CRA vs UK PSTI: guía de cumplimiento para mercados de la UE y Reino Unido
Comparando la Ley de Ciberresiliencia de la UE con la Ley PSTI del Reino Unido. Cubre diferencias, superposición y estrategias de cumplimiento dual.
En este artículo
- Resumen ejecutivo
- Cómo difieren CRA y UK PSTI en alcance
- Comparación lado a lado
- Dónde el CRA va más allá de UK PSTI
- Cómo construir un único programa de cumplimiento para ambos mercados
- Cómo difieren la aplicación en UK y UE
- Lista de verificación: cumplimiento de mercado dual
- Recursos oficiales del CRA y PSTI
- Preguntas frecuentes: cumplimiento dual
- Próximos pasos
Post-Brexit, la UE y el Reino Unido han desarrollado regulaciones de ciberseguridad de productos separadas. Si vendes productos conectados en ambos mercados, necesitas cumplir tanto con la Ley de Ciberresiliencia de la UE (CRA) como con la Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones del Reino Unido (PSTI). La buena noticia: hay superposición significativa.
Esta guía compara ambas regulaciones y esboza una estrategia de cumplimiento dual.
Resumen ejecutivo
- La Ley PSTI del Reino Unido está en vigor desde abril 2024 (¡ya aplicable!)
- El CRA de la UE aplica completamente desde diciembre 2027
- PSTI es más estrecha (IoT de consumo) vs. CRA (todos los productos con elementos digitales)
- PSTI tiene 3 requisitos de seguridad vs. la lista comprehensiva del CRA
- El cumplimiento CRA cubre en gran medida los requisitos PSTI
- Cumplimiento dual alcanzable con CRA como marco principal
Cómo difieren CRA y UK PSTI en alcance
Ley PSTI del Reino Unido
Nombre completo: Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones de 2022
En vigor: 29 de abril de 2024
Alcance: Productos conectables de consumo (dispositivos IoT)
Requisitos clave:
- Sin contraseñas universales por defecto
- Proporcionar contacto de divulgación de vulnerabilidades
- Transparencia sobre duración de actualizaciones de seguridad
Aplicación: Oficina de Seguridad y Estándares de Productos (OPSS)
CRA de la UE
Nombre completo: Reglamento (UE) 2024/2847 (Ley de Ciberresiliencia)
Aplicación completa: 11 de diciembre de 2027
Alcance: Todos los productos con elementos digitales (mucho más amplio)
Requisitos clave: Requisitos de seguridad comprehensivos (Anexo I)
- Seguro por diseño
- Sin vulnerabilidades explotables conocidas
- Gestión de vulnerabilidades
- Actualizaciones de seguridad durante 5+ años
- Requisitos de SBOM
- Marcado CE
Aplicación: Autoridades nacionales de vigilancia de mercado
Comparación lado a lado
Comparación de alcance
COMPARACIÓN DE ALCANCE
UK PSTI:
┌─────────────────────────────────────────────┐
│ Productos Conectables de Consumo │
│ │
│ - Smart TVs, altavoces, cámaras │
│ - Wearables, dispositivos smart home │
│ - IoT de consumo │
│ - Juguetes infantiles con conectividad │
│ │
│ EXCLUYE: │
│ - Productos B2B │
│ - Dispositivos médicos │
│ - Vehículos │
│ - Medidores inteligentes (otra regulación) │
│ - Ordenadores, smartphones, tablets* │
└─────────────────────────────────────────────┘
*Exenciones limitadas para algunos dispositivos
EU CRA:
┌─────────────────────────────────────────────┐
│ Todos los Productos con Elementos Digitales │
│ │
│ - IoT de consumo (igual qué PSTI) │
│ - Productos B2B │
│ - Equipos industriales │
│ - Software (independiente) │
│ - Hardware empresarial │
│ - Equipos de red │
│ │
│ EXCLUYE: │
│ - Dispositivos médicos (MDR aplica) │
│ - Vehículos (homologación de tipo) │
│ - Aviación (regulación separada) │
│ - Código abierto (no comercial) │
