CRA vs UK PSTI: Guida alla Conformità per i Mercati UE e UK

Dopo la Brexit, l'UE e il Regno Unito hanno sviluppato regolamenti separati sulla cybersicurezza dei prodotti. Se vendi prodotti connessi in entrambi i mercati, devi conformarti sia al Cyber Resilience Act (CRA) dell'UE che al Product Security and Telecommunications Infrastructure (PSTI) Act del Regno Unito. La buona notizia: c'è una sovrapposizione significativa.

Questa guida confronta entrambi i regolamenti e delinea una strategia di doppia conformità.

Come differiscono CRA e UK PSTI nell'ambito di applicazione

UK PSTI Act

Nome completo: Legge 2022 sulla sicurezza dei prodotti e sull'infrastruttura delle telecomunicazioni

In vigore: 29 aprile 2024

Ambito: Prodotti collegabili consumer (dispositivi IoT)

Requisiti chiave:

1. Nessuna password default universale
2. Fornire un contatto per la divulgazione delle vulnerabilità
3. Trasparenza sulla durata degli aggiornamenti di sicurezza

Applicazione: Ufficio per la sicurezza dei prodotti e gli standard (OPSS)

CRA UE

Nome completo: Regolamento (UE) 2024/2847 (Cyber Resilience Act)

Piena applicazione: 11 dicembre 2027

Ambito: Tutti i prodotti con elementi digitali (molto più ampio)

Requisiti chiave: Requisiti di sicurezza completi (Allegato I)

• Sicuro by design
• Nessuna vulnerabilità sfruttabile nota
• Gestione vulnerabilità
• Aggiornamenti sicurezza per 5+ anni
• Requisiti SBOM
• Marcatura CE

Applicazione: Autorità nazionali di sorveglianza del mercato

Confronto Fianco a Fianco

Confronto Ambito

CONFRONTO AMBITO

UK PSTI:
┌─────────────────────────────────────────────┐
│ Prodotti Collegabili Consumer               │
│                                             │
│ - Smart TV, speaker, telecamere             │
│ - Wearable, dispositivi smart home          │
│ - IoT consumer                              │
│ - Giocattoli per bambini con connettività   │
│                                             │
│ ESCLUSI:                                    │
│ - Prodotti B2B                              │
│ - Dispositivi medici                        │
│ - Veicoli                                   │
│ - Smart meter (altro regolamento)           │
│ - Computer, smartphone, tablet*             │
└─────────────────────────────────────────────┘
*Esenzioni limitate per alcuni dispositivi informatici

CRA UE:
┌─────────────────────────────────────────────┐
│ Tutti i Prodotti con Elementi Digitali      │
│                                             │
│ - IoT consumer (stesso di PSTI)             │
│ - Prodotti B2B                              │
│ - Attrezzature industriali                  │
│ - Software (standalone)                     │
│ - Hardware enterprise                       │
│ - Attrezzature di rete                      │
│                                             │
│ ESCLUSI:                                    │
│ - Dispositivi medici (si applica MDR)       │
│ - Veicoli (omologazione)                    │
│ - Aviazione (regolamento separato)          │
│ - Open source (non commerciale)             │
└─────────────────────────────────────────────┘

Confronto Requisiti

I Tre Requisiti PSTI nel Dettaglio

REQUISITI SICUREZZA UK PSTI

REQUISITO 1: NESSUNA PASSWORD DEFAULT UNIVERSALE
"Le password devono essere uniche per dispositivo OPPURE
l'utente deve impostare la password durante il setup"

- Nessuna password di fabbrica come "admin/admin"
- Password unica OPPURE setup utente forzato
- Non deve essere facilmente indovinabile
- Non deve essere basata su informazioni pubbliche

EQUIVALENTE CRA:
Il "sicuro per default" del CRA copre questo e altro

─────────────────────────────────────────────

REQUISITO 2: DIVULGAZIONE VULNERABILITÀ
"Il produttore deve fornire un punto di contatto pubblico
per segnalare problemi di sicurezza"

- Informazioni di contatto accessibili
- Deve confermare ricezione delle segnalazioni
- Deve gestire le segnalazioni appropriatamente

EQUIVALENTE CRA:
Il CRA richiede politica CVD PIÙ reporting a ENISA

─────────────────────────────────────────────

REQUISITO 3: TRASPARENZA AGGIORNAMENTI SICUREZZA
"Il produttore deve pubblicare il periodo di supporto
definito per gli aggiornamenti di sicurezza"

- Deve indicare la durata al punto vendita
- Nessuna durata minima richiesta
- L'informazione deve essere accessibile

