认证服务

CERTIFIED

2025年3月5日，澳大利亚政府正式发布《网络安全（智能设备安全标准）规则 2025》，作为《网络安全法2024》核心细则，该法案将于2026年3月4日生效，旨在应对智能设备网络安全挑战。此次新规的出台，旨在落实《网络安全法2024》第15章“数字产品安全义务”，其严格程度超越欧盟EN 303 645标准，成为全球最严苛的物联网安全法规之一。

▍ 核心安全要求

该规则旨在提升在澳销售的消费级智能设备的网络安全基线，通过禁用默认密码、强制漏洞管理、明确安全更新周期三大核心要求，保护消费者免受常见网络威胁。制造商和供应商需确保产品合规并准备相关证明文件，否则可能面临产品禁售或召回风险。

1、密码要求

· 禁止使用通用默认密码或采用生物特征认证。

· 如果采用密码的方式，那么密码必须每台设备唯一（不能基于递增计数器、独特的产品标识符，如序列号）或必须由用户自行定义。

2、漏洞报告机制

· 制造商必须提供至少一个联系点（专用网站以及接受漏洞报告的邮箱），以便个人向制造商报告安全问题。

· 制造商在报告者报告问题之后，应给报告者确认的回执和后续处理状态的更新。

· 制造商和分销商需7×24小时接收漏洞报告，48小时内启动应急响应。

3、安全更新与明确支持期

· 制造商必须明确定义并公开安全更新的支持期限（Defined Support Period），安全更新支持期限不得低于产品停售后5年，该期限一经公布不得缩短（但可延长）。

· 在支持期内，制造商需为设备的硬件和关键软件提供安全更新，以解决已发现的安全问题。

▍ 合规性声明需包含的信息：

根据法案规定，制造商必须确保其产品符合相关安全标准，并出具合规声明（Statement of Compliance）。该声明需包含产品型号、制造商信息、符合性声明、定义的支持周期等多项内容，且必须保存至少5年。若未能遵守规定，企业将面临相应的民事处罚。

(a)产品类型及批次标识符;

(b)以下各方的名称和地址:

    (i)产品的制造商;

    (ii)制造商的授权代表;

    (iii) 制造商在澳大利亚境内的其他授权代表(如有)。

(c)一份声明，说明该声明是由产品的制造商本人或其授权代表编制的。

(d)一份声明，表明根据制造商的意见：

    (i)该产品是按照安全标准的要求制造的；

    (ii) 制造商已履行安全标准中规定的与该产品相关的其他所有义务。

(e)在发布合规声明之日，该产品的保修期限。

(f)制造商签署人的签名、姓名及其职务。

(g)合规声明的签发地点和日期。

▍ 适用产品范围：

该法案适用于在澳大利亚由消费者获取的、能够直接或间接连接互联网的“消费级相关可连接产品”。

涵盖的典型产品包括：

· 网络摄像头

· 智能门锁

· 报警系统

· 智能家居助手

· 智能家电

· 可穿戴设备

· 智能照明器具

· 智能控制器

· 物联网基站等

明确排除的产品包括：

· 台式电脑、笔记本电脑

· 平板电脑

· 智能手机

· Therapeutic Goods Act 1989所辖的治疗用品

· Road Vehicle Standards Act 2018所定义的道路车辆及其组件

▍ AGC提醒：

建议相关企业在新法案生效日期前尽早熟悉适用法规，以便在产品开发阶段合理规划设计、生产及出海策略，全面保障产品符合网络安全要求，能够在澳洲市场顺利进行销售。