CRA vs UK PSTI : Guide de Conformité pour les Marchés UE et UK

Après le Brexit, l'UE et le Royaume-Uni ont développé des réglementations séparées sur la cybersécurité des produits. Si vous vendez des produits connectés sur les deux marchés, vous devez vous conformer à la fois au Cyber Resilience Act (CRA) de l'UE et au Product Security and Telecommunications Infrastructure (PSTI) Act du Royaume-Uni. La bonne nouvelle : il y a un chevauchement significatif.

Ce guide compare les deux réglementations et présente une stratégie de double conformité.

Aperçu des Réglementations

UK PSTI Act

Nom complet : Loi de 2022 sur la sécurité des produits et l’infrastructure des télécommunications

En vigueur : 29 avril 2024

Périmètre : Produits connectables grand public (appareils IoT)

Exigences clés :

1. Pas de mots de passe par défaut universels
2. Fournir un contact de divulgation des vulnérabilités
3. Transparence sur la durée des mises à jour de sécurité

Application : Office de la sécurité des produits et des normes (OPSS)

CRA de l'UE

Nom complet : Règlement (UE) 2024/2847 (Cyber Resilience Act)

Application complète : 11 décembre 2027

Périmètre : Tous les produits avec éléments numériques (beaucoup plus large)

Exigences clés : Exigences de sécurité complètes (Annexe I)

• Sécurisé dès la conception
• Pas de vulnérabilités exploitables connues
• Gestion des vulnérabilités
• Mises à jour de sécurité pendant 5+ ans
• Exigences SBOM
• Marquage CE

Application : Autorités nationales de surveillance du marché

Comparaison Côte à Côte

Comparaison du Périmètre

COMPARAISON DU PÉRIMÈTRE

UK PSTI :
┌─────────────────────────────────────────────┐
│ Produits Connectables Grand Public          │
│                                             │
│ - Smart TV, enceintes, caméras              │
│ - Wearables, appareils maison connectée     │
│ - IoT grand public                          │
│ - Jouets pour enfants avec connectivité     │
│                                             │
│ EXCLUS :                                    │
│ - Produits B2B                              │
│ - Dispositifs médicaux                      │
│ - Véhicules                                 │
│ - Compteurs intelligents (autre régulation) │
│ - Ordinateurs, smartphones, tablettes*      │
└─────────────────────────────────────────────┘
*Exemptions limitées pour certains appareils informatiques

CRA de l'UE :
┌─────────────────────────────────────────────┐
│ Tous les Produits avec Éléments Numériques  │
│                                             │
│ - IoT grand public (même que PSTI)          │
│ - Produits B2B                              │
│ - Équipement industriel                     │
│ - Logiciels (autonomes)                     │
│ - Matériel entreprise                       │
│ - Équipement réseau                         │
│                                             │
│ EXCLUS :                                    │
│ - Dispositifs médicaux (MDR s'applique)     │
│ - Véhicules (homologation)                  │
│ - Aviation (réglementation séparée)         │
│ - Open source (non commercial)              │
└─────────────────────────────────────────────┘

Comparaison des Exigences

Les Trois Exigences PSTI en Détail

EXIGENCES DE SÉCURITÉ UK PSTI

EXIGENCE 1 : PAS DE MOTS DE PASSE PAR DÉFAUT UNIVERSELS
"Les mots de passe doivent être uniques par appareil OU
l'utilisateur doit définir le mot de passe lors de l'installation"

- Pas de mots de passe usine comme "admin/admin"
- Mot de passe unique OU configuration utilisateur forcée
- Ne doit pas être facilement devinable
- Ne doit pas être basé sur des informations publiques

ÉQUIVALENT CRA :
Le "sécurisé par défaut" du CRA couvre cela et plus

─────────────────────────────────────────────

EXIGENCE 2 : DIVULGATION DES VULNÉRABILITÉS
"Le fabricant doit fournir un point de contact public
pour signaler les problèmes de sécurité"

- Informations de contact accessibles
- Doit accuser réception des signalements
- Doit traiter les signalements de manière appropriée

ÉQUIVALENT CRA :
Le CRA exige une politique CVD PLUS le reporting à ENISA

─────────────────────────────────────────────

EXIGENCE 3 : TRANSPARENCE MISES À JOUR DE SÉCURITÉ
"Le fabricant doit publier la période de support
définie pour les mises à jour de sécurité"

- Doit indiquer la durée au point de vente
- Aucune durée minimale requise
- L'information doit être accessible

