IT/AV终端检测认证事业部

一、PSTI是什么？为什么现在必须重视

PSTI，全称《产品安全和电信基础设施法案》（Product Security and Telecommunications Infrastructure Act 2022），是英国脱欧后自主制定的消费类联网产品网络安全法规，于2022年12月获批，并于2024年4月29日正式强制实施。

在此之前，英国市场虽有《消费者物联网安全实践准则》，但属于自愿性要求。PSTI首次将网络安全要求从"建议"升级为"法定义务"——任何向英国消费者供应联网产品的制造商、进口商和经销商，都必须确保产品满足法定安全要求，并出具符合性自我声明（SDoC），否则最高面临1000万英镑或全球营业额4%的罚款。

值得关注的是，PSTI并非孤立法规。它与欧盟的EN 18031（2025.8.1强制）、CRA（2027.12强制）、日本的JC-STAR（2025.3推出），共同构成全球主要市场对IoT设备网络安全的"围合"态势。先完成PSTI合规，实际上也为欧盟EN 18031认证打下了80%的基础。

核心数据：生效时间 2024.4.29 | 执法机构 OPSS（产品安全和标准局）| 最高罚款 £1000万或全球营收4% | 持续违规每日追加 £2万 | 适用地区 英格兰/苏格兰/威尔士/北爱尔兰
 

二、三大核心安全要求详解

PSTI法规基于ETSI EN 303 645，从13项安全要求中提炼出三项强制性义务，作为最低合规门槛：

【要求一】禁止通用默认密码（基于ETSI EN 303 645 第5.1条）

禁止预设"admin/123456"等弱密码或所有同款产品共用同一密码。合规路径：①每台设备生成唯一出厂密码；或②强制用户在首次激活时设置新密码，且不可跳过。

【要求二】漏洞披露政策（基于ETSI EN 303 645 第5.2条）

必须建立并公开"安全漏洞报告渠道"，让安全研究人员、用户可以向制造商报告漏洞，并明确规定响应机制。合规路径：在官网/产品页面发布漏洞披露政策（VDP），包含联系邮箱和响应时限承诺。

【要求三】软件更新支持期（基于ETSI EN 303 645 第5.3条）

制造商须公开声明产品接收安全更新的最短支持截止日期，且在此期间内保证将安全补丁及时推送到设备。合规路径：在SDoC和销售页面注明"安全更新至少支持至XXXX年"，并维护更新机制。

这三项要求看似简单，但在实际产品中需要在硬件设计、固件开发、供应链管理、文件体系四个维度同步落实，缺一不可。
 

三、适用产品范围

PSTI覆盖绝大多数消费类联网产品，以下为主要类别及合规状态：

四、SDoC合规声明：必含信息与制作要点

PSTI不要求强制第三方认证机构颁发证书，但必须由制造商出具符合性自我声明（SDoC），并留存技术支撑文件备查。根据法规规定，SDoC须包含以下七项法定信息：

(a) 产品描述：产品类型、批次编号或型号

(b) 制造商信息：名称、完整商业地址；如有授权代表，亦需注明其信息

(c) 声明主体说明：声明由制造商或其授权代表编制

(d) 合规声明文本：声明已满足PSTI Schedule 1所有适用的安全要求

(e) 软件更新支持截止日期：首次供应产品时须已确定明确的支持期终止日期

(f) 签署信息：签字人签名、姓名、职务

(g) 声明日期与地点：符合性声明的签发日期及地点

此外，产品包装或说明书中须公开标注软件更新支持期信息（如"本产品安全更新支持至2029年12月31日"）。强烈建议委托经认可的实验室出具ETSI EN 303 645测试报告作为技术支撑文件，以应对OPSS查验。

五、OPSS执法机制：不合规的代价

OPSS（产品安全和标准局）是PSTI第1部分的执法主体，拥有四类执法工具，从轻到重依次为：

OPSS通常在正式执法前会先发出"意向通知"（Notice of Intent），给予企业10天书面陈述期；企业有28天的上诉窗口。但OPSS有权将违规信息公开披露，对品牌声誉造成的损害往往远超罚款本身。

