CRA vs UK PSTI: Guida alla Conformità per i Mercati UE e UK

Dopo la Brexit, l'UE e il Regno Unito hanno sviluppato regolamenti separati sulla cybersicurezza dei prodotti. Se vendi prodotti connessi in entrambi i mercati, devi conformarti sia al Cyber Resilience Act (CRA) dell'UE che al Product Security and Telecommunications Infrastructure (PSTI) Act del Regno Unito. La buona notizia: c'è una sovrapposizione significativa.

Questa guida confronta entrambi i regolamenti e delinea una strategia di doppia conformità.

Panoramica dei Regolamenti

UK PSTI Act

Nome completo: Legge 2022 sulla sicurezza dei prodotti e sull’infrastruttura delle telecomunicazioni

In vigore: 29 aprile 2024

Ambito: Prodotti collegabili consumer (dispositivi IoT)

Requisiti chiave:

1. Nessuna password default universale
2. Fornire un contatto per la divulgazione delle vulnerabilità
3. Trasparenza sulla durata degli aggiornamenti di sicurezza

Applicazione: Ufficio per la sicurezza dei prodotti e gli standard (OPSS)

CRA UE

Nome completo: Regolamento (UE) 2024/2847 (Cyber Resilience Act)

Piena applicazione: 11 dicembre 2027

Ambito: Tutti i prodotti con elementi digitali (molto più ampio)

Requisiti chiave: Requisiti di sicurezza completi (Allegato I)

• Sicuro by design
• Nessuna vulnerabilità sfruttabile nota
• Gestione vulnerabilità
• Aggiornamenti sicurezza per 5+ anni
• Requisiti SBOM
• Marcatura CE

Applicazione: Autorità nazionali di sorveglianza del mercato

Confronto Fianco a Fianco

Confronto Ambito

CONFRONTO AMBITO

UK PSTI:
┌─────────────────────────────────────────────┐
│ Prodotti Collegabili Consumer               │
│                                             │
│ - Smart TV, speaker, telecamere             │
│ - Wearable, dispositivi smart home          │
│ - IoT consumer                              │
│ - Giocattoli per bambini con connettività   │
│                                             │
│ ESCLUSI:                                    │
│ - Prodotti B2B                              │
│ - Dispositivi medici                        │
│ - Veicoli                                   │
│ - Smart meter (altro regolamento)           │
│ - Computer, smartphone, tablet*             │
└─────────────────────────────────────────────┘
*Esenzioni limitate per alcuni dispositivi informatici

CRA UE:
┌─────────────────────────────────────────────┐
│ Tutti i Prodotti con Elementi Digitali      │
│                                             │
│ - IoT consumer (stesso di PSTI)             │
│ - Prodotti B2B                              │
│ - Attrezzature industriali                  │
│ - Software (standalone)                     │
│ - Hardware enterprise                       │
│ - Attrezzature di rete                      │
│                                             │
│ ESCLUSI:                                    │
│ - Dispositivi medici (si applica MDR)       │
│ - Veicoli (omologazione)                    │
│ - Aviazione (regolamento separato)          │
│ - Open source (non commerciale)             │
└─────────────────────────────────────────────┘

Confronto Requisiti

I Tre Requisiti PSTI nel Dettaglio

REQUISITI SICUREZZA UK PSTI

REQUISITO 1: NESSUNA PASSWORD DEFAULT UNIVERSALE
"Le password devono essere uniche per dispositivo OPPURE
l'utente deve impostare la password durante il setup"

- Nessuna password di fabbrica come "admin/admin"
- Password unica OPPURE setup utente forzato
- Non deve essere facilmente indovinabile
- Non deve essere basata su informazioni pubbliche

EQUIVALENTE CRA:
Il "sicuro per default" del CRA copre questo e altro

─────────────────────────────────────────────

REQUISITO 2: DIVULGAZIONE VULNERABILITÀ
"Il produttore deve fornire un punto di contatto pubblico
per segnalare problemi di sicurezza"

- Informazioni di contatto accessibili
- Deve confermare ricezione delle segnalazioni
- Deve gestire le segnalazioni appropriatamente

EQUIVALENTE CRA:
Il CRA richiede politica CVD PIÙ reporting a ENISA

─────────────────────────────────────────────

REQUISITO 3: TRASPARENZA AGGIORNAMENTI SICUREZZA
"Il produttore deve pubblicare il periodo di supporto
definito per gli aggiornamenti di sicurezza"

- Deve indicare la durata al punto vendita
- Nessuna durata minima richiesta
- L'informazione deve essere accessibile

