CRA vs UK PSTI: compliancegids voor EU- en Britse markten

Na de Brexit hebben de EU en het VK afzonderlijke regelgevingen voor productcyberbeveiliging ontwikkeld. Als u verbonden producten in beide markten verkoopt, moet u voldoen aan zowel de EU Cyber Resilience Act (CRA) als de Britse Product Security and Telecommunications Infrastructure (PSTI) Act. Het goede nieuws: er is aanzienlijke overlap.

Deze gids vergelijkt beide regelgevingen en beschrijft een strategie voor dubbele compliance.

Samenvatting

• De Britse PSTI Act is van kracht vanaf april 2024 (al van toepassing!)
• De EU CRA geldt volledig vanaf december 2027
• PSTI is smaller (consument-IoT) versus CRA (alle producten met digitale elementen)
• PSTI heeft 3 beveiligingsvereisten versus de uitgebreide lijst van de CRA
• CRA-compliance dekt grotendeels de PSTI-vereisten
• Dubbele compliance haalbaar met CRA als primair raamwerk

Overzicht regelgeving

Britse PSTI Act

Volledige naam: Product Security and Telecommunications Infrastructure Act 2022

Van kracht: 29 april 2024

Toepassingsgebied: Consumentenverbonden producten (IoT-apparaten)

Kernvereisten:

1. Geen universele standaardwachtwoorden
2. Contactpunt voor kwetsbaarheidsonthulling verstrekken
3. Transparantie over duur van beveiligingsupdates

Handhaving: Office for Product Safety and Standards (OPSS)

EU CRA

Volledige naam: Verordening (EU) 2024/2847 (Cyber Resilience Act)

Volledige toepassing: 11 december 2027

Toepassingsgebied: Alle producten met digitale elementen (veel breder)

Kernvereisten: Uitgebreide beveiligingsvereisten (Bijlage I)

• Standaard veilig
• Geen bekende uitbuitbare kwetsbaarheden
• Kwetsbaarheidsafhandeling
• Beveiligingsupdates gedurende 5+ jaar
• SBOM-vereisten
• CE-markering

Handhaving: Nationale markttoezichtautoriteiten

Vergelijking naast elkaar

Vergelijking toepassingsgebied

VERGELIJKING TOEPASSINGSGEBIED

Britse PSTI:
┌─────────────────────────────────────────────┐
│ Consumentenverbonden producten               │
│                                             │
│ - Smart-tv's, speakers, camera's            │
│ - Wearables, slimme thuisapparaten          │
│ - Consument-IoT                             │
│ - Kindersspeelgoed met connectiviteit       │
│                                             │
│ UITGESLOTEN:                                │
│ - B2B-producten                             │
│ - Medische hulpmiddelen                     │
│ - Voertuigen                                │
│ - Slimme meters (andere regelgeving)        │
│ - Computers, smartphones, tablets*          │
└─────────────────────────────────────────────┘
*Beperkte vrijstellingen voor sommige computerapparaten

EU CRA:
┌─────────────────────────────────────────────┐
│ Alle producten met digitale elementen        │
│                                             │
│ - Consument-IoT (zelfde als PSTI)           │
│ - B2B-producten                             │
│ - Industriële apparatuur                    │
│ - Software (zelfstandig)                    │
│ - Enterprise-hardware                       │
│ - Netwerkapparatuur                         │
│                                             │
│ UITGESLOTEN:                                │
│ - Medische hulpmiddelen (MDR geldt)         │
│ - Voertuigen (typegoedkeuring)              │
│ - Luchtvaart (afzonderlijke regelgeving)    │
│ - Open source (niet-commercieel)            │
└─────────────────────────────────────────────┘

Vergelijking vereisten

De drie PSTI-vereisten in detail

BEVEILIGINGSVEREISTEN BRITSE PSTI

VEREISTE 1: GEEN UNIVERSELE STANDAARDWACHTWOORDEN
"Wachtwoorden moeten uniek zijn per apparaat OF
gebruiker moet wachtwoord instellen tijdens installatie"

- Geen fabrieksstandaarden zoals "admin/admin"
- Uniek wachtwoord OF verplichte gebruikersinrichting
- Mag niet gemakkelijk te raden zijn
- Mag niet gebaseerd zijn op openbare informatie

CRA-EQUIVALENT:
CRA's "standaard veilig" dekt dit en meer

─────────────────────────────────────────────

VEREISTE 2: KWETSBAARHEIDSONTHULLING
"Fabrikant moet een openbaar contactpunt bieden
voor het melden van beveiligingsproblemen"