六、PSTI与全球法规协同：一次评估覆盖多市场

PSTI与欧盟EN 18031高度同源，均基于ETSI EN 303 645。一套技术文件可同时支撑多个市场合规：

七、长三角企业合规四步法

面向上海及长三角出口英国的IoT企业，上海广测检测建议采取以下四步快速入轨：

第一步：产品范围确认与角色定位

核对产品是否属于PSTI适用范围（直接或间接联网的消费产品），确认企业在供应链中的角色（制造商/进口商/分销商）。制造商义务最重，进口商和分销商也有法定合规责任。

第二步：三大要求差距分析与整改

评估现有产品对三大安全要求的满足情况：密码机制（是否已实现唯一密码/首次设置）、漏洞披露页面（是否已在官网建立VDP）、更新支持期（是否已确定并公示截止日期）。针对差距制定硬件/固件/文档整改计划。

第三步：ETSI EN 303 645测试与技术文件包

委托上海广测检测按ETSI EN 303 645（重点第5.1-5.3条）完成测试，输出测试报告。同步整理技术文件包（风险评估、测试报告、产品描述、设计规格等），作为SDoC的技术支撑材料。

第四步：出具SDoC声明并上市

依据PSTI法规要求格式，填写并签署SDoC，含七项法定必填信息。产品包装或说明书加注软件更新支持期。如需进入欧盟市场，同套技术文件可同步用于EN 18031 CE认证申请，节省30%-50%检测成本。

八、常见问题解答（FAQ）

Q1：PSTI认证是强制性的吗？哪些产品必须做？

A：是的，PSTI已于2024年4月29日在英国强制执行。凡是直接或间接连接互联网的消费类设备（智能手机、摄像头、智能家电、儿童智能玩具、蓝牙耳机、可穿戴设备、智能门锁等）均须满足三大安全要求并提交SDoC合规声明。台式机、笔记本、无蜂窝平板、医疗设备、电动汽车充电桩等属于豁免产品。

Q2：PSTI和EN 18031能互相替代吗？

A：不能直接替代，但高度协同。PSTI是英国法规（2024.4.29），EN 18031是欧盟法规（2025.8.1），二者均基于ETSI EN 303 645，三大核心要求完全一致。通过ETSI EN 303 645测试后，同一份技术文件可同时支撑PSTI的SDoC（英国）和EN 18031认证（欧盟），实现"一次测试、双市场覆盖"。

Q3：SDoC必须由谁签署？需要第三方实验室测试报告吗？

A：SDoC须由制造商（或其英国授权代表）签署。PSTI本身不强制要求第三方证书，但强烈建议委托经认可实验室出具ETSI EN 303 645测试报告作为技术支撑，以应对OPSS查验，同时为EN 18031认证做好准备。

Q4：软件更新支持期需要承诺多长时间？

A：法规本身未强制规定具体年限，但须在SDoC中明确声明截止日期并在销售页面公开展示。OPSS建议消费类IoT产品通常支持至少3-5年，高风险产品（儿童设备、安防摄像头）应更长。

Q5：已取得CE-RED认证，还需要单独做PSTI吗？

A：需要。英国脱欧后CE标志在英国不再自动有效，且CE-RED认证不涵盖网络安全（EN 18031要到2025.8.1才强制）。但如产品已通过ETSI EN 303 645测试，同一份测试报告可用于PSTI的SDoC，资源复用，避免重复检测。

Q6：PSTI不合规有什么后果？

A：OPSS可发出合规通知（限期整改）、停止通知（立即停止供应）、召回通知（强制回收）、金融罚款（最高£1000万或全球营业额4%，持续违规每天追加最高£2万）。OPSS还有权将违规信息公开披露，对品牌声誉和欧美采购商关系的损害往往远超罚款本身。