ÉQUIVALENT CRA :
Le CRA exige cela PLUS un support minimum de 5 ans

Différences Clés

Période de Support

COMPARAISON PÉRIODE DE SUPPORT

UK PSTI :
"Doit indiquer la période minimale de mises à jour de sécurité"
- Aucune durée minimale spécifiée
- Peut être 1 an, 2 ans, ou toute période
- Le fabricant choisit
- Doit être clairement communiqué

CRA UE :
"Doit assurer que les vulnérabilités peuvent être corrigées
par des mises à jour de sécurité pendant au moins 5 ans"
- MINIMUM 5 ans requis
- Ou durée de vie attendue du produit si plus longue
- À partir de la mise sur le marché de chaque unité
- Doit être communiqué

Gestion des Vulnérabilités

COMPARAISON GESTION DES VULNÉRABILITÉS

UK PSTI :
- Contact public pour les signalements ✓
- Traiter les signalements ✓
- Pas de reporting VERS l'autorité
- Pas d'exigences de délai

CRA UE :
- Contact public ✓
- Politique CVD ✓
- REPORTER À ENISA :
  - 24 heures pour exploitée activement
  - 72 heures pour vulnérabilités sévères
- Exigences de notification client
- Attentes de délai de correction

Stratégie de Double Conformité

Approche : CRA comme Cadre Principal

Puisque le CRA est plus complet, utilisez-le comme cadre principal de conformité :

STRATÉGIE DE DOUBLE CONFORMITÉ

BASE : Conformité CRA
- Implémenter toutes les exigences CRA
- Satisfaire les exigences essentielles de l'Annexe I
- Préparer la documentation technique
- Générer le SBOM
- Établir la gestion des vulnérabilités
- Planifier le support de 5 ans

AJOUTS UK PSTI :
- Vérifier que l'exigence mot de passe est satisfaite (déjà couverte)
- Vérifier que le contact de divulgation existe (déjà couvert)
- Ajouter la déclaration de période de support spécifique UK
- Enregistrement auprès de l'autorité UK (si requis)

RÉSULTAT :
La conformité CRA satisfait automatiquement le PSTI
Seuls des ajouts mineurs spécifiques UK nécessaires

Approche Documentation

DOCUMENTATION POUR DOUBLE CONFORMITÉ

DOCUMENTATION PARTAGÉE :
- Architecture de sécurité
- Évaluation des risques
- Rapports de tests
- SBOM
- Processus de gestion des vulnérabilités
- Documentation utilisateur (contenu technique)

SPÉCIFIQUE UK :
- Déclaration de conformité PSTI
- Déclaration de période de support UK (peut correspondre au CRA)
- Exigences d'étiquetage/emballage marché UK

SPÉCIFIQUE UE :
- Déclaration UE de Conformité
- Marquage CE
- Format documentation technique selon CRA
- Enregistrement reporting ENISA

Considérations Temporelles

CHRONOLOGIE DE CONFORMITÉ

AVRIL 2024 : UK PSTI en vigueur
↓
MAINTENANT : Doit se conformer au PSTI pour le marché UK
     - Pas de mots de passe par défaut
     - Contact de divulgation
     - Période de support indiquée

SEPTEMBRE 2026 : Exigences de reporting CRA
↓
Se préparer au reporting de vulnérabilités ENISA

DÉCEMBRE 2027 : CRA pleinement applicable
↓
Conformité CRA complète requise pour le marché UE
La conformité CRA dépasse les exigences PSTI

Implémentation Pratique

Exigences Mot de Passe

IMPLÉMENTATION MOT DE PASSE (Les Deux Marchés)

OPTION 1 : Mot de Passe Usine Unique
- Générer mot de passe unique par appareil
- Imprimer sur l'appareil/emballage
- Stocker de manière sécurisée (pour récupération client)
- Satisfait PSTI et CRA

OPTION 2 : Configuration Utilisateur Forcée
- Pas de mot de passe pré-défini
- Exiger création de mot de passe au premier usage
- Appliquer exigences de complexité
- Satisfait PSTI et CRA

IMPLÉMENTATION :
Même approche fonctionne pour les deux marchés
Documenter dans le guide utilisateur et la documentation technique

Divulgation des Vulnérabilités

DIVULGATION DES VULNÉRABILITÉS (Les Deux Marchés)

POUR PSTI :
- Contact public (email, formulaire web)
- Processus d'accusé de réception
- Procédure de traitement

POUR CRA (Supplémentaire) :
- Politique CVD formelle
- Capacité de reporting ENISA
- Processus de notification client
- Gestion des délais de correction

IMPLÉMENTATION :
Construire un processus CVD complet
- Contact sécurité public ✓ (satisfait PSTI)
- Politique CVD ✓ (satisfait CRA)
- Intégration ENISA ✓ (spécifique CRA)

