CRA vs UK PSTI: Guía de Cumplimiento para Mercados de la UE y Reino Unido

Post-Brexit, la UE y el Reino Unido han desarrollado regulaciones de ciberseguridad de productos separadas. Si vendes productos conectados en ambos mercados, necesitas cumplir tanto con la Ley de Ciberresiliencia de la UE (CRA) Cómo con la Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones del Reino Unido (PSTI). La buena noticia: hay superposición significativa.

Esta guía compara ambas regulaciones y esboza una estrategia de cumplimiento dual.

Resumen de las Regulaciones

Ley PSTI del Reino Unido

Nombre completo: Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones de 2022

En vigor: 29 de abril de 2024

Alcance: Productos conectables de consumo (dispositivos IoT)

Requisitos clave:

1. Sin contraseñas universales por defecto
2. Proporcionar contacto de divulgación de vulnerabilidades
3. Transparencia sobre duración de actualizaciones de seguridad

Aplicación: Oficina de Seguridad y Estándares de Productos (OPSS)

CRA de la UE

Nombre completo: Reglamento (UE) 2024/2847 (Ley de Ciberresiliencia)

Aplicación completa: 11 de diciembre de 2027

Alcance: Todos los productos con elementos digitales (mucho más amplio)

Requisitos clave: Requisitos de seguridad comprehensivos (Anexo I)

• Seguro por diseño
• Sin vulnerabilidades explotables conocidas
• Gestión de vulnerabilidades
• Actualizaciones de seguridad durante 5+ años
• Requisitos de SBOM
• Marcado CE

Aplicación: Autoridades nacionales de vigilancia de mercado

Comparación Lado a Lado

Comparación de Alcance

COMPARACIÓN DE ALCANCE

UK PSTI:
┌─────────────────────────────────────────────┐
│ Productos Conectables de Consumo            │
│                                             │
│ - Smart TVs, altavoces, cámaras             │
│ - Wearables, dispositivos smart home        │
│ - IoT de consumo                            │
│ - Juguetes infantiles con conectividad      │
│                                             │
│ EXCLUYE:                                    │
│ - Productos B2B                             │
│ - Dispositivos médicos                      │
│ - Vehículos                                 │
│ - Medidores inteligentes (otra regulación)  │
│ - Ordenadores, smartphones, tablets*        │
└─────────────────────────────────────────────┘
*Exenciones limitadas para algunos dispositivos

EU CRA:
┌─────────────────────────────────────────────┐
│ Todos los Productos con Elementos Digitales │
│                                             │
│ - IoT de consumo (igual Qué PSTI)           │
│ - Productos B2B                             │
│ - Equipos industriales                      │
│ - Software (independiente)                  │
│ - Hardware empresarial                      │
│ - Equipos de red                            │
│                                             │
│ EXCLUYE:                                    │
│ - Dispositivos médicos (MDR aplica)         │
│ - Vehículos (homologación de tipo)          │
│ - Aviación (regulación separada)            │
│ - Código abierto (no comercial)             │
└─────────────────────────────────────────────┘

Comparación de Requisitos

Los Tres Requisitos PSTI en Detalle

REQUISITOS DE SEGURIDAD UK PSTI

REQUISITO 1: SIN CONTRASEÑAS UNIVERSALES POR DEFECTO
"Las contraseñas deben ser únicas por dispositivo O
el usuario debe establecer contraseña durante setup"

- Sin valores de fábrica Cómo "admin/admin"
- Contraseña única O configuración forzada por usuario
- No debe ser fácilmente adivinable
- No debe basarse en información pública

EQUIVALENTE CRA:
El "seguro por defecto" de CRA cubre esto y más

─────────────────────────────────────────────

REQUISITO 2: DIVULGACIÓN DE VULNERABILIDADES
"El fabricante debe proporcionar un punto público
de contacto para reportar problemas de seguridad"

- Información de contacto accesible
- Debe acusar recibo de informes
- Debe manejar informes apropiadamente

