足所有M及R類的要求？

根據 PSTI 的Schedule 2, 參考引用ETSI EN 303 645中的四項條款，以及相應的PSTI額外要求就可以。

9. CE-RED d e f 也採用ETSI TS 103701嗎？

RED Article 3.3 d), e) & f)不是採用ETSI TS 103 701。

請持續關注德國萊因後續的分享。建議亦可參考: 聯網產品通過歐盟無線設備指令RED了，那網路安全呢?

10. 風扇可以手機利用WiFi控制，屬於PSTI的範圍嗎？

該風扇連接上Wi-Fi之後會具有相應的IP位址，屬於可連接互聯網的設備，在PSTI的管控範圍內。

11. UK是否會推遲此法規？

目前沒有任何訊息表明UK會推遲執行此法規。

12. 德國萊因可否進行評估測試報告？

德國萊因根據 PSTI的Schedule 2 進行評估測試並出具報告，如有需要，還可以出具 CoC 符合性證書。

 

 

相關文章 :

質者見質 | PSTI法案強制實施在即，聯網產品製造商將面臨什麼問題

ETSI 發布全球首個物聯網產品網路安全/隱私保護標準

進一步資訊請聯絡工業服務與資訊安全部門/ 莊小姐　irene.chuang@tuv.com