EQUIVALENTE CRA:
Il CRA richiede questo PIÙ supporto minimo di 5 anni

Dove il CRA va oltre l'UK PSTI

Periodo di Supporto

CONFRONTO PERIODO DI SUPPORTO

UK PSTI:
"Deve indicare il periodo minimo di aggiornamenti sicurezza"
- Nessuna durata minima specificata
- Può essere 1 anno, 2 anni, o qualsiasi periodo
- Il produttore sceglie
- Deve essere comunicato chiaramente

CRA UE:
"Deve assicurare che le vulnerabilità possano essere affrontate
tramite aggiornamenti sicurezza per almeno 5 anni"
- MINIMO 5 anni richiesto
- O vita attesa del prodotto se più lunga
- Dall'immissione sul mercato di ogni unità
- Deve essere comunicato

Gestione Vulnerabilità

CONFRONTO GESTIONE VULNERABILITÀ

UK PSTI:
- Contatto pubblico per segnalazioni ✓
- Gestire le segnalazioni ✓
- Nessun reporting VERSO l'autorità
- Nessun requisito di tempistica

CRA UE:
- Contatto pubblico ✓
- Politica CVD ✓
- REPORTARE A ENISA:
  - 24 ore per attivamente sfruttata
  - 72 ore per vulnerabilità severe
- Requisiti notifica clienti
- Aspettative tempistica correzione

Strategia di Doppia Conformità

Approccio: CRA come Framework Principale

Poiché il CRA è più completo, usalo come framework principale di conformità:

STRATEGIA DOPPIA CONFORMITÀ

BASE: Conformità CRA
- Implementare tutti i requisiti CRA
- Soddisfare i requisiti essenziali dell'Allegato I
- Preparare il fascicolo tecnico
- Generare SBOM
- Stabilire gestione vulnerabilità
- Pianificare supporto 5 anni

AGGIUNTE UK PSTI:
- Verificare che requisito password sia soddisfatto (già coperto)
- Verificare che contatto divulgazione esista (già coperto)
- Aggiungere dichiarazione periodo supporto specifica UK
- Registrazione autorità UK (se richiesto)

RISULTATO:
La conformità CRA soddisfa automaticamente il PSTI
Necessarie solo aggiunte minori specifiche UK

Approccio Documentazione

DOCUMENTAZIONE PER DOPPIA CONFORMITÀ

DOCUMENTAZIONE CONDIVISA:
- Architettura sicurezza
- Valutazione rischi
- Rapporti test
- SBOM
- Processo gestione vulnerabilità
- Documentazione utente (contenuto tecnico)

SPECIFICO UK:
- Dichiarazione conformità PSTI
- Dichiarazione periodo supporto UK (può corrispondere a CRA)
- Requisiti etichettatura/packaging mercato UK

SPECIFICO UE:
- Dichiarazione UE di Conformità
- Marcatura CE
- Formato fascicolo tecnico per CRA
- Registrazione reporting ENISA

Considerazioni Temporali

CRONOLOGIA CONFORMITÀ

APRILE 2024: UK PSTI in vigore
↓
ORA: Deve conformarsi al PSTI per mercato UK
     - Nessuna password default
     - Contatto divulgazione
     - Periodo supporto indicato

SETTEMBRE 2026: Requisiti reporting CRA
↓
Prepararsi per reporting vulnerabilità ENISA

DICEMBRE 2027: CRA pienamente applicabile
↓
Conformità CRA completa richiesta per mercato UE
La conformità CRA supera i requisiti PSTI

Come costruire un unico programma di conformità per entrambi i mercati

Requisiti Password

IMPLEMENTAZIONE PASSWORD (Entrambi i Mercati)

OPZIONE 1: Password di Fabbrica Unica
- Generare password unica per dispositivo
- Stampare su dispositivo/packaging
- Conservare in modo sicuro (per recupero cliente)
- Soddisfa sia PSTI che CRA

OPZIONE 2: Setup Utente Forzato
- Nessuna password pre-impostata
- Richiedere creazione password al primo uso
- Applicare requisiti di complessità
- Soddisfa sia PSTI che CRA

IMPLEMENTAZIONE:
Stesso approccio funziona per entrambi i mercati
Documentare nella guida utente e fascicolo tecnico

Divulgazione Vulnerabilità

DIVULGAZIONE VULNERABILITÀ (Entrambi i Mercati)

PER PSTI:
- Contatto pubblico (email, modulo web)
- Processo di conferma ricezione
- Procedura di gestione

PER CRA (Aggiuntivo):
- Politica CVD formale
- Capacità di reporting ENISA
- Processo notifica clienti
- Gestione tempistiche correzione

IMPLEMENTAZIONE:
Costruire processo CVD completo
- Contatto sicurezza pubblico ✓ (soddisfa PSTI)
- Politica CVD ✓ (soddisfa CRA)
- Integrazione ENISA ✓ (specifico CRA)

