CRA vs UK PSTI : guide de conformité pour les marchés UE et UK

Après le Brexit, l'UE et le Royaume-Uni ont développé des réglementations séparées sur la cybersécurité des produits. Si vous vendez des produits connectés sur les deux marchés, vous devez vous conformer à la fois au Cyber Resilience Act (CRA) de l'UE et au Product Security and Telecommunications Infrastructure (PSTI) Act du Royaume-Uni. La bonne nouvelle : il y a un chevauchement significatif.

Ce guide compare les deux réglementations et présente une stratégie de double conformité.

Différences de périmètre entre CRA et UK PSTI

UK PSTI act

Nom complet : Loi de 2022 sur la sécurité des produits et l’infrastructure des télécommunications

En vigueur : 29 avril 2024

Périmètre : Produits connectables grand public (appareils IoT)

Exigences clés :

1. Pas de mots de passe par défaut universels
2. Fournir un contact de divulgation des vulnérabilités
3. Transparence sur la durée des mises à jour de sécurité

Application : Office de la sécurité des produits et des normes (OPSS)

CRA de l'UE

Nom complet : Règlement (UE) 2024/2847 (Cyber Resilience Act)

Application complète : 11 décembre 2027

Périmètre : Tous les produits comportant des éléments numériques (beaucoup plus large)

Exigences clés : Exigences de sécurité complètes (Annexe I)

• Sécurisé dès la conception
• Pas de vulnérabilités exploitables connues
• Gestion des vulnérabilités
• Mises à jour de sécurité pendant 5+ ans
• Exigences SBOM
• Marquage CE

Application : Autorités nationales de surveillance du marché

Comparaison côte à côte

Comparaison du périmètre

COMPARAISON DU PÉRIMÈTRE

UK PSTI :
┌─────────────────────────────────────────────┐
│ Produits Connectables Grand Public          │
│                                             │
│ - Smart TV, enceintes, caméras              │
│ - Wearables, appareils maison connectée     │
│ - IoT grand public                          │
│ - Jouets pour enfants avec connectivité     │
│                                             │
│ EXCLUS :                                    │
│ - Produits B2B                              │
│ - Dispositifs médicaux                      │
│ - Véhicules                                 │
│ - Compteurs intelligents (autre régulation) │
│ - Ordinateurs, smartphones, tablettes*      │
└─────────────────────────────────────────────┘
*Exemptions limitées pour certains appareils informatiques

CRA de l'UE :
┌─────────────────────────────────────────────┐
│ Tous les Produits avec Éléments Numériques  │
│                                             │
│ - IoT grand public (même que PSTI)          │
│ - Produits B2B                              │
│ - Équipement industriel                     │
│ - Logiciels (autonomes)                     │
│ - Matériel entreprise                       │
│ - Équipement réseau                         │
│                                             │
│ EXCLUS :                                    │
│ - Dispositifs médicaux (MDR s'applique)     │
│ - Véhicules (homologation)                  │
│ - Aviation (réglementation séparée)         │
│ - Open source (non commercial)              │
└─────────────────────────────────────────────┘

Comparaison des exigences

Les trois exigences PSTI en détail

EXIGENCES DE SÉCURITÉ UK PSTI

EXIGENCE 1 : PAS DE MOTS DE PASSE PAR DÉFAUT UNIVERSELS
"Les mots de passe doivent être uniques par appareil OU
l'utilisateur doit définir le mot de passe lors de l'installation"

- Pas de mots de passe usine comme "admin/admin"
- Mot de passe unique OU configuration utilisateur forcée
- Ne doit pas être facilement devinable
- Ne doit pas être basé sur des informations publiques

ÉQUIVALENT CRA :
Le "sécurisé par défaut" du CRA couvre cela et plus

─────────────────────────────────────────────

EXIGENCE 2 : DIVULGATION DES VULNÉRABILITÉS
"Le fabricant doit fournir un point de contact public
pour signaler les problèmes de sécurité"

- Informations de contact accessibles
- Doit accuser réception des signalements
- Doit traiter les signalements de manière appropriée

ÉQUIVALENT CRA :
Le CRA exige une politique CVD PLUS le reporting à ENISA

─────────────────────────────────────────────

EXIGENCE 3 : TRANSPARENCE MISES À JOUR DE SÉCURITÉ
"Le fabricant doit publier la période de support
définie pour les mises à jour de sécurité"

- Doit indiquer la durée au point de vente
- Aucune durée minimale requise
- L'information doit être accessible

ÉQUIVALENT CRA :
Le CRA exige cela PLUS un support minimum de 5 ans

Là où le CRA va au-delà du UK PSTI

Période de support

COMPARAISON PÉRIODE DE SUPPORT

UK PSTI :
"Doit indiquer la période minimale de mises à jour de sécurité"
- Aucune durée minimale spécifiée
- Peut être 1 an, 2 ans, ou toute période
- Le fabricant choisit
- Doit être clairement communiqué

