一、背景
2022年,英国出台了《产品安全和电信基础设施(PSTI)法案》第1部分。随后,英国又颁布了《产品安全和电信基础设施法案2023》,宣布从2024年4月29日起,英国将强制执行消费者可连接产品的网络安全要求,适用于整个英格兰、苏格兰、威尔士和北爱尔兰。该法案要求制造商完成PSTI认证,遵守最低安全标准,这些标准源自英国消费者物联网安全实践准则、欧洲消费者物联网网络安全标准ETSI EN 303 645,以及英国国家网络安全中心的建议。该法案旨在确保供应链中的企业共同防范不安全产品进入英国市场,保护消费者和企业利益。
二、政策
商家需要了解并遵守英国《产品安全和电信基础设施法案2023》的要求以及消费者物联网安全标准ETSI EN 303 645,以确保其产品在英国市场上的合规性。
针对不合规商品,TEMU保留采取一系列处理措施的权力,包括但不限于积极响应监管部门的要求、向买家发出风险提示、下架商品、通知买家或其他相关方将商品销毁/退回等。
三、合规指南
根据PSTI法案的产品安全制度规定,消费类联网产品在进入英国市场销售前,必须提供基本的网络安全保护。
1、PSTI管控产品范围
PSTI法案的管控范围涵盖了各种互联网连接的产品,如智能电视、IP摄像头、路由器,以及智能家居产品,如智能门锁、报警系统和智能家居助手。此外,智能手机、可穿戴设备以及智能家电等联网消费电子产品也在其监管范围内。不仅限于特定类型的产品,只要具备联网功能的产品都受到PSTI法案的规范,旨在提升这些产品的网络安全性。
某些限定条件下的电动汽车充电点、医疗设备、智能电表产品、计算机(台式电脑、笔记本电脑以及不具备连接蜂窝网络能力的平板电脑)等不在PSTI法案管控之中。
2、PSTI法案对网络安全的要求主要分为三个方面
1)通用默认密码安全
2)弱点报告管理与执行
3)软件更新
这些要求可直接评估PSTI法案,也可参考消费者物联网产品的网络安全标准ETSI EN 303 645来验证产品合规性。满足ETSI EN 303 645标准中相关章节和项目要求即符合英国PSTI法案的规定。
ETSI EN 303 645标准包括通用默认密码安全、弱点报告管理与执行、软件更新、机敏安全参数保存、通讯安全、减少暴露攻击面、保护个人资料、软件完整性、系统抗中断能力、检查系统遥测数据、方便用户删除个人资料、简化设备安装和维护以及验证输入数据。
3、具体合规要求
为确保产品的网络安全和隐私保护,商家需要确保所有产品在进入英国市场前满足PSTI法案关于密码、漏洞报告和软件维护周期的三大要求,并具备相关的评估报告等技术文件。
制造商需要确保产品通过ETSI EN 303 645标准的检测,同时出具符合性自我声明。
以上内容来源Temu卖家课堂。