└─────────────────────────────────────────────┘
Comparación de requisitos
| Área de Requisito | UK PSTI | EU CRA |
|---|---|---|
| Sin contraseñas por defecto | ✓ Requerido | ✓ Requerido (seguro por defecto) |
| Divulgación de vulnerabilidades | ✓ Punto de contacto requerido | ✓ Política CVD + notificación ENISA |
| Transparencia período soporte | ✓ Debe indicar duración | ✓ Debe indicar (mín 5 años) |
| Período mínimo de soporte | ✗ Sin mínimo | ✓ 5 años mínimo |
| Seguridad desde diseño | ✗ No explícito | ✓ Requisitos comprehensivos |
| Sin vulnerabilidades conocidas | ✗ No explícito | ✓ Requerido |
| Requisitos de cifrado | ✗ No requerido | ✓ Requerido |
| Control de acceso | ✗ No requerido | ✓ Requerido |
| SBOM | ✗ No requerido | ✓ Requerido |
| Evaluación de conformidad | ✗ Auto-declaración | ✓ Auto o terceros |
| Marcado CE | ✗ No aplica | ✓ Requerido |
| Notificación ENISA | ✗ No aplica | ✓ Requerido (24h/72h) |
Los tres requisitos PSTI en detalle
REQUISITOS DE SEGURIDAD UK PSTI
REQUISITO 1: SIN CONTRASEÑAS UNIVERSALES POR DEFECTO
"Las contraseñas deben ser únicas por dispositivo O
el usuario debe establecer contraseña durante setup"
- Sin valores de fábrica cómo "admin/admin"
- Contraseña única O configuración forzada por usuario
- No debe ser fácilmente adivinable
- No debe basarse en información pública
EQUIVALENTE CRA:
El "seguro por defecto" de CRA cubre esto y más
─────────────────────────────────────────────
REQUISITO 2: DIVULGACIÓN DE VULNERABILIDADES
"El fabricante debe proporcionar un punto público
de contacto para notificar problemas de seguridad"
- información de contacto accesible
- Debe acusar recibo de informes
- Debe gestionar los informes de forma adecuada
EQUIVALENTE CRA:
CRA requiere política CVD MÁS notificación a ENISA
─────────────────────────────────────────────
REQUISITO 3: TRANSPARENCIA ACTUALIZACIONES SEGURIDAD
"El fabricante debe publicar el período definido
de soporte para actualizaciones de seguridad"
- Debe indicar duración en punto de venta
- No se requiere duración mínima
- La información debe ser accesible
EQUIVALENTE CRA:
CRA requiere esto MÁS mínimo 5 años de soporte
Dónde el CRA va más allá de UK PSTI
Período de soporte
COMPARACIÓN DE PERÍODO DE SOPORTE
UK PSTI:
"Debe indicar el período mínimo de actualización de seguridad"
- No se específica duración mínima
- Puede ser 1 año, 2 años o cualquier período
- El fabricante elige
- Debe comunicarse claramente
EU CRA:
"Asegurará qué las vulnerabilidades puedan abordarse
mediante actualizaciones de seguridad durante al menos 5 años"
- MÍNIMO 5 años requerido
- O vida útil esperada del producto si mayor
- Desde colocación en mercado de cada unidad
- Debe comunicarse
Gestión de vulnerabilidades
COMPARACIÓN DE GESTIÓN DE VULNERABILIDADES
UK PSTI:
- Contacto público para informes ✓
- Gestionar informes ✓
- Sin notificación A autoridad
- Sin requisitos de cronología
EU CRA:
- Contacto público ✓
- Política CVD ✓
- NOTIFICAR A ENISA:
- 24 horas para explotadas activamente
- 72 horas para vulnerabilidades severas
- Requisitos de notificación a clientes
- Expectativas de tiempo de corrección
Requisitos técnicos
PROFUNDIDAD DE REQUISITOS TÉCNICOS
UK PSTI:
Solo tres requisitos específicos:
1. Contraseñas
2. Contacto de divulgación
3. Declaración de período de soporte
EU CRA:
Requisitos técnicos comprehensivos:
- Seguro por defecto
- Sin vulnerabilidades conocidas
- Protección de datos (confidencialidad, integridad)
- Control de acceso
- Protección de disponibilidad
- Minimizar superficie de ataque
