CRA vs. UK PSTI: Compliance-Leitfaden für EU- und UK-Märkte

Nach dem Brexit haben EU und UK separate Produktcybersicherheitsvorschriften entwickelt. Wenn Sie vernetzte Produkte in beiden Märkten verkaufen, müssen Sie sowohl die EU-Cyberresilienzverordnung (CRA) als auch den britischen Product Security and Telecommunications Infrastructure (PSTI) Act einhalten. Die gute Nachricht: Es gibt erhebliche Überschneidungen.

Dieser Leitfaden vergleicht beide Verordnungen und skizziert eine Dual-Compliance-Strategie.

Wie sich CRA und UK PSTI im Geltungsbereich unterscheiden

UK PSTI Act

Vollständiger Name: Gesetz über Produktsicherheit und Telekommunikationsinfrastruktur 2022

In Kraft: 29. April 2024

Geltungsbereich: Verbraucher-verbindbare Produkte (IoT-Geräte)

Hauptanforderungen:

1. Keine universellen Standardpasswörter
2. Kontaktmöglichkeit für Schwachstellenmeldungen bereitstellen
3. Transparenz über Sicherheitsupdate-Dauer

Durchsetzung: Amt für Produktsicherheit und Standards (OPSS)

EU CRA

Vollständiger Name: Verordnung (EU) 2024/2847 (Cyberresilienzverordnung)

Vollständige Anwendung: 11. Dezember 2027

Geltungsbereich: Alle Produkte mit digitalen Elementen (viel breiter)

Hauptanforderungen: Umfassende Sicherheitsanforderungen (Anhang I)

• Security by Design
• Keine bekannten ausnutzbaren Schwachstellen
• Schwachstellenbehandlung
• Sicherheitsupdates für 5+ Jahre
• SBOM-Anforderungen
• CE-Kennzeichnung

Durchsetzung: Nationale Marktüberwachungsbehörden

Direktvergleich

Geltungsbereichsvergleich

GELTUNGSBEREICHSVERGLEICH

UK PSTI:
┌─────────────────────────────────────────────┐
│ Verbraucher-verbindbare Produkte            │
│                                             │
│ - Smart-TVs, Lautsprecher, Kameras          │
│ - Wearables, Smart-Home-Geräte              │
│ - Verbraucher-IoT                           │
│ - Kinderspielzeug mit Konnektivität         │
│                                             │
│ AUSGESCHLOSSEN:                             │
│ - B2B-Produkte                              │
│ - Medizinprodukte                           │
│ - Fahrzeuge                                 │
│ - Smart Meter (andere Regulierung)          │
│ - Computer, Smartphones, Tablets*           │
└─────────────────────────────────────────────┘
*Begrenzte Ausnahmen für einige Computergeräte

EU CRA:
┌─────────────────────────────────────────────┐
│ Alle Produkte mit digitalen Elementen       │
│                                             │
│ - Verbraucher-IoT (wie PSTI)                │
│ - B2B-Produkte                              │
│ - Industrieausrüstung                       │
│ - Software (eigenständig)                   │
│ - Enterprise-Hardware                       │
│ - Netzwerkausrüstung                        │
│                                             │
│ AUSGESCHLOSSEN:                             │
│ - Medizinprodukte (MDR gilt)                │
│ - Fahrzeuge (Typgenehmigung)                │
│ - Luftfahrt (separate Regulierung)          │
│ - Open Source (nicht-kommerziell)           │
└─────────────────────────────────────────────┘

Anforderungsvergleich

Die drei PSTI-Anforderungen im Detail

UK PSTI SICHERHEITSANFORDERUNGEN

ANFORDERUNG 1: KEINE UNIVERSELLEN STANDARDPASSWÖRTER
"Passwörter müssen pro Gerät eindeutig sein ODER
Benutzer muss Passwort bei Einrichtung festlegen"

- Keine Werkseinstellungen wie "admin/admin"
- Eindeutiges Passwort ODER erzwungene Benutzereinrichtung
- Darf nicht leicht erratbar sein
- Darf nicht auf öffentlichen Informationen basieren

CRA-ÄQUIVALENT:
CRAs "secure by default" deckt dies und mehr ab

─────────────────────────────────────────────

ANFORDERUNG 2: SCHWACHSTELLENMELDUNG
"Hersteller muss öffentliche Kontaktstelle
für Sicherheitsprobleme bereitstellen"

- Zugängliche Kontaktinformationen
- Muss Meldungen bestätigen
- Muss Meldungen angemessen behandeln

CRA-ÄQUIVALENT:
CRA erfordert CVD-Richtlinie PLUS Meldung an ENISA

─────────────────────────────────────────────

ANFORDERUNG 3: SICHERHEITSUPDATE-TRANSPARENZ
"Hersteller muss definierten Supportzeitraum
für Sicherheitsupdates veröffentlichen"

- Dauer am Verkaufspunkt angeben
- Keine Mindestdauer erforderlich
- Information muss zugänglich sein