CRA UE :
"Doit assurer que les vulnérabilités peuvent être corrigées
par des mises à jour de sécurité pendant au moins 5 ans"
- MINIMUM 5 ans requis
- Ou durée de vie attendue du produit si plus longue
- À partir de la mise sur le marché de chaque unité
- Doit être communiqué

Gestion des vulnérabilités

COMPARAISON GESTION DES VULNÉRABILITÉS

UK PSTI :
- Contact public pour les signalements ✓
- Traiter les signalements ✓
- Pas de reporting VERS l'autorité
- Pas d'exigences de délai

CRA UE :
- Contact public ✓
- Politique CVD ✓
- REPORTER À ENISA :
  - 24 heures pour exploitée activement
  - 72 heures pour vulnérabilités sévères
- Exigences de notification client
- Attentes de délai de correction

Stratégie de double conformité

Approche : CRA comme cadre principal

Puisque le CRA est plus complet, utilisez-le comme cadre principal de conformité :

STRATÉGIE DE DOUBLE CONFORMITÉ

BASE : Conformité CRA
- Implémenter toutes les exigences CRA
- Satisfaire les exigences essentielles de l'Annexe I
- Préparer la documentation technique
- Générer le SBOM
- Établir la gestion des vulnérabilités
- Planifier le support de 5 ans

AJOUTS UK PSTI :
- Vérifier que l'exigence mot de passe est satisfaite (déjà couverte)
- Vérifier que le contact de divulgation existe (déjà couvert)
- Ajouter la déclaration de période de support spécifique UK
- Enregistrement auprès de l'autorité UK (si requis)

RÉSULTAT :
La conformité CRA satisfait automatiquement le PSTI
Seuls des ajouts mineurs spécifiques UK nécessaires

Approche documentation

DOCUMENTATION POUR DOUBLE CONFORMITÉ

DOCUMENTATION PARTAGÉE :
- Architecture de sécurité
- Évaluation des risques
- Rapports de tests
- SBOM
- Processus de gestion des vulnérabilités
- Documentation utilisateur (contenu technique)

SPÉCIFIQUE UK :
- Déclaration de conformité PSTI
- Déclaration de période de support UK (peut correspondre au CRA)
- Exigences d'étiquetage/emballage marché UK

SPÉCIFIQUE UE :
- Déclaration UE de Conformité
- Marquage CE
- Format documentation technique selon CRA
- Enregistrement reporting ENISA

Considérations temporelles

CHRONOLOGIE DE CONFORMITÉ

AVRIL 2024 : UK PSTI en vigueur
↓
MAINTENANT : Doit se conformer au PSTI pour le marché UK
     - Pas de mots de passe par défaut
     - Contact de divulgation
     - Période de support indiquée

SEPTEMBRE 2026 : Exigences de reporting CRA
↓
Se préparer au reporting de vulnérabilités ENISA

DÉCEMBRE 2027 : CRA pleinement applicable
↓
Conformité CRA complète requise pour le marché UE
La conformité CRA dépasse les exigences PSTI

Construire un programme de conformité unique pour les deux marchés

Exigences mot de passe

IMPLÉMENTATION MOT DE PASSE (Les Deux Marchés)

OPTION 1 : Mot de Passe Usine Unique
- Générer mot de passe unique par appareil
- Imprimer sur l'appareil/emballage
- Stocker de manière sécurisée (pour récupération client)
- Satisfait PSTI et CRA

OPTION 2 : Configuration Utilisateur Forcée
- Pas de mot de passe pré-défini
- Exiger création de mot de passe au premier usage
- Appliquer exigences de complexité
- Satisfait PSTI et CRA

IMPLÉMENTATION :
Même approche fonctionne pour les deux marchés
Documenter dans le guide utilisateur et la documentation technique

Divulgation des vulnérabilités

DIVULGATION DES VULNÉRABILITÉS (Les Deux Marchés)

POUR PSTI :
- Contact public (email, formulaire web)
- Processus d'accusé de réception
- Procédure de traitement

POUR CRA (Supplémentaire) :
- Politique CVD formelle
- Capacité de reporting ENISA
- Processus de notification client
- Gestion des délais de correction

IMPLÉMENTATION :
Construire un processus CVD complet
- Contact sécurité public ✓ (satisfait PSTI)
- Politique CVD ✓ (satisfait CRA)
- Intégration ENISA ✓ (spécifique CRA)

UN SEUL PROCESSUS SERT LES DEUX MARCHÉS

Déclaration de période de support

PÉRIODE DE SUPPORT (Les Deux Marchés)

EXIGENCE UK PSTI :
"Indiquer la période minimale de mises à jour de sécurité"
Exemple : "Mises à jour de sécurité fournies jusqu'en décembre 2029"