EQUIVALENTE CRA:
CRA requiere política CVD MÁS notificación a ENISA

─────────────────────────────────────────────

REQUISITO 3: TRANSPARENCIA ACTUALIZACIONES SEGURIDAD
"El fabricante debe publicar el período definido
de soporte para actualizaciones de seguridad"

- Debe indicar duración en punto de venta
- No se requiere duración mínima
- La información debe ser accesible

EQUIVALENTE CRA:
CRA requiere esto MÁS mínimo 5 años de soporte

Diferencias Clave

Período de Soporte

COMPARACIÓN DE PERÍODO DE SOPORTE

UK PSTI:
"Debe indicar el período mínimo de actualización de seguridad"
- No se especifica duración mínima
- Puede ser 1 año, 2 años o cualquier período
- El fabricante elige
- Debe comunicarse claramente

EU CRA:
"Asegurará Qué las vulnerabilidades puedan abordarse
mediante actualizaciones de seguridad durante al menos 5 años"
- MÍNIMO 5 años requerido
- O vida útil esperada del producto si mayor
- Desde colocación en mercado de cada unidad
- Debe comunicarse

Gestión de Vulnerabilidades

COMPARACIÓN DE GESTIÓN DE VULNERABILIDADES

UK PSTI:
- Contacto público para informes ✓
- Manejar informes ✓
- Sin notificación A autoridad
- Sin requisitos de cronología

EU CRA:
- Contacto público ✓
- Política CVD ✓
- NOTIFICAR A ENISA:
  - 24 horas para explotadas activamente
  - 72 horas para vulnerabilidades severas
- Requisitos de notificación a clientes
- Expectativas de tiempo de corrección

Requisitos Técnicos

PROFUNDIDAD DE REQUISITOS TÉCNICOS

UK PSTI:
Solo tres requisitos específicos:
1. Contraseñas
2. Contacto de divulgación
3. Declaración de período de soporte

EU CRA:
Requisitos técnicos comprehensivos:
- Seguro por defecto
- Sin vulnerabilidades conocidas
- Protección de datos (confidencialidad, integridad)
- Control de acceso
- Protección de disponibilidad
- Minimizar superficie de ataque
- Requisitos criptográficos
- Registro de auditoría
- Resiliencia
- Mecanismos de actualización
- Y más (Anexo I)

Estrategia de Cumplimiento Dual

Enfoque: CRA Cómo Marco Principal

Dado Qué CRA es más comprehensivo, úsalo Cómo tu marco principal de cumplimiento:

ESTRATEGIA DE CUMPLIMIENTO DUAL

BASE: Cumplimiento CRA
- Implementar todos los requisitos CRA
- Cumplir requisitos esenciales Anexo I
- Preparar expediente técnico
- Generar SBOM
- Establecer gestión de vulnerabilidades
- Planificar soporte 5 años

ADICIONES UK PSTI:
- Verificar requisito de contraseña cumplido (ya cubierto)
- Verificar Qué existe contacto de divulgación (ya cubierto)
- Añadir declaración de período de soporte específica UK
- Registro en autoridad de aplicación UK (si requerido)

RESULTADO:
El cumplimiento CRA automáticamente satisface PSTI
Solo se necesitan adiciones menores específicas UK

Enfoque de Documentación

DOCUMENTACIÓN PARA CUMPLIMIENTO DUAL

DOCUMENTACIÓN COMPARTIDA:
- Arquitectura de seguridad
- Evaluación de riesgos
- Informes de pruebas
- SBOM
- Proceso de gestión de vulnerabilidades
- Documentación de usuario (contenido técnico)

ESPECÍFICO UK:
- Declaración de cumplimiento PSTI
- Declaración de período de soporte UK (puede coincidir con CRA)
- Requisitos de etiquetado/empaque mercado UK

ESPECÍFICO UE:
- Declaración UE de Conformidad
- Marcado CE
- Formato de expediente técnico según CRA
- Registro de notificación ENISA