CRA-ÄQUIVALENT:
CRA erfordert dies PLUS mindestens 5 Jahre Support

Wo der CRA über UK PSTI hinausgeht

Supportzeitraum

SUPPORTZEITRAUM-VERGLEICH

UK PSTI:
"Muss minimalen Sicherheitsupdate-Zeitraum angeben"
- Keine Mindestdauer spezifiziert
- Kann 1 Jahr, 2 Jahre oder beliebig sein
- Hersteller wählt
- Muss klar kommuniziert werden

EU CRA:
"Sicherstellen, dass Schwachstellen durch Sicherheitsupdates
für mindestens 5 Jahre behoben werden können"
- MINDESTENS 5 Jahre erforderlich
- Oder erwartete Produktlebensdauer wenn länger
- Ab Marktplatzierung jeder Einheit
- Muss kommuniziert werden

Schwachstellenbehandlung

SCHWACHSTELLENBEHANDLUNG-VERGLEICH

UK PSTI:
- Öffentlicher Kontakt für Meldungen ✓
- Meldungen bearbeiten ✓
- Keine Meldung AN Behörde
- Keine Zeitanforderungen

EU CRA:
- Öffentlicher Kontakt ✓
- CVD-Richtlinie ✓
- MELDUNG AN ENISA:
  - 24 Stunden für aktiv ausgenutzte
  - 72 Stunden für schwere Schwachstellen
- Kundenbenachrichtigungsanforderungen
- Erwartungen an Behebungszeitrahmen

Technische Anforderungen

TIEFE DER TECHNISCHEN ANFORDERUNGEN

UK PSTI:
Nur drei spezifische Anforderungen:
1. Passwörter
2. Meldekontakt
3. Supportzeitraum-Erklärung

EU CRA:
Umfassende technische Anforderungen:
- Secure by Default
- Keine bekannten Schwachstellen
- Datenschutz (Vertraulichkeit, Integrität)
- Zugriffskontrolle
- Verfügbarkeitsschutz
- Angriffsfläche minimieren
- Kryptographische Anforderungen
- Audit-Protokollierung
- Resilienz
- Update-Mechanismen
- Und mehr (Anhang I)

Dual-Compliance-Strategie

Ansatz: CRA als primäres Framework

Da CRA umfassender ist, nutzen Sie es als primäres Compliance-Framework:

DUAL-COMPLIANCE-STRATEGIE

BASIS: CRA-Compliance
- Alle CRA-Anforderungen umsetzen
- Wesentliche Anforderungen des Anhang I erfüllen
- Technische Unterlagen vorbereiten
- SBOM generieren
- Schwachstellenbehandlung etablieren
- 5-Jahres-Support planen

UK PSTI ERGÄNZUNGEN:
- Passwortanforderung verifizieren (bereits abgedeckt)
- Meldekontakt verifizieren (bereits abgedeckt)
- UK-spezifische Supportzeitraum-Erklärung hinzufügen
- UK-Vollzugsbehörden-Registrierung (falls erforderlich)

ERGEBNIS:
CRA-Compliance erfüllt automatisch PSTI
Nur geringe UK-spezifische Ergänzungen nötig

Dokumentationsansatz

DOKUMENTATION FÜR DUAL-COMPLIANCE

GEMEINSAME DOKUMENTATION:
- Sicherheitsarchitektur
- Risikobewertung
- Testberichte
- SBOM
- Schwachstellenbehandlungsprozess
- Benutzerdokumentation (technischer Inhalt)

UK-SPEZIFISCH:
- PSTI-Konformitätserklärung
- UK-Supportzeitraum-Erklärung (kann CRA entsprechen)
- UK-Markt-Kennzeichnungs-/Verpackungsanforderungen

EU-SPEZIFISCH:
- EU-Konformitätserklärung
- CE-Kennzeichnung
- Technisches Dossier-Format gemäß CRA
- ENISA-Meldungsregistrierung

Zeitplanüberlegungen

COMPLIANCE-ZEITPLAN

APRIL 2024: UK PSTI in Kraft
↓
JETZT: Muss PSTI für UK-Markt einhalten
       - Keine Standardpasswörter
       - Meldekontakt
       - Supportzeitraum angegeben

SEPTEMBER 2026: CRA-Meldepflichten
↓
Vorbereitung auf ENISA-Schwachstellenmeldung

DEZEMBER 2027: CRA vollständig anwendbar
↓
Volle CRA-Compliance für EU-Markt erforderlich
CRA-Compliance übertrifft PSTI-Anforderungen

So bauen Sie ein Compliance-Programm für beide Märkte auf

Passwortanforderungen

PASSWORT-IMPLEMENTIERUNG (Beide Märkte)

OPTION 1: Eindeutiges Werkspasswort
- Eindeutiges Passwort pro Gerät generieren
- Auf Gerät/Verpackung drucken
- Sicher speichern (für Kundenwiederherstellung)
- Erfüllt sowohl PSTI als auch CRA

OPTION 2: Erzwungene Benutzereinrichtung
- Kein voreingestelltes Passwort
- Passworterstellung bei Erstnutzung erforderlich
- Komplexitätsanforderungen durchsetzen
- Erfüllt sowohl PSTI als auch CRA