UN SEUL PROCESSUS SERT LES DEUX MARCHÉS

Déclaration de Période de Support

PÉRIODE DE SUPPORT (Les Deux Marchés)

EXIGENCE UK PSTI :
"Indiquer la période minimale de mises à jour de sécurité"
Exemple : "Mises à jour de sécurité fournies jusqu'en décembre 2029"

EXIGENCE CRA UE :
"Support pendant au moins 5 ans"
Exemple : "Mises à jour de sécurité fournies pendant minimum 5 ans
à partir de la date d'achat, jusqu'à au moins décembre 2032"

DÉCLARATION UNIFIÉE :
"Ce produit reçoit des mises à jour de sécurité pour un minimum
de 5 ans à partir de la date d'achat.
Fin de support sécurité prévue : [date]

Pour le marché UK : Conforme au PSTI Act 2022
Pour le marché UE : Conforme au Règlement (UE) 2024/2847"

FAQ : Double Conformité

Ai-je besoin de certifications séparées ?

Réponse : Aucune certification unifiée requise pour l'un ou l'autre.

• PSTI : Auto-déclaration de conformité
• CRA : Auto-évaluation (Par défaut) ou Organisme Notifié (Important/Critique)

Si le CRA exige une évaluation tierce, ces preuves supportent aussi le PSTI.

Puis-je utiliser un seul document pour les deux ?

Réponse : Partiellement.

• La documentation technique peut être partagée
• La documentation utilisateur peut servir les deux (avec déclarations appropriées)
• Certaines déclarations spécifiques UK nécessaires
• La Déclaration UE de Conformité est spécifique UE

Qu'en est-il de l'Irlande du Nord ?

Réponse : Situation complexe.

• Le Cadre de Windsor s'applique
• Les règles UE s'appliquent pour les biens entrant en NI depuis GB
• Le CRA s'appliquera aux produits mis sur le marché NI
• Le PSTI s'applique pour le marché GB

Demandez des conseils spécifiques pour la mise sur le marché NI.

Mon produit est B2B , le PSTI s'applique-t-il ?

Réponse : Probablement pas.

• Le PSTI couvre les "produits connectables grand public"
• Les produits B2B/entreprise généralement exclus
• Le CRA couvre tous les produits (y compris B2B)

Pour les produits B2B : Focus sur le CRA uniquement pour l'UE, le PSTI ne s'applique pas.

Liste de Contrôle : Conformité Double Marché

LISTE DE CONTRÔLE DOUBLE CONFORMITÉ

UK PSTI (Maintenant) :
[ ] Pas de mots de passe par défaut universels implémenté
[ ] Contact de vulnérabilité public publié
[ ] Période de support clairement indiquée
[ ] Déclaration de conformité UK préparée
[ ] Guidance OPSS examinée

CRA UE (D'ici Déc 2027) :
[ ] Toutes les exigences essentielles (Annexe I) traitées
[ ] SBOM généré et maintenu
[ ] Processus de gestion des vulnérabilités avec reporting ENISA
[ ] Période de support de 5 ans engagée
[ ] Documentation technique préparée
[ ] Évaluation de conformité complétée
[ ] Marquage CE appliqué
[ ] Déclaration UE de Conformité signée

PARTAGÉ :
[ ] Sécurité mot de passe implémentée (couvre les deux)
[ ] Contact divulgation vulnérabilités (couvre les deux)
[ ] Période de support communiquée (satisfait les deux)
[ ] Documentation utilisateur (adaptée par marché)
[ ] Tests de sécurité complétés

Info : UK PSTI et EU CRA ont des portees differentes. PSTI se concentre sur la securite de base de l'IoT grand public ; CRA couvre TOUS les produits avec des elements numeriques, avec des exigences plus approfondies.

Conseil : Si vous vendez sur les marches UK et UE, construisez selon les normes CRA -- la conformite PSTI suivra naturellement puisque le CRA depasse les exigences PSTI.

Guides connexes :

• Classification des Produits CRA : Votre Produit est-il Default, Important ou Critical ?
• Conformite CRA pour l'IoT Grand Public : Alignement EN 303 645 et Guide de Securite Smart Home
• EU Cyber Resilience Act : Calendrier Complet de Mise en Oeuvre 2025-2027

Comment CRA Evidence Aide

CRA Evidence supporte la conformité double marché :

• Approche CRA-first : Construire sur le cadre CRA complet
• Mapping PSTI : Suivre les exigences PSTI comme sous-ensemble
• Documentation multi-marché : Générer des documents spécifiques par marché
• Source unique de vérité : Gérer les preuves de conformité une seule fois
• Gestion des vulnérabilités : Processus unifié pour les deux marchés

Commencez votre conformité double marché sur app.craevidence.com.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié dans les juridictions concernées.