- Requisitos criptográficos
- Registro de auditoría
- Resiliencia
- Mecanismos de actualización
- Y más (Anexo I)
Cómo construir un único programa de cumplimiento para ambos mercados
Enfoque: CRA como marco principal
Dado que CRA es más comprehensivo, úsalo como tu marco principal de cumplimiento:
ESTRATEGIA DE CUMPLIMIENTO DUAL
BASE: Cumplimiento CRA
- Implementar todos los requisitos CRA
- Cumplir requisitos esenciales Anexo I
- Preparar expediente técnico
- Generar SBOM
- Establecer gestión de vulnerabilidades
- Planificar soporte 5 años
ADICIONES UK PSTI:
- Verificar requisito de contraseña cumplido (ya cubierto)
- Verificar qué existe contacto de divulgación (ya cubierto)
- Añadir declaración de período de soporte específica UK
- Registro en autoridad de aplicación UK (si requerido)
RESULTADO:
El cumplimiento CRA automáticamente satisface PSTI
Solo se necesitan adiciones menores específicas UK
Enfoque de documentación
DOCUMENTACIÓN PARA CUMPLIMIENTO DUAL
DOCUMENTACIÓN COMPARTIDA:
- Arquitectura de seguridad
- evaluación de riesgos
- Informes de pruebas
- SBOM
- Proceso de gestión de vulnerabilidades
- documentación de usuario (contenido técnico)
ESPECÍFICO UK:
- Declaración de cumplimiento PSTI
- Declaración de período de soporte UK (puede coincidir con CRA)
- Requisitos de etiquetado/empaque mercado UK
ESPECÍFICO UE:
- Declaración UE de Conformidad
- Marcado CE
- Formato de expediente técnico según CRA
- Registro de notificación ENISA
Consideraciones de cronología
CRONOLOGÍA DE CUMPLIMIENTO
ABRIL 2024: UK PSTI en vigor
↓
AHORA: Debe cumplir con PSTI para mercado UK
- Sin contraseñas por defecto
- Contacto de divulgación
- Período de soporte declarado
SEPTIEMBRE 2026: Requisitos de notificación CRA
↓
Preparar para notificación de vulnerabilidades a ENISA
DICIEMBRE 2027: CRA completamente aplicable
↓
Cumplimiento CRA completo requerido para mercado UE
Cumplimiento CRA excede requisitos PSTI
Requisitos de contraseña
IMPLEMENTACIÓN CONTRASEÑA (Ambos Mercados)
OPCIÓN 1: Contraseña de Fábrica Única
- Generar contraseña única por dispositivo
- Imprimir en dispositivo/empaque
- Almacenar de forma segura (para recuperación del cliente)
- Cumple tanto PSTI como CRA
OPCIÓN 2: configuración Forzada por Usuario
- Sin contraseña preestablecida
- Requerir creación de contraseña en primer uso
- Aplicar requisitos de complejidad
- Cumple tanto PSTI como CRA
IMPLEMENTACIÓN:
Mismo enfoque funciona para ambos mercados
Documentar en guía de usuario y expediente técnico
Divulgación de vulnerabilidades
DIVULGACIÓN DE VULNERABILIDADES (Ambos Mercados)
PARA PSTI:
- Contacto público (email, formulario web)
- Proceso de acuse de recibo
- Procedimiento de gestión
PARA CRA (Adicional):
- Política CVD formal
- Capacidad de notificación ENISA
- Proceso de notificación a clientes
- Gestión de tiempo de corrección
IMPLEMENTACIÓN:
Construir proceso CVD comprehensivo
- Contacto de seguridad público ✓ (satisface PSTI)
- Política CVD ✓ (satisface CRA)
- Integración ENISA ✓ (específico CRA)
UN SOLO PROCESO SIRVE AMBOS MERCADOS
Declaración de período de soporte
PERÍODO DE SOPORTE (Ambos Mercados)
REQUISITO UK PSTI:
"Indicar el período de soporte definido"
Ejemplo: "Actualizaciones de seguridad hasta diciembre 2029"
REQUISITO EU CRA:
"Soporte durante al menos 5 años"
Ejemplo: "Actualizaciones de seguridad durante mínimo 5 años
desde fecha de compra, hasta al menos diciembre 2032"
DECLARACIÓN UNIFICADA:
"Este producto recibe actualizaciones de seguridad durante un
mínimo de 5 años desde la fecha de compra.