UMSETZUNG:
Gleicher Ansatz funktioniert für beide Märkte
In Benutzerhandbuch und technischen Unterlagen dokumentieren

Schwachstellenmeldung

SCHWACHSTELLENMELDUNG (Beide Märkte)

FÜR PSTI:
- Öffentlicher Kontakt (E-Mail, Webformular)
- Bestätigungsprozess
- Bearbeitungsverfahren

FÜR CRA (Zusätzlich):
- Formelle CVD-Richtlinie
- ENISA-Meldefähigkeit
- Kundenbenachrichtigungsprozess
- Behebungszeitrahmen-Management

UMSETZUNG:
Umfassenden CVD-Prozess aufbauen
- Öffentlicher Sicherheitskontakt ✓ (erfüllt PSTI)
- CVD-Richtlinie ✓ (erfüllt CRA)
- ENISA-Integration ✓ (CRA-spezifisch)

EIN PROZESS BEDIENT BEIDE MÄRKTE

Supportzeitraum-Erklärung

SUPPORTZEITRAUM (Beide Märkte)

UK PSTI ANFORDERUNG:
"Definierten Supportzeitraum angeben"
Beispiel: "Sicherheitsupdates bis Dezember 2029"

EU CRA ANFORDERUNG:
"Support für mindestens 5 Jahre"
Beispiel: "Sicherheitsupdates für mindestens 5 Jahre
ab Kaufdatum, mindestens bis Dezember 2032"

VEREINHEITLICHTE ERKLÄRUNG:
"Dieses Produkt erhält Sicherheitsupdates für mindestens
5 Jahre ab Kaufdatum.
Voraussichtliches Ende des Sicherheitssupports: [Datum]

Für UK-Markt: Konform mit PSTI Act 2022
Für EU-Markt: Konform mit Verordnung (EU) 2024/2847"

Wie sich die Durchsetzung in UK und EU unterscheidet

UK: OPSS

UK DURCHSETZUNG

Behörde: Amt für Produktsicherheit und Standards (OPSS)

Befugnisse:
- Compliance-Bescheide
- Stopp-Bescheide
- Rückruf-Bescheide
- Einziehung
- Strafen bis £10M oder 4% des weltweiten Umsatzes

Wichtige Kontakte:
Website: https://www.gov.uk/government/organisations/office-for-product-safety-and-standards
PSTI-Info: https://www.gov.uk/guidance/regulations-consumer-connectable-product-security

EU: Nationale Behörden

EU DURCHSETZUNG

Behörde: Nationale Marktüberwachungsbehörden
(variiert je nach Mitgliedstaat)

Befugnisse (gemäß CRA):
- Korrekturmaßnahmen
- Rücknahme vom Markt
- Rückruf
- Bußgelder bis €15M oder 2,5% des weltweiten Umsatzes

Koordination:
ADCO (Administrative Cooperation) Gruppen
ENISA für Schwachstellenbehandlung

Checkliste: Dual-Markt-Compliance

DUAL-COMPLIANCE-CHECKLISTE

UK PSTI (Jetzt):
[ ] Keine universellen Standardpasswörter implementiert
[ ] Öffentlicher Schwachstellenkontakt veröffentlicht
[ ] Supportzeitraum klar angegeben
[ ] UK-Konformitätserklärung vorbereitet
[ ] OPSS-Leitfaden geprüft

EU CRA (Bis Dez 2027):
[ ] Alle wesentlichen Anforderungen (Anhang I) adressiert
[ ] SBOM generiert und gepflegt
[ ] Schwachstellenbehandlungsprozess mit ENISA-Meldung
[ ] 5-Jahres-Supportzeitraum zugesagt
[ ] Technische Unterlagen vorbereitet
[ ] Konformitätsbewertung abgeschlossen
[ ] CE-Kennzeichnung angebracht
[ ] EU-Konformitätserklärung unterzeichnet

GEMEINSAM:
[ ] Passwortsicherheit implementiert (deckt beide ab)
[ ] Schwachstellenmeldekontakt (deckt beide ab)
[ ] Supportzeitraum kommuniziert (erfüllt beide)
[ ] Benutzerdokumentation (pro Markt angepasst)
[ ] Sicherheitstests abgeschlossen

Offizielle CRA- und PSTI-Ressourcen

REGULATORISCHE RESSOURCEN

UK PSTI:
Gesetz: https://www.legislation.gov.uk/ukpga/2022/46
Leitfaden: https://www.gov.uk/guidance/regulations-consumer-connectable-product-security
OPSS: https://www.gov.uk/government/organisations/office-for-product-safety-and-standards

EU CRA:
Verordnung: https://eur-lex.europa.eu/legal-content/DE/TXT/
            ?uri=CELEX:32024R2847
EC-Seite: https://digital-strategy.ec.europa.eu/de/
          policies/cyber-resilience-act

NORMEN:
ETSI EN 303 645: Verbraucher-IoT-Sicherheit
(Abgestimmt auf sowohl PSTI als auch CRA)