UN SINGOLO PROCESSO SERVE ENTRAMBI I MERCATI

Dichiarazione Periodo Supporto

PERIODO SUPPORTO (Entrambi i Mercati)

REQUISITO UK PSTI:
"Indicare il periodo minimo di aggiornamenti sicurezza"
Esempio: "Aggiornamenti sicurezza forniti fino a dicembre 2029"

REQUISITO CRA UE:
"Supporto per almeno 5 anni"
Esempio: "Aggiornamenti sicurezza forniti per minimo 5 anni
dalla data di acquisto, fino ad almeno dicembre 2032"

DICHIARAZIONE UNIFICATA:
"Questo prodotto riceve aggiornamenti di sicurezza per un minimo
di 5 anni dalla data di acquisto.
Fine supporto sicurezza prevista: [data]

Per mercato UK: Conforme al PSTI Act 2022
Per mercato UE: Conforme al Regolamento (UE) 2024/2847"

Come differiscono l'applicazione nel Regno Unito e nell'UE

UK: OPSS

APPLICAZIONE UK

Autorità: Office for Product Safety and Standards (OPSS)

Poteri:
- Avvisi di conformità
- Ordini di sospensione
- Ordini di richiamo
- Confisca
- Sanzioni fino a 10 milioni di £ o 4% del fatturato globale

Contatti chiave:
Sito web: https://www.gov.uk/government/organisations/office-for-product-safety-and-standards
Info PSTI: https://www.gov.uk/guidance/regulations-consumer-connectable-product-security

UE: Autorità nazionali

APPLICAZIONE UE

Autorità: Autorità nazionali di sorveglianza del mercato
(variano per stato membro)

Poteri (per CRA):
- Misure correttive
- Ritiro dal mercato
- Richiamo
- Sanzioni fino a 15 milioni di EUR o 2,5% del fatturato globale

Coordinamento:
Gruppi ADCO (Cooperazione Amministrativa)
ENISA per la gestione delle vulnerabilità

Checklist: Conformità Doppio Mercato

CHECKLIST DOPPIA CONFORMITÀ

UK PSTI (Ora):
[ ] Nessuna password default universale implementata
[ ] Contatto vulnerabilità pubblico pubblicato
[ ] Periodo supporto indicato chiaramente
[ ] Dichiarazione conformità UK preparata
[ ] Guidance OPSS revisionata

CRA UE (Entro Dic 2027):
[ ] Tutti i requisiti essenziali (Allegato I) affrontati
[ ] SBOM generato e mantenuto
[ ] Processo gestione vulnerabilità con reporting ENISA
[ ] Periodo supporto 5 anni impegnato
[ ] Fascicolo tecnico preparato
[ ] Valutazione conformità completata
[ ] Marcatura CE applicata
[ ] Dichiarazione UE di Conformità firmata

CONDIVISO:
[ ] Sicurezza password implementata (copre entrambi)
[ ] Contatto divulgazione vulnerabilità (copre entrambi)
[ ] Periodo supporto comunicato (soddisfa entrambi)
[ ] Documentazione utente (adattata per mercato)
[ ] Test sicurezza completati

Risorse ufficiali CRA e PSTI

RISORSE NORMATIVE

UK PSTI:
Act: https://www.legislation.gov.uk/ukpga/2022/46
Guidance: https://www.gov.uk/guidance/regulations-consumer-connectable-product-security
OPSS: https://www.gov.uk/government/organisations/office-for-product-safety-and-standards

CRA UE:
Regolamento: https://eur-lex.europa.eu/legal-content/IT/TXT/
            ?uri=CELEX:32024R2847
Pagina CE: https://digital-strategy.ec.europa.eu/it/
         policies/cyber-resilience-act

STANDARD:
ETSI EN 303 645: Sicurezza IoT consumer
(Allineato sia a PSTI che a CRA)

FAQ: Doppia Conformità

Quando si applica il PSTI a un prodotto venduto a clienti business?

Il PSTI riguarda i "prodotti collegabili consumer". Un prodotto venduto esclusivamente B2B tramite canali enterprise in genere non rientra nell'ambito PSTI. L'area grigia è l'hardware a doppio uso (una telecamera smart venduta sia a famiglie che a piccole imprese): se lo stesso SKU è mai reso disponibile ai consumatori nel Regno Unito, il PSTI si applica. Documentate la rotta di distribuzione per ogni SKU e conservate prove che il canale consumer sia chiuso se volete sostenere che il PSTI non si applica. Il CRA si applica comunque per l'immissione sul mercato UE.

Un unico processo di divulgazione delle vulnerabilità può soddisfare sia CRA che PSTI?

