CRA vs UK PSTI: compliancegids voor EU- en Britse markten

Na de Brexit hebben de EU en het VK afzonderlijke regelgevingen voor productcyberbeveiliging ontwikkeld. Als u verbonden producten in beide markten verkoopt, moet u voldoen aan zowel de EU Cyber Resilience Act (CRA) als de Britse Product Security and Telecommunications Infrastructure (PSTI) Act. Het goede nieuws: er is aanzienlijke overlap.

Deze gids vergelijkt beide regelgevingen en beschrijft een strategie voor dubbele compliance.

Hoe CRA en Britse PSTI verschillen in toepassingsgebied

Britse PSTI Act

Volledige naam: Product Security and Telecommunications Infrastructure Act 2022

Van kracht: 29 april 2024

Toepassingsgebied: Consumentenverbonden producten (IoT-apparaten)

Kernvereisten:

1. Geen universele standaardwachtwoorden
2. Contactpunt voor kwetsbaarheidsonthulling verstrekken
3. Transparantie over duur van beveiligingsupdates

Handhaving: Office for Product Safety and Standards (OPSS)

EU CRA

Volledige naam: Verordening (EU) 2024/2847 (Cyber Resilience Act)

Volledige toepassing: 11 december 2027

Toepassingsgebied: Alle producten met digitale elementen (veel breder)

Kernvereisten: Uitgebreide beveiligingsvereisten (Bijlage I)

• Standaard veilig
• Geen bekende uitbuitbare kwetsbaarheden
• Kwetsbaarheidsafhandeling
• Beveiligingsupdates gedurende 5+ jaar
• SBOM-vereisten
• CE-markering

Handhaving: Nationale markttoezichtautoriteiten

Vergelijking naast elkaar

Vergelijking toepassingsgebied

VERGELIJKING TOEPASSINGSGEBIED

Britse PSTI:
┌─────────────────────────────────────────────┐
│ Consumentenverbonden producten               │
│                                             │
│ - Smart-tv's, speakers, camera's            │
│ - Wearables, slimme thuisapparaten          │
│ - Consument-IoT                             │
│ - Kindersspeelgoed met connectiviteit       │
│                                             │
│ UITGESLOTEN:                                │
│ - B2B-producten                             │
│ - Medische hulpmiddelen                     │
│ - Voertuigen                                │
│ - Slimme meters (andere regelgeving)        │
│ - Computers, smartphones, tablets*          │
└─────────────────────────────────────────────┘
*Beperkte vrijstellingen voor sommige computerapparaten

EU CRA:
┌─────────────────────────────────────────────┐
│ Alle producten met digitale elementen        │
│                                             │
│ - Consument-IoT (zelfde als PSTI)           │
│ - B2B-producten                             │
│ - Industriële apparatuur                    │
│ - Software (zelfstandig)                    │
│ - Enterprise-hardware                       │
│ - Netwerkapparatuur                         │
│                                             │
│ UITGESLOTEN:                                │
│ - Medische hulpmiddelen (MDR geldt)         │
│ - Voertuigen (typegoedkeuring)              │
│ - Luchtvaart (afzonderlijke regelgeving)    │
│ - Open source (niet-commercieel)            │
└─────────────────────────────────────────────┘

Vergelijking vereisten

De drie PSTI-vereisten in detail

BEVEILIGINGSVEREISTEN BRITSE PSTI

VEREISTE 1: GEEN UNIVERSELE STANDAARDWACHTWOORDEN
"Wachtwoorden moeten uniek zijn per apparaat OF
gebruiker moet wachtwoord instellen tijdens installatie"

- Geen fabrieksstandaarden zoals "admin/admin"
- Uniek wachtwoord OF verplichte gebruikersinrichting
- Mag niet gemakkelijk te raden zijn
- Mag niet gebaseerd zijn op openbare informatie

CRA-EQUIVALENT:
CRA's "standaard veilig" dekt dit en meer

─────────────────────────────────────────────

VEREISTE 2: KWETSBAARHEIDSONTHULLING
"Fabrikant moet een openbaar contactpunt bieden
voor het melden van beveiligingsproblemen"

- Toegankelijke contactinformatie
- Meldingen moeten worden bevestigd
- Meldingen moeten adequaat worden afgehandeld

CRA-EQUIVALENT:
CRA vereist CVD-beleid PLUS melding aan ENISA

─────────────────────────────────────────────

VEREISTE 3: TRANSPARANTIE BEVEILIGINGSUPDATES
"Fabrikant moet de gedefinieerde ondersteuningsperiode
voor beveiligingsupdates publiceren"

- Duur vermelden op verkooppunt
- Geen minimumduur vereist
- Informatie moet toegankelijk zijn

CRA-EQUIVALENT:
CRA vereist dit PLUS minimaal 5 jaar ondersteuning

Waar CRA verder gaat dan Britse PSTI

Ondersteuningsperiode

VERGELIJKING ONDERSTEUNINGSPERIODE