|
澳大利亚《2025年智能设备网络����安全规则》(Cyber Security (Security Standards for Smart Dev���������ices) Rules 2025)的核心要点总结如下:
1. 规则概述与生效日期
该规则由内政部长托尼·伯克(Tony Burk������e)于2025年2月27日签署,依据《2024年网络安全法》(Cyber Security Act 2024)制定。
- Part 1(包括规则名称、生效日期等)于2025年3月4日(注册日)生效。
- Part 2 及 Schedule 1(核心安全标准与合规要求)于2026年3月4日生效,为制造商和供应商提供了一年的准备时间以适应新规。
2. 适用范围
规则适用于在澳大利亚由消费�������者(根据《澳大利亚消费者法》定义)获取的特定类别的&l��������dquo;相关可连接产品”(即能直接或间接连接互联网的消费级智能设备),但明确排除了台式机、笔记本电脑、平板电脑、智能手机、治疗用品(依据《治疗用品法》)、道路车辆及其部件(依据《道路车辆标准法》)。
3. 核心安全标准要求(Schedule 1, Part 1)
规则为适用的智能设备设定了强制性的网络安全标准,与EN 303 645等国际标准类似,主要包括:
- 密码要求:
- 禁止使用通用默认密码。密码必须每台设备唯一(且不能基于递增计数器、公开信息或易猜测的序列),或必须由用户自行定义。
- 漏洞报告机制:
- 制造商必须公布清晰、易获取的联系方式,允许任何人报告安全漏洞。
- 报告者应能收到确认回执和后续处理状态的更新。
- 安全更新与明确支持期:
- 制造商必须明确定义并公开安全更新的支持期限(Defined Support Period),该期限一经公布不得缩短(但可延长)。
- 在支持期内,制造商需为设备的硬件和关键软件提供安全更新,以解决已发现的安全问题。
4. 合规声明(Statement of Compliance)
- 制造商或其授权代表必须为符合安全标准的产品准备合规声明。
- 声明需包含产品类型和批次标识符、制造商及授权代表详情、合规声明、支持期信息、签署人信息及签发日期和地点等。
- 该声明必须随产品一同供应,并且制造商需自声明签发之日起保留至少5年。
5. 责任与违规后果
- 制造商责任:必须确保产品符合安全标准的所有要求,并履行发布信息(如支持期、漏洞报告渠道)等义务。
- 供应商责任:不得在知情或应知情的情况下供应不符合安全标准的产品。
- 召回与通知:若产品未能遵守召回通知,相关部门可能公开详细信息,并建议消费者采取销毁产品或使用额外防护措施等行动。
总结
该规则旨在提升在澳销售的消费级智能设备的网络安全基线,通过禁用默认密码、强制漏洞管理、明确安�����全更新周期三大核心要求,保护消费者免受常见网络威胁。制造商和供应商需确保产品合规并准备相关证明文件,否则可能面临产品禁售或召回风险。
|