Consideraciones de Cronología

CRONOLOGÍA DE CUMPLIMIENTO

ABRIL 2024: UK PSTI en vigor
↓
AHORA: Debe cumplir con PSTI para mercado UK
     - Sin contraseñas por defecto
     - Contacto de divulgación
     - Período de soporte declarado

SEPTIEMBRE 2026: Requisitos de notificación CRA
↓
Preparar para notificación de vulnerabilidades a ENISA

DICIEMBRE 2027: CRA completamente aplicable
↓
Cumplimiento CRA completo requerido para mercado UE
Cumplimiento CRA excede requisitos PSTI

Implementación Práctica

Requisitos de Contraseña

IMPLEMENTACIÓN CONTRASEÑA (Ambos Mercados)

OPCIÓN 1: Contraseña de Fábrica Única
- Generar contraseña única por dispositivo
- Imprimir en dispositivo/empaque
- Almacenar de forma segura (para recuperación del cliente)
- Cumple tanto PSTI Cómo CRA

OPCIÓN 2: Configuración Forzada por Usuario
- Sin contraseña preestablecida
- Requerir creación de contraseña en primer uso
- Aplicar requisitos de complejidad
- Cumple tanto PSTI Cómo CRA

IMPLEMENTACIÓN:
Mismo enfoque funciona para ambos mercados
Documentar en guía de usuario y expediente técnico

Divulgación de Vulnerabilidades

DIVULGACIÓN DE VULNERABILIDADES (Ambos Mercados)

PARA PSTI:
- Contacto público (email, formulario web)
- Proceso de acuse de recibo
- Procedimiento de manejo

PARA CRA (Adicional):
- Política CVD formal
- Capacidad de notificación ENISA
- Proceso de notificación a clientes
- Gestión de tiempo de corrección

IMPLEMENTACIÓN:
Construir proceso CVD comprehensivo
- Contacto de seguridad público ✓ (satisface PSTI)
- Política CVD ✓ (satisface CRA)
- Integración ENISA ✓ (específico CRA)

UN SOLO PROCESO SIRVE AMBOS MERCADOS

Declaración de Período de Soporte

PERÍODO DE SOPORTE (Ambos Mercados)

REQUISITO UK PSTI:
"Indicar el período de soporte definido"
Ejemplo: "Actualizaciones de seguridad hasta diciembre 2029"

REQUISITO EU CRA:
"Soporte durante al menos 5 años"
Ejemplo: "Actualizaciones de seguridad durante mínimo 5 años
desde fecha de compra, hasta al menos diciembre 2032"

DECLARACIÓN UNIFICADA:
"Este producto recibe actualizaciones de seguridad durante un
mínimo de 5 años desde la fecha de compra.
Fin esperado de soporte de seguridad: [fecha]

Para mercado UK: Conforme con PSTI Act 2022
Para mercado UE: Conforme con Reglamento (UE) 2024/2847"

Diferencias de Vigilancia de Mercado

UK: OPSS

APLICACIÓN UK

Autoridad: Oficina de Seguridad y Estándares de Productos (OPSS)

Poderes:
- Avisos de cumplimiento
- Avisos de parada
- Avisos de retirada
- Confiscación
- Sanciones hasta £10M o 4% facturación global

Contactos Clave:
Web: https://www.gov.uk/government/organisations/
     office-for-product-safety-and-standards
Info PSTI: https://www.gov.uk/guidance/
           product-security-and-telecommunications-infrastructure-psti-act

UE: Autoridades Nacionales

APLICACIÓN UE

Autoridad: Autoridades nacionales de vigilancia de mercado
(varía por estado miembro)

Poderes (según CRA):
- Medidas correctivas
- Retirada del mercado
- Recall
- Multas hasta €15M o 2,5% facturación global

Coordinación:
Grupos ADCO (Cooperación Administrativa)
ENISA para gestión de vulnerabilidades

Preguntas Frecuentes: Cumplimiento Dual

¿Necesito certificaciones separadas?

Respuesta: No se requiere certificación unificada para ninguna.

• PSTI: Auto-declaración de cumplimiento
• CRA: Auto-evaluación (Default) u Organismo Notificado (Importante/Crítico)

Si CRA requiere evaluación de terceros, esa evidencia apoya PSTI también.