EQUIVALENTE CRA:
Il CRA richiede questo PIÙ supporto minimo di 5 anni

Differenze Chiave

Periodo di Supporto

CONFRONTO PERIODO DI SUPPORTO

UK PSTI:
"Deve indicare il periodo minimo di aggiornamenti sicurezza"
- Nessuna durata minima specificata
- Può essere 1 anno, 2 anni, o qualsiasi periodo
- Il produttore sceglie
- Deve essere comunicato chiaramente

CRA UE:
"Deve assicurare che le vulnerabilità possano essere affrontate
tramite aggiornamenti sicurezza per almeno 5 anni"
- MINIMO 5 anni richiesto
- O vita attesa del prodotto se più lunga
- Dall'immissione sul mercato di ogni unità
- Deve essere comunicato

Gestione Vulnerabilità

CONFRONTO GESTIONE VULNERABILITÀ

UK PSTI:
- Contatto pubblico per segnalazioni ✓
- Gestire le segnalazioni ✓
- Nessun reporting VERSO l'autorità
- Nessun requisito di tempistica

CRA UE:
- Contatto pubblico ✓
- Politica CVD ✓
- REPORTARE A ENISA:
  - 24 ore per attivamente sfruttata
  - 72 ore per vulnerabilità severe
- Requisiti notifica clienti
- Aspettative tempistica correzione

Strategia di Doppia Conformità

Approccio: CRA come Framework Principale

Poiché il CRA è più completo, usalo come framework principale di conformità:

STRATEGIA DOPPIA CONFORMITÀ

BASE: Conformità CRA
- Implementare tutti i requisiti CRA
- Soddisfare i requisiti essenziali dell'Allegato I
- Preparare il fascicolo tecnico
- Generare SBOM
- Stabilire gestione vulnerabilità
- Pianificare supporto 5 anni

AGGIUNTE UK PSTI:
- Verificare che requisito password sia soddisfatto (già coperto)
- Verificare che contatto divulgazione esista (già coperto)
- Aggiungere dichiarazione periodo supporto specifica UK
- Registrazione autorità UK (se richiesto)

RISULTATO:
La conformità CRA soddisfa automaticamente il PSTI
Necessarie solo aggiunte minori specifiche UK

Approccio Documentazione

DOCUMENTAZIONE PER DOPPIA CONFORMITÀ

DOCUMENTAZIONE CONDIVISA:
- Architettura sicurezza
- Valutazione rischi
- Rapporti test
- SBOM
- Processo gestione vulnerabilità
- Documentazione utente (contenuto tecnico)

SPECIFICO UK:
- Dichiarazione conformità PSTI
- Dichiarazione periodo supporto UK (può corrispondere a CRA)
- Requisiti etichettatura/packaging mercato UK

SPECIFICO UE:
- Dichiarazione UE di Conformità
- Marcatura CE
- Formato fascicolo tecnico per CRA
- Registrazione reporting ENISA

Considerazioni Temporali

CRONOLOGIA CONFORMITÀ

APRILE 2024: UK PSTI in vigore
↓
ORA: Deve conformarsi al PSTI per mercato UK
     - Nessuna password default
     - Contatto divulgazione
     - Periodo supporto indicato

SETTEMBRE 2026: Requisiti reporting CRA
↓
Prepararsi per reporting vulnerabilità ENISA

DICEMBRE 2027: CRA pienamente applicabile
↓
Conformità CRA completa richiesta per mercato UE
La conformità CRA supera i requisiti PSTI

Implementazione Pratica

Requisiti Password

IMPLEMENTAZIONE PASSWORD (Entrambi i Mercati)

OPZIONE 1: Password di Fabbrica Unica
- Generare password unica per dispositivo
- Stampare su dispositivo/packaging
- Conservare in modo sicuro (per recupero cliente)
- Soddisfa sia PSTI che CRA

OPZIONE 2: Setup Utente Forzato
- Nessuna password pre-impostata
- Richiedere creazione password al primo uso
- Applicare requisiti di complessità
- Soddisfa sia PSTI che CRA

IMPLEMENTAZIONE:
Stesso approccio funziona per entrambi i mercati
Documentare nella guida utente e fascicolo tecnico

Divulgazione Vulnerabilità

DIVULGAZIONE VULNERABILITÀ (Entrambi i Mercati)

PER PSTI:
- Contatto pubblico (email, modulo web)
- Processo di conferma ricezione
- Procedura di gestione

PER CRA (Aggiuntivo):
- Politica CVD formale
- Capacità di reporting ENISA
- Processo notifica clienti
- Gestione tempistiche correzione

IMPLEMENTAZIONE:
Costruire processo CVD completo
- Contatto sicurezza pubblico ✓ (soddisfa PSTI)
- Politica CVD ✓ (soddisfa CRA)
- Integrazione ENISA ✓ (specifico CRA)