Sì, se lo costruite allo standard più alto. Il PSTI richiede un contatto pubblico per le segnalazioni e un processo di gestione. Il CRA (Art. 13(6)/(7)) richiede una politica documentata di divulgazione coordinata delle vulnerabilità, un punto di contatto unico e la segnalazione al CSIRT nazionale tramite la Piattaforma di segnalazione unica ENISA entro 24h/72h. Un processo CVD di livello CRA copre automaticamente il PSTI. Il contrario non è vero. Pubblicate un unico security.txt, un'unica politica e un unico flusso di intake, poi aggiungete lo step di segnalazione ENISA per i prodotti destinati al mercato UE.

Come devono differire le dichiarazioni sul periodo di supporto per il packaging UK e UE?

Cambia la formulazione, non l'impegno sottostante. Il PSTI richiede di indicare al punto vendita il periodo minimo definito, e qualsiasi durata è legale purché chiara. Il CRA (Art. 13(8)) richiede almeno 5 anni, o la vita utile prevista del prodotto se inferiore. Se vi impegnate su 5+ anni in generale, potete usare un'unica dichiarazione sul packaging condiviso ("Aggiornamenti di sicurezza fino a [data]"). Se offrite un supporto UK più breve, vi servono copy specifici per il Regno Unito e non potete riutilizzare il packaging UE.

Cosa cambia se lo stesso dispositivo viene venduto tramite distributori in entrambi i mercati?

Gli obblighi ricadono sull'operatore economico che immette il prodotto in ciascun mercato. Un distributore UK che importa da un produttore UE assume doveri di importatore ai sensi del PSTI, inclusa la verifica della dichiarazione di conformità e dell'etichettatura. Un importatore o distributore UE si assume gli obblighi degli Art. 19/20 del CRA. Se siete il produttore, dovete comunque consegnare a ciascun distributore i giusti artefatti di conformità per il proprio mercato: dichiarazione di conformità PSTI per il Regno Unito, Dichiarazione UE di Conformità e riferimento al fascicolo tecnico per l'UE. Mettete questo per iscritto nei contratti di distribuzione.

La marcatura CE aiuta in qualche modo con la conformità PSTI?

No. La CE è un marchio solo UE e non ha effetto giuridico in Gran Bretagna dopo la Brexit. La conformità PSTI è dimostrata da una dichiarazione di conformità che accompagna il prodotto, non da un marchio. Apporre la CE su un prodotto destinato al mercato UK non aiuta né danneggia ai fini PSTI, ma la marcatura UKCA è un capitolo a parte (e non è richiesta dal PSTI stesso). Non fate affidamento sulla CE come prova di conformità PSTI in un'attività di enforcement OPSS.

Quali controlli extra servono per l'immissione sul mercato dell'Irlanda del Nord?

L'Irlanda del Nord è il caso complicato. Ai sensi del Windsor Framework, i beni immessi sul mercato NI devono rispettare le regole UE, quindi il CRA si applica all'immissione in NI una volta in vigore, anche se la NI fa parte del Regno Unito. Il PSTI si applica a GB (Inghilterra, Scozia, Galles) ma non alla NI. Se lo stesso SKU va sia in GB che in NI, vi serve sia la conformità PSTI (per GB) che la conformità CRA (per NI). Tracciate l'immissione per mercato nei vostri registri di lotto/batch in modo da poter rispondere a un'indagine OPSS o di un'autorità UE con prove sulla rotta di immissione.

Prossimi passi

1. Confermate se ciascun SKU rientra effettivamente nell'ambito PSTI o è solo CRA. Le vendite consumer nel Regno Unito vi portano dentro il PSTI; solo B2B nell'UE è solo CRA.
2. Mappate i tre obblighi PSTI (password, contatto per la divulgazione, periodo di supporto) sui controlli CRA dell'Allegato I che già pianificate di implementare. I controlli CRA dominano.
3. Definite un'unica politica password, un unico processo CVD e un unico impegno sul periodo di supporto che soddisfino entrambi i mercati. Puntate alla soglia CRA così il PSTI viene gratis.
4. Preparate artefatti documentali separati per UK e UE: dichiarazione di conformità PSTI per il Regno Unito, Dichiarazione UE di Conformità e fascicolo tecnico (Allegato VII) per l'UE.
5. Assegnate responsabili per le domande OPSS nel Regno Unito e per le autorità nazionali di sorveglianza nell'UE. Non lasciate che "compliance" sia un team condiviso di cui nessuno risponde.
6. Rivedete i copy del packaging, le dichiarazioni sulle date di supporto e la logistica di immissione NI prima della prossima spedizione. Sono le prime cose che OPSS e le autorità UE controllano.

Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, consultare un consulente legale qualificato nelle giurisdizioni pertinenti.