2023年10月，英国政府宣布PSTI法规（即《产品安全和电信基础设施（相关可连接产品的安全要求）法规2023》）于2023年9月14日正式立法，并且宣布此PSTI安全制度将于2024年4月29日起生效，适用范围包括英格兰和威尔士、苏格兰和北爱尔兰。

什么是英国PSTI法案？

英国PSTI法案规定了可连接互联网的产品、以及能够连接到此类产品和电子通信基础设施产品的安全性，法案要求所有在英国市场上销售的消费者互联网接入产品，必须满足最低网络安全标准，以抵御网络攻击和保护用户数据，其核心目的在于提高可连接互联网的产品的网络安全水平，保障消费者的利益。

相关产品的制造商、进口商和分销商必须遵守该法规的安全要求，制造商和进口商须确保产品附有合规性声明。违规企业最高将被处以1000万英镑或其全球营业额4%的罚款。

英国PSTI认证产品范围

可连接互联网（直接/间接连接互联网）的产品，包含：

• 智能手机

• 可联网的摄像头、电视和扬声器

• 可联网的儿童玩具和婴儿监视器

• 可联网的安全相关产品，如烟雾探测器和门锁

• 多个设备连接的物联网基站和集线器

• 支持多点连接的蓝牙产品，如可同时保持连接状态的蓝牙耳机、音响

• 可穿戴联网健身追踪器

• 户外休闲产品，如手持连接的GPS设备，不是可穿戴设备

• 可联网的家庭自动化和报警系统

• 可联网家电产品，如洗衣机和冰箱

• 智能家居助手

豁免产品：

• 现有立法涵盖的产品（包括医疗保健监控产品和智能电表）或复杂的产品（如自动驾驶汽车）不包括在PSTI法案中。

• 北爱尔兰销售的产品；台式机、平板电脑，以及14岁以上使用的电脑平板；智能电表、电动汽车充电桩和医疗设备。

  
  

英国PSTI认证要求

在Schedule 1 & Schedule 2中，基于ETSI EN 303 645 V2.1.1以及ISO/IEC 29147:2018两个标准，对密码、最短安全更新时间周期、如何报告安全问题等进行了相应的规定和要求：

PSTI认证对网络安全的要求主要分为三个方面：

1.禁止通用默认密码；

2.实施漏洞披露管理；

3.产品安全更新服务透明化。

这些要求可以根据PSTI认证直接进行评估，也可以通过引用消费者物联网产品的网络安全标准ETSIEN 303 645标准进行评估来证明产品符合PSTI认证。也就是说，满足ETSIEN 303 645标准的三个章节和项目的要求就等同于符合英国PSTI认证的要求。

PSTI法案和ETSIEN 30364标准测试流程

1.样品资料准备：

3套样品，含主机和配件、无加密的软体、使用说明书、规格书、相关服务和登录账户等资料。

2.测试环境建立：

依据使用说明书建立测试环境。

3.网络安全评估执行：

文件审查和技术测试、检查供应商问卷和提供反馈。

4.弱点修复：

提供咨询服务，修复弱点问题。

5.出具报告：

出具PSTI评估报告或ETSIEN 303645评估报告。