Fin esperado de soporte de seguridad: [fecha]
Para mercado UK: Conforme con PSTI Act 2022
Para mercado UE: Conforme con Reglamento (UE) 2024/2847"
Cómo difieren la aplicación en UK y UE
UK: OPSS
APLICACIÓN UK
Autoridad: Oficina de Seguridad y Estándares de Productos (OPSS)
Poderes:
- Avisos de cumplimiento
- Avisos de parada
- Avisos de retirada
- Confiscación
- Sanciones hasta £10M o 4% facturación global
Contactos Clave:
Web: https://www.gov.uk/government/organisations/office-for-product-safety-and-standards
Info PSTI: https://www.gov.uk/guidance/regulations-consumer-connectable-product-security
UE: autoridades nacionales
APLICACIÓN UE
Autoridad: Autoridades nacionales de vigilancia de mercado
(varía por estado miembro)
Poderes (según CRA):
- Medidas correctivas
- Retirada del mercado
- Recall
- Multas hasta €15M o 2,5% facturación global
Coordinación:
Grupos ADCO (Cooperación Administrativa)
ENISA para gestión de vulnerabilidades
Lista de verificación: cumplimiento de mercado dual
LISTA DE VERIFICACIÓN CUMPLIMIENTO DUAL
UK PSTI (Ahora):
[ ] Sin contraseñas universales por defecto implementadas
[ ] Contacto de vulnerabilidades público publicado
[ ] Período de soporte claramente indicado
[ ] Declaración de cumplimiento UK preparada
[ ] Orientación OPSS revisada
EU CRA (Para Dic 2027):
[ ] Todos los requisitos esenciales (Anexo I) abordados
[ ] SBOM generado y mantenido
[ ] Proceso gestión vulnerabilidades con notificación ENISA
[ ] Período de soporte 5 años comprometido
[ ] Expediente técnico preparado
[ ] evaluación de conformidad completada
[ ] Marcado CE aplicado
[ ] Declaración UE de Conformidad firmada
COMPARTIDO:
[ ] Seguridad de contraseña implementada (cubre ambos)
[ ] Contacto divulgación vulnerabilidades (cubre ambos)
[ ] Período de soporte comunicado (cumple ambos)
[ ] documentación de usuario (adaptada por mercado)
[ ] Pruebas de seguridad completadas
Recursos oficiales del CRA y PSTI
RECURSOS REGULATORIOS
UK PSTI:
Ley: https://www.legislation.gov.uk/ukpga/2022/46
Orientación: https://www.gov.uk/guidance/regulations-consumer-connectable-product-security
OPSS: https://www.gov.uk/government/organisations/office-for-product-safety-and-standards
EU CRA:
Reglamento: https://eur-lex.europa.eu/legal-content/EN/TXT/
?uri=CELEX:32024R2847
Página CE: https://digital-strategy.ec.europa.eu/en/
policies/cyber-resilience-act
ESTÁNDARES:
ETSI EN 303 645: Seguridad IoT de consumo
(Se alinea con tanto PSTI como CRA)
Información: UK PSTI y EU CRA tienen alcances diferentes. PSTI se enfoca en seguridad básica de IoT para consumidores; CRA cubre TODOS los productos con elementos digitales, con requisitos más profundos.
Consejo: Si vendes en mercados UK y UE, construye según estándares CRA. El cumplimiento PSTI seguirá naturalmente ya que CRA supera los requisitos PSTI.
Preguntas frecuentes: cumplimiento dual
¿Cuándo aplica PSTI a un producto vendido a clientes empresariales?