- Toegankelijke contactinformatie
- Meldingen moeten worden bevestigd
- Meldingen moeten adequaat worden afgehandeld

CRA-EQUIVALENT:
CRA vereist CVD-beleid PLUS melding aan ENISA

─────────────────────────────────────────────

VEREISTE 3: TRANSPARANTIE BEVEILIGINGSUPDATES
"Fabrikant moet de gedefinieerde ondersteuningsperiode
voor beveiligingsupdates publiceren"

- Duur vermelden op verkooppunt
- Geen minimumduur vereist
- Informatie moet toegankelijk zijn

CRA-EQUIVALENT:
CRA vereist dit PLUS minimaal 5 jaar ondersteuning

Kernverschillen

Ondersteuningsperiode

VERGELIJKING ONDERSTEUNINGSPERIODE

Britse PSTI:
"Minimale beveiligingsupdateperiode vermelden"
- Geen minimale duur gespecificeerd
- Kan 1 jaar, 2 jaar of een andere periode zijn
- Fabrikant kiest
- Moet duidelijk worden gecommuniceerd

EU CRA:
"Verzekeren dat kwetsbaarheden kunnen worden aangepakt
via beveiligingsupdates gedurende minimaal 5 jaar"
- MINIMUM 5 jaar vereist
- Of verwachte productlevensduur indien langer
- Vanaf marktplaatsing van elke eenheid
- Moet worden gecommuniceerd

Kwetsbaarheidsafhandeling

VERGELIJKING KWETSBAARHEIDSAFHANDELING

Britse PSTI:
- Openbaar contactpunt voor meldingen ✓
- Meldingen afhandelen ✓
- Geen melding AAN autoriteit
- Geen termijnvereisten

EU CRA:
- Openbaar contactpunt ✓
- CVD-beleid ✓
- MELDING AAN ENISA:
  - 24 uur voor actief misbruik
  - 72 uur voor ernstige kwetsbaarheden
- Klantmeldingsvereisten
- Verwachtingen voor patchtermijnen

Technische vereisten

DIEPTE TECHNISCHE VEREISTEN

Britse PSTI:
Slechts drie specifieke vereisten:
1. Wachtwoorden
2. Contactpunt onthulling
3. Vermelding ondersteuningsperiode

EU CRA:
Uitgebreide technische vereisten:
- Standaard veilig
- Geen bekende kwetsbaarheden
- Gegevensbescherming (vertrouwelijkheid, integriteit)
- Toegangscontrole
- Bescherming beschikbaarheid
- Minimaliseer aanvalsoppervlak
- Cryptografievereisten
- Auditlogging
- Weerbaarheid
- Updatemechanismen
- En meer (Bijlage I)

Strategie voor dubbele compliance

Aanpak: CRA als primair raamwerk

Omdat de CRA uitgebreider is, gebruikt u deze als uw primaire complianceraamwerk:

STRATEGIE DUBBELE COMPLIANCE

BASIS: CRA-compliance
- Alle CRA-vereisten implementeren
- Voldoen aan essentiële vereisten Bijlage I
- Technisch dossier opstellen
- SBOM genereren
- Kwetsbaarheidsafhandeling inrichten
- 5-jaar ondersteuning plannen

AANVULLINGEN BRITSE PSTI:
- Verifieer dat wachtwoordvereiste is nagekomen (al gedekt)
- Verifieer dat contactpunt onthulling bestaat (al gedekt)
- Brits-specifieke vermelding ondersteuningsperiode toevoegen
- Registratie bij OPSS (indien vereist)

RESULTAAT:
CRA-compliance voldoet automatisch aan PSTI
Slechts geringe VK-specifieke aanvullingen nodig

Documentatieaanpak

DOCUMENTATIE VOOR DUBBELE COMPLIANCE

GEDEELDE DOCUMENTATIE:
- Beveiligingsarchitectuur
- Risicobeoordeling
- Testrapporten
- SBOM
- Kwetsbaarheidsafhandelingsproces
- Gebruikersdocumentatie (technische inhoud)

VK-SPECIFIEK:
- PSTI-complianceverklaring
- Britse vermelding ondersteuningsperiode (kan overeenkomen met CRA)
- VK-marktlabeling/-verpakkingsvereisten