UN SINGOLO PROCESSO SERVE ENTRAMBI I MERCATI

Dichiarazione Periodo Supporto

PERIODO SUPPORTO (Entrambi i Mercati)

REQUISITO UK PSTI:
"Indicare il periodo minimo di aggiornamenti sicurezza"
Esempio: "Aggiornamenti sicurezza forniti fino a dicembre 2029"

REQUISITO CRA UE:
"Supporto per almeno 5 anni"
Esempio: "Aggiornamenti sicurezza forniti per minimo 5 anni
dalla data di acquisto, fino ad almeno dicembre 2032"

DICHIARAZIONE UNIFICATA:
"Questo prodotto riceve aggiornamenti di sicurezza per un minimo
di 5 anni dalla data di acquisto.
Fine supporto sicurezza prevista: [data]

Per mercato UK: Conforme al PSTI Act 2022
Per mercato UE: Conforme al Regolamento (UE) 2024/2847"

FAQ: Doppia Conformità

Ho bisogno di certificazioni separate?

Risposta: Nessuna certificazione unificata richiesta per nessuno dei due.

• PSTI: Auto-dichiarazione di conformità
• CRA: Auto-valutazione (Default) o Organismo Notificato (Importante/Critico)

Se il CRA richiede valutazione di terza parte, quelle prove supportano anche il PSTI.

Posso usare un documento per entrambi?

Risposta: Parzialmente.

• La documentazione tecnica può essere condivisa
• La documentazione utente può servire entrambi (con dichiarazioni appropriate)
• Necessarie alcune dichiarazioni specifiche UK
• La Dichiarazione UE di Conformità è specifica UE

E l'Irlanda del Nord?

Risposta: Situazione complessa.

• Si applica il Windsor Framework
• Le regole UE si applicano per beni che entrano in NI da GB
• Il CRA si applicherà ai prodotti immessi sul mercato NI
• Il PSTI si applica per il mercato GB

Chiedi consulenza specifica per l'immissione sul mercato NI.

Il mio prodotto è B2B , si applica il PSTI?

Risposta: Probabilmente no.

• Il PSTI copre "prodotti collegabili consumer"
• Prodotti B2B/enterprise generalmente esclusi
• Il CRA copre tutti i prodotti (incluso B2B)

Per prodotti B2B: Focus solo sul CRA per UE, il PSTI non si applica.

Checklist: Conformità Doppio Mercato

CHECKLIST DOPPIA CONFORMITÀ

UK PSTI (Ora):
[ ] Nessuna password default universale implementata
[ ] Contatto vulnerabilità pubblico pubblicato
[ ] Periodo supporto indicato chiaramente
[ ] Dichiarazione conformità UK preparata
[ ] Guidance OPSS revisionata

CRA UE (Entro Dic 2027):
[ ] Tutti i requisiti essenziali (Allegato I) affrontati
[ ] SBOM generato e mantenuto
[ ] Processo gestione vulnerabilità con reporting ENISA
[ ] Periodo supporto 5 anni impegnato
[ ] Fascicolo tecnico preparato
[ ] Valutazione conformità completata
[ ] Marcatura CE applicata
[ ] Dichiarazione UE di Conformità firmata

CONDIVISO:
[ ] Sicurezza password implementata (copre entrambi)
[ ] Contatto divulgazione vulnerabilità (copre entrambi)
[ ] Periodo supporto comunicato (soddisfa entrambi)
[ ] Documentazione utente (adattata per mercato)
[ ] Test sicurezza completati

Guide correlate:

• Classificazione Prodotti CRA: Il Vostro Prodotto e Default, Important o Critical?
• Conformita CRA per IoT Consumer: Allineamento EN 303 645 e Guida alla Sicurezza Smart Home
• EU Cyber Resilience Act: Calendario Completo di Implementazione 2025-2027

Come Aiuta CRA Evidence

CRA Evidence supporta la conformità doppio mercato:

• Approccio CRA-first: Costruire sul framework CRA completo
• Mapping PSTI: Tracciare i requisiti PSTI come sottoinsieme
• Documentazione multi-mercato: Generare documenti specifici per mercato
• Unica fonte di verità: Gestire le prove di conformità una sola volta
• Gestione vulnerabilità: Processo unificato per entrambi i mercati

Inizia la tua conformità doppio mercato su app.craevidence.com.

Questo articolo è solo a scopo informativo e non costituisce consulenza legale. Per indicazioni specifiche sulla conformità, consultare un consulente legale qualificato nelle giurisdizioni pertinenti.