英國即將强制執行網路安全要求

雖然歐盟在強制執行網路安全要求方面顯得有點緩慢，但英國方面不會。根據英國《產品安全和電信基礎設施法規2023》，自2024年4月29日起，英國將開始強制實施聯網消費設備的網路安全要求。

涉及的產品

在英國2022年的PSTI法規 《產品安全和電信基礎設施法規2022》中就規定了需要管控網路安全的產品範圍。當然包括互聯網連接的產品，但不僅限於互聯網連接的產品。典型的產品包括是智慧電視、IP攝像機、路由器、智慧照明和家用產品。 

特别排除的產品包括電腦、醫療產品、智慧電錶產品、電動汽車充電器。請注意，這些產品也可能有網路安全要求，但不在PSTI法規管控範圍，而是可能由其它法規管控。

具體的要求?

PSTI 法規對網路安全的要求主要分為三個方面

1. 密碼
2. 維護週期
3. 漏洞報告

這些要求可以根據PSTI法規直接進行評估，也可以通過引用消費者物聯網產品的網路安全標準ETSI EN 303 645進行評估來證明產品符合PSTI法規。也就是說，滿足ETSI EN 303 645 標準就意味著符合英國PSTI法規的要求。

關於ETSI EN 303 645

ETSI EN 303 645標準於2020年首次發佈，並迅速成為歐洲以外國際上使用最多的物聯網設備網路安全評估標準。使用ETSI EN 303 645標準是一種最務實的的網路安全評估方法， 終止評估方式既確保了良好的基礎安全水準，同時也構成了幾個認證方案的基礎。2023年，該標準也被IECEE正式接受用於電氣產品國際性認證方案CB方案的發證標準。 

如何證明符合法規要求?

最低要求是滿足PSTI法案關於密碼、維護週期和漏洞報告的三個要求，並對這些要求進行符合性自我聲明。

為了更好地向您的客户證明產品符合法規，並且如果您的目標市場不僅限於英國，那麼比較合理的建議是使用國際標準進行評估。 這也是同時在為滿足歐盟將於2025年8月開始強制執行的網路安全要求而做準備的重要組成部分。 

我的產品在PSTI法規範圍内嗎?

要確定您的產品是否在範圍內，以及與您的產品特別相關的具體要求是什麼，歡迎聯繫我們預約一個免費的諮詢會議！ marketing.tw@nemko.com