EU-SPECIFIEK:
- EU-conformiteitsverklaring
- CE-markering
- Technisch dossierformaat conform CRA
- ENISA-meldingsregistratie

Tijdlijnoverweging

COMPLIANCETIJDLIJN

APRIL 2024: Britse PSTI van kracht
↓
NU: Moet voldoen aan PSTI voor Britse markt
    - Geen standaardwachtwoorden
    - Contactpunt onthulling
    - Ondersteuningsperiode vermeld

SEPTEMBER 2026: CRA-meldingsvereisten
↓
Voorbereiding op ENISA-kwetsbaarheidsmelding

DECEMBER 2027: CRA volledig van toepassing
↓
Volledige CRA-compliance vereist voor EU-markt
CRA-compliance overstijgt PSTI-vereisten

Praktische implementatie

Wachtwoordvereisten

WACHTWOORDIMPLEMENTATIE (beide markten)

OPTIE 1: Uniek fabriekswachtwoord
- Uniek wachtwoord per apparaat genereren
- Afdrukken op apparaat/verpakking
- Veilig opslaan (voor klantherstel)
- Voldoet aan zowel PSTI als CRA

OPTIE 2: Verplichte gebruikersinrichting
- Geen vooraf ingesteld wachtwoord
- Wachtwoordaanmaak vereisen bij eerste gebruik
- Complexiteitsvereisten afdwingen
- Voldoet aan zowel PSTI als CRA

IMPLEMENTATIE:
Dezelfde aanpak werkt voor beide markten
Documenteer in gebruikersgids en technisch dossier

Kwetsbaarheidsonthulling

KWETSBAARHEIDSONTHULLING (beide markten)

VOOR PSTI:
- Openbaar contactpunt (e-mail, webformulier)
- Bevestigingsproces
- Afhandelingsprocedure

VOOR CRA (aanvullend):
- Formeel CVD-beleid
- ENISA-meldingscapaciteit
- Klantmeldingsproces
- Patchtermiijnbeheer

IMPLEMENTATIE:
Uitgebreid CVD-proces opbouwen
- Openbaar beveiligingscontact ✓ (voldoet aan PSTI)
- CVD-beleid ✓ (voldoet aan CRA)
- ENISA-integratie ✓ (CRA-specifiek)

ÉÉN PROCES BEDIENT BEIDE MARKTEN

Vermelding ondersteuningsperiode

ONDERSTEUNINGSPERIODE (beide markten)

BRITSE PSTI-VEREISTE:
"Gedefinieerde ondersteuningsperiode vermelden"
Voorbeeld: "Beveiligingsupdates beschikbaar tot december 2029"

EU CRA-VEREISTE:
"Ondersteuning gedurende minimaal 5 jaar"
Voorbeeld: "Beveiligingsupdates verstrekt gedurende minimaal 5 jaar
vanaf aankoopdatum, tot minimaal december 2032"

UNIFORME VERMELDING:
"Dit product ontvangt beveiligingsupdates gedurende minimaal
5 jaar vanaf de aankoopdatum.
Verwachte einddatum beveiligingsondersteuning: [datum]

Voor Britse markt: Conform PSTI Act 2022
Voor EU-markt: Conform Verordening (EU) 2024/2847"

Verschillen in markttoezicht

VK: OPSS

BRITSE HANDHAVING

Autoriteit: Office for Product Safety and Standards (OPSS)

Bevoegdheden:
- Nalevingsmededelingen
- Stopmededelingen
- Terugroepmededelingen
- Verbeurdverklaring
- Boetes tot £10 miljoen of 4% wereldwijde omzet

Contactgegevens:
Website: https://www.gov.uk/government/organisations/
         office-for-product-safety-and-standards
PSTI-info: https://www.gov.uk/guidance/
           product-security-and-telecommunications-infrastructure-psti-act

EU: Nationale autoriteiten

EU-HANDHAVING

Autoriteit: Nationale markttoezichtautoriteiten
(varieert per lidstaat)

Bevoegdheden (conform CRA):
- Corrigerende maatregelen
- Terugtrekking van markt
- Terugroepen
- Boetes tot €15 miljoen of 2,5% wereldwijde omzet

Coördinatie:
ADCO-groepen (Administratieve Samenwerking)
ENISA voor kwetsbaarheidsafhandeling

FAQ: Dubbele compliance

Heb ik afzonderlijke certificeringen nodig?

Antwoord: Geen gecombineerde certificering vereist voor beide.