¿Puedo usar un documento para ambos?

Respuesta: Parcialmente.

• La documentación técnica puede compartirse
• La documentación de usuario puede servir ambos (con declaraciones apropiadas)
• Se necesitan algunas declaraciones específicas UK
• La Declaración UE de Conformidad es específica UE

¿Qué pasa con Irlanda del Norte?

Respuesta: Situación compleja.

• Aplica el Marco Windsor
• Las reglas UE aplican para bienes Qué entran a NI desde GB
• CRA aplicará a productos colocados en mercado NI
• PSTI aplica para mercado GB

Buscar orientación específica para colocación en mercado NI.

Mi producto es B2B, ¿aplica PSTI?

Respuesta: Probablemente no.

• PSTI cubre "productos conectables de consumo"
• Productos B2B/empresariales generalmente excluidos
• CRA cubre todos los productos (incluyendo B2B)

Para productos B2B: Enfocarse solo en CRA para UE, PSTI no aplica.

Lista de Verificación: Cumplimiento de Mercado Dual

LISTA DE VERIFICACIÓN CUMPLIMIENTO DUAL

UK PSTI (Ahora):
[ ] Sin contraseñas universales por defecto implementadas
[ ] Contacto de vulnerabilidades público publicado
[ ] Período de soporte claramente indicado
[ ] Declaración de cumplimiento UK preparada
[ ] Orientación OPSS revisada

EU CRA (Para Dic 2027):
[ ] Todos los requisitos esenciales (Anexo I) abordados
[ ] SBOM generado y mantenido
[ ] Proceso gestión vulnerabilidades con notificación ENISA
[ ] Período de soporte 5 años comprometido
[ ] Expediente técnico preparado
[ ] Evaluación de conformidad completada
[ ] Marcado CE aplicado
[ ] Declaración UE de Conformidad firmada

COMPARTIDO:
[ ] Seguridad de contraseña implementada (cubre ambos)
[ ] Contacto divulgación vulnerabilidades (cubre ambos)
[ ] Período de soporte comunicado (cumple ambos)
[ ] Documentación de usuario (adaptada por mercado)
[ ] Pruebas de seguridad completadas

Recursos Clave

RECURSOS REGULATORIOS

UK PSTI:
Ley: https://www.legislation.gov.uk/ukpga/2022/46
Orientación: https://www.gov.uk/guidance/product-security-
          and-telecommunications-infrastructure-psti-act
OPSS: https://www.gov.uk/government/organisations/
      office-for-product-safety-and-standards

EU CRA:
Reglamento: https://eur-lex.europa.eu/legal-content/EN/TXT/
            ?uri=CELEX:32024R2847
Página CE: https://digital-strategy.ec.europa.eu/en/
         policies/cyber-resilience-act

ESTÁNDARES:
ETSI EN 303 645: Seguridad IoT de consumo
(Se alinea con tanto PSTI Cómo CRA)

Guias relacionadas:

• Clasificacion de Productos CRA: Es su Producto Default, Important o Critical?
• Cumplimiento CRA para IoT de Consumo: Alineacion EN 303 645 y Guia de Seguridad Smart Home
• EU Cyber Resilience Act: Cronograma Completo de Implementacion 2025-2027

Cómo Ayuda CRA Evidence

CRA Evidence apoya el cumplimiento de mercado dual:

• Enfoque CRA-primero: Construir sobre marco CRA comprehensivo
• Mapeo PSTI: Seguir requisitos PSTI Cómo subconjunto
• Documentación multi-mercado: Generar documentos específicos por mercado
• Fuente única de verdad: Gestionar evidencia de cumplimiento una vez
• Gestión de vulnerabilidades: Proceso unificado para ambos mercados

Comienza tu cumplimiento de mercado dual en app.craevidence.com.

Este artículo es solo para fines informativos y no constituye asesoramiento legal. Para orientación específica de cumplimiento, consulte con asesoría legal cualificada en las jurisdicciones relevantes.