PSTI se dirige a "productos conectables de consumo". Un producto vendido exclusivamente B2B a través de canales empresariales generalmente queda fuera del alcance de PSTI. La zona gris es el hardware de doble uso (una cámara inteligente vendida tanto a hogares como a pequeñas empresas): si el mismo SKU llega a estar disponible para consumidores en el Reino Unido, PSTI aplica. Documenta la ruta de distribución por SKU y conserva evidencia de que la vía al consumidor está cerrada si quieres argumentar que PSTI no aplica. CRA aplica igualmente para la colocación en la UE.
¿Puede un solo proceso de divulgación de vulnerabilidades satisfacer tanto al CRA como a PSTI?
Sí, si lo construyes al nivel más alto. PSTI exige un contacto público de notificación y un proceso de gestión. CRA (Art. 13(6)/(7)) exige una política documentada de divulgación coordinada de vulnerabilidades, un punto único de contacto y notificación al CSIRT nacional mediante la Plataforma Única de Notificación de ENISA en 24h/72h. Un proceso CVD al nivel del CRA cubre automáticamente PSTI. Lo inverso no es cierto. Publica un único security.txt, una única política y un único flujo de recepción, y añade después el paso de notificación a ENISA para los productos del mercado UE.
¿Cómo deben diferenciarse las declaraciones de período de soporte para el empaque de UK y UE?
La redacción difiere, no el compromiso subyacente. UK PSTI exige declarar el período mínimo definido en el punto de venta, y cualquier duración es legal siempre que sea clara. CRA (Art. 13(8)) exige al menos 5 años, o la vida útil prevista del producto si es menor. Si te comprometes a 5+ años en todos los casos, puedes usar una única declaración en empaque compartido ("Actualizaciones de seguridad hasta [fecha]"). Si ofreces soporte UK más corto, necesitas un texto específico para UK y no puedes reutilizar el empaque UE.
¿Qué cambia si el mismo dispositivo se vende a través de distribuidores en ambos mercados?
Las obligaciones recaen sobre el operador económico que coloca el producto en cada mercado. Un distribuidor UK que importa de un fabricante UE asume obligaciones de importador bajo PSTI, incluyendo verificar la declaración de cumplimiento y el etiquetado. Un importador o distribuidor UE asume las obligaciones CRA Art. 19/20. Si eres el fabricante, sigues teniendo que entregar a cada distribuidor los artefactos de cumplimiento adecuados para su mercado: declaración de cumplimiento PSTI para UK, Declaración UE de Conformidad y referencia del expediente técnico para UE. Escríbelo en los contratos de distribución.
¿Ayuda el marcado CE con el cumplimiento de PSTI de algún modo?
No. CE es un marcado exclusivo UE y no tiene efecto legal en Gran Bretaña tras el Brexit. El cumplimiento PSTI se evidencia mediante una declaración de cumplimiento que acompaña al producto, no mediante un marcado. Colocar CE en un producto del mercado UK ni ayuda ni perjudica para PSTI, pero el marcado UKCA es otra cuestión (y PSTI no lo exige). No te apoyes en CE como prueba de cumplimiento PSTI durante la aplicación por OPSS.
¿Qué comprobaciones adicionales se necesitan para la colocación en Irlanda del Norte?
Irlanda del Norte es el caso complicado. Bajo el Marco Windsor, los bienes colocados en el mercado de NI deben cumplir las reglas UE, por lo que CRA aplica a la colocación en NI una vez esté en vigor, aunque NI sea parte del Reino Unido. PSTI aplica a GB (Inglaterra, Escocia, Gales) pero no a NI. Si el mismo SKU va a GB y a NI, necesitas tanto cumplimiento PSTI (para GB) como cumplimiento CRA (para NI). Registra la colocación por mercado en los registros de lote para que una investigación de OPSS o de una autoridad UE pueda responderse con evidencia de ruta de colocación.
Artículos Relacionados
¿Se aplica el CRA a tu producto?
Responde 6 preguntas sencillas para saber si tu producto está dentro del ámbito del Reglamento de Ciberresiliencia de la UE. Obtén tu resultado en menos de 2 minutos.
¿Listo para lograr el cumplimiento del CRA?
Empieza a gestionar tus SBOMs y documentación de cumplimiento con CRA Evidence.