EXIGENCE CRA UE :
"Support pendant au moins 5 ans"
Exemple : "Mises à jour de sécurité fournies pendant minimum 5 ans
à partir de la date d'achat, jusqu'à au moins décembre 2032"

DÉCLARATION UNIFIÉE :
"Ce produit reçoit des mises à jour de sécurité pour un minimum
de 5 ans à partir de la date d'achat.
Fin de support sécurité prévue : [date]

Pour le marché UK : Conforme au PSTI Act 2022
Pour le marché UE : Conforme au Règlement (UE) 2024/2847"

Différences entre l'application au royaume-uni et dans l'UE

Royaume-uni : OPSS

APPLICATION AU ROYAUME-UNI

Autorité : Office for Product Safety and Standards (OPSS)

Pouvoirs :
- Avis de mise en conformité
- Avis d'arrêt
- Avis de rappel
- Confiscation
- Sanctions jusqu'à 10 M£ ou 4 % du chiffre d'affaires mondial

Contacts clés :
Site : https://www.gov.uk/government/organisations/office-for-product-safety-and-standards
Informations PSTI : https://www.gov.uk/guidance/regulations-consumer-connectable-product-security

UE : autorités nationales

APPLICATION DANS L'UE

Autorité : autorités nationales de surveillance du marché
(varie selon l'État membre)

Pouvoirs (selon le CRA) :
- Mesures correctives
- Retrait du marché
- Rappel
- Amendes jusqu'à 15 M EUR ou 2,5 % du chiffre d'affaires mondial

Coordination :
Groupes ADCO (coopération administrative)
ENISA pour la gestion des vulnérabilités

Liste de contrôle : conformité double marché

LISTE DE CONTRÔLE DOUBLE CONFORMITÉ

UK PSTI (Maintenant) :
[ ] Pas de mots de passe par défaut universels implémenté
[ ] Contact de vulnérabilité public publié
[ ] Période de support clairement indiquée
[ ] Déclaration de conformité UK préparée
[ ] Guidance OPSS examinée

CRA UE (D'ici Déc 2027) :
[ ] Toutes les exigences essentielles (Annexe I) traitées
[ ] SBOM généré et maintenu
[ ] Processus de gestion des vulnérabilités avec reporting ENISA
[ ] Période de support de 5 ans engagée
[ ] Documentation technique préparée
[ ] Évaluation de conformité complétée
[ ] Marquage CE appliqué
[ ] Déclaration UE de Conformité signée

PARTAGÉ :
[ ] Sécurité mot de passe implémentée (couvre les deux)
[ ] Contact divulgation vulnérabilités (couvre les deux)
[ ] Période de support communiquée (satisfait les deux)
[ ] Documentation utilisateur (adaptée par marché)
[ ] Tests de sécurité complétés

Ressources officielles CRA et PSTI

RESSOURCES RÉGLEMENTAIRES

UK PSTI :
Loi : https://www.legislation.gov.uk/ukpga/2022/46
Guidance : https://www.gov.uk/guidance/regulations-consumer-connectable-product-security
OPSS : https://www.gov.uk/government/organisations/office-for-product-safety-and-standards

CRA UE :
Règlement : https://eur-lex.europa.eu/legal-content/EN/TXT/
            ?uri=CELEX:32024R2847
Page CE : https://digital-strategy.ec.europa.eu/en/
         policies/cyber-resilience-act

STANDARDS :
ETSI EN 303 645 : sécurité IoT grand public
(Aligné avec PSTI et CRA)

Info : UK PSTI et EU CRA ont des portées différentes. Le PSTI se concentre sur les bases de la sécurité IoT grand public, le CRA couvre TOUS les produits comportant des éléments numériques et pose des exigences plus approfondies.

Conseil : Si vous vendez sur les marchés UK et UE, construisez selon les normes CRA. La conformité PSTI suivra naturellement puisque le CRA dépasse les exigences PSTI.

FAQ : double conformité

Quand le PSTI s'applique-t-il à un produit vendu à des clients professionnels ?

Le PSTI cible les « produits connectables grand public ». Un produit vendu exclusivement en B2B via des canaux entreprise reste généralement hors champ du PSTI. La zone grise concerne le matériel à double usage (une caméra intelligente vendue à la fois aux particuliers et aux petites entreprises) : si le même SKU est mis à disposition des consommateurs au Royaume-Uni, le PSTI s'applique. Documentez le canal de distribution par SKU et conservez les preuves que le canal grand public est fermé si vous voulez défendre que le PSTI ne s'applique pas. Le CRA reste applicable dans tous les cas pour une mise sur le marché UE.

Un seul processus de divulgation des vulnérabilités peut-il satisfaire à la fois le CRA et le PSTI ?