• PSTI: Zelfverklaring van compliance
• CRA: Zelfbeoordeling (Standaard) of aangemelde instantie (Belangrijk/Kritisch)

Als de CRA beoordeling door derden vereist, ondersteunt dat bewijs ook PSTI.

Kan ik één document voor beide gebruiken?

Antwoord: Gedeeltelijk.

• Technische documentatie kan worden gedeeld
• Gebruikersdocumentatie kan beide bedienen (met passende verklaringen)
• Sommige VK-specifieke verklaringen nodig
• EU-conformiteitsverklaring is EU-specifiek

Wat met Noord-Ierland?

Antwoord: Complexe situatie.

• Windsor Framework is van toepassing
• EU-regels gelden voor goederen die vanuit GB naar Noord-Ierland gaan
• CRA zal van toepassing zijn op producten die op de Noord-Ierse markt worden gebracht
• PSTI geldt voor de Britse markt

Zoek specifieke begeleiding voor marktplaatsing in Noord-Ierland.

Mijn product is B2B. Geldt PSTI?

Antwoord: Waarschijnlijk niet.

• PSTI dekt "consumentenverbonden producten"
• B2B-/enterprise-producten zijn over het algemeen uitgesloten
• CRA dekt alle producten (inclusief B2B)

Voor B2B-producten: Focus uitsluitend op CRA voor EU; PSTI is niet van toepassing.

Checklist: Dubbele marktcompliance

CHECKLIST DUBBELE COMPLIANCE

BRITSE PSTI (Nu):
[ ] Geen universele standaardwachtwoorden geïmplementeerd
[ ] Openbaar kwetsbaarheidscontact gepubliceerd
[ ] Ondersteuningsperiode duidelijk vermeld
[ ] Britse complianceverklaring opgesteld
[ ] OPSS-richtlijnen doorgenomen

EU CRA (Vóór december 2027):
[ ] Alle essentiële vereisten (Bijlage I) aangepakt
[ ] SBOM gegenereerd en bijgehouden
[ ] Kwetsbaarheidsafhandelingsproces met ENISA-melding
[ ] 5-jaar ondersteuningsperiode vastgelegd
[ ] Technisch dossier opgesteld
[ ] Conformiteitsbeoordeling voltooid
[ ] CE-markering aangebracht
[ ] EU-conformiteitsverklaring ondertekend

GEDEELD:
[ ] Wachtwoordbeveiliging geïmplementeerd (dekt beide)
[ ] Contactpunt kwetsbaarheidsonthulling (dekt beide)
[ ] Ondersteuningsperiode gecommuniceerd (voldoet aan beide)
[ ] Gebruikersdocumentatie (aangepast per markt)
[ ] Beveiligingstesten voltooid

Kernbronnen

REGELGEVINGSBRONNEN

Britse PSTI:
Wet: https://www.legislation.gov.uk/ukpga/2022/46
Richtlijnen: https://www.gov.uk/guidance/product-security-
             and-telecommunications-infrastructure-psti-act
OPSS: https://www.gov.uk/government/organisations/
      office-for-product-safety-and-standards

EU CRA:
Verordening: https://eur-lex.europa.eu/legal-content/EN/TXT/
             ?uri=CELEX:32024R2847
EC-pagina: https://digital-strategy.ec.europa.eu/en/
           policies/cyber-resilience-act

NORMEN:
ETSI EN 303 645: Beveiliging consument-IoT
(Sluit aan bij zowel PSTI als CRA)

Gerelateerde gidsen:

• CRA-productclassificatie: is uw product Standaard, Belangrijk of Kritisch?
• CRA-compliance voor consument-IoT: EN 303 645-afstemming en gids voor slimme-thuisbeveiliging
• EU Cyber Resilience Act: volledige implementatietijdlijn 2025-2027

Hoe CRA Evidence helpt

CRA Evidence ondersteunt dubbele marktcompliance:

• CRA-eerst aanpak: Bouwen op uitgebreid CRA-raamwerk
• PSTI-mapping: PSTI-vereisten bijhouden als subset
• Multi-marktdocumentatie: Marktspecifieke documenten genereren
• Enkelvoudige bron van waarheid: Compliancebewijs eenmalig beheren
• Kwetsbaarheidsafhandeling: Uniform proces voor beide markten

Start uw dubbele marktcompliance via app.craevidence.com.

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen juridisch advies. Raadpleeg voor specifieke compliancebegeleiding gekwalificeerde juridisch adviseurs in de relevante rechtsgebieden.