Oui, à condition de viser le niveau le plus exigeant. Le PSTI impose un contact public de signalement et un processus de traitement. Le CRA (Art. 13(6)/(7)) impose une politique de divulgation coordonnée documentée, un point de contact unique et une notification au CSIRT national via la plateforme de notification unique ENISA sous 24h/72h. Un processus CVD conforme au CRA couvre automatiquement le PSTI, l'inverse n'est pas vrai. Publiez un seul security.txt, une seule politique, un seul workflow d'entrée, puis ajoutez l'étape de notification ENISA pour les produits destinés au marché UE.

Comment différencier la déclaration de période de support pour l'emballage UK et UE ?

La formulation diffère, pas l'engagement sous-jacent. Le PSTI exige d'indiquer la période minimale définie au point de vente, toute durée est légale tant qu'elle est claire. Le CRA (Art. 13(8)) exige au moins 5 ans, ou la durée de vie prévue du produit si elle est plus courte. Si vous vous engagez sur 5+ ans partout, vous pouvez utiliser une seule mention sur un emballage partagé (« Mises à jour de sécurité jusqu'au [date] »). Si vous proposez une durée plus courte au Royaume-Uni, vous avez besoin d'un texte UK distinct et ne pouvez pas réutiliser l'emballage UE.

Que change-t-il si le même appareil est vendu par des distributeurs sur les deux marchés ?

Les obligations s'attachent à l'opérateur économique qui met le produit sur chaque marché. Un distributeur UK qui importe depuis un fabricant UE assume les devoirs d'importateur au titre du PSTI, y compris la vérification de la déclaration de conformité et de l'étiquetage. Un importateur ou distributeur UE porte les obligations des articles 19/20 du CRA. Si vous êtes le fabricant, vous devez remettre à chaque distributeur les bons artefacts de conformité pour son marché : déclaration de conformité PSTI pour le Royaume-Uni, Déclaration UE de conformité et référence au dossier technique pour l'UE. Inscrivez-le dans les contrats de distribution.

Le marquage CE aide-t-il à la conformité PSTI ?

Non. Le CE est un marquage UE uniquement et n'a aucune valeur juridique en Grande-Bretagne après le Brexit. La conformité PSTI est prouvée par une déclaration de conformité accompagnant le produit, pas par un marquage. Apposer le CE sur un produit destiné au marché UK n'aide ni ne nuit à la conformité PSTI. Le marquage UKCA est un sujet séparé (et n'est pas exigé par le PSTI lui-même). Ne comptez pas sur le CE comme preuve de conformité PSTI lors d'un contrôle OPSS.

Quelles vérifications supplémentaires pour une mise sur le marché en irlande du nord ?

L'Irlande du Nord est le cas complexe. En vertu du Cadre de Windsor, les biens mis sur le marché nord-irlandais doivent respecter les règles UE, donc le CRA s'applique à la mise sur le marché NI une fois en vigueur, même si l'Irlande du Nord fait partie du Royaume-Uni. Le PSTI s'applique à la Grande-Bretagne (Angleterre, Écosse, Pays de Galles) mais pas à l'Irlande du Nord. Si le même SKU part vers GB et NI, il vous faut à la fois la conformité PSTI (pour GB) et la conformité CRA (pour NI). Suivez la mise sur le marché par zone dans vos registres de lot pour pouvoir répondre à une enquête de l'OPSS ou d'une autorité UE avec des preuves de canal de mise sur le marché.

Prochaines étapes

1. Confirmez pour chaque SKU s'il est réellement dans le champ du PSTI ou uniquement du CRA. Une vente grand public au Royaume-Uni vous fait tomber dans le PSTI. Un produit strictement B2B dans l'UE relève uniquement du CRA.
2. Mettez en correspondance les trois obligations PSTI (mots de passe, contact de divulgation, période de support) avec les contrôles de l'Annexe I du CRA que vous prévoyez déjà d'implémenter. Les contrôles du CRA dominent.
3. Définissez une politique de mots de passe, un processus CVD et un engagement de période de support uniques qui satisfont les deux marchés. Visez le niveau CRA pour que le PSTI suive gratuitement.
4. Préparez des artefacts documentaires séparés pour le Royaume-Uni et l'UE : déclaration de conformité PSTI pour le UK, Déclaration UE de conformité et dossier technique (Annexe VII) pour l'UE.
5. Assignez des responsables pour les questions OPSS côté UK et pour les autorités nationales de surveillance côté UE. Ne laissez pas « la conformité » être l'affaire d'une équipe partagée que personne ne possède.
6. Revoyez le texte d'emballage, les mentions de date de support et le routage de mise sur le marché NI avant la prochaine expédition. Ce sont les éléments vérifiés en premier par l'OPSS et les autorités UE.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié dans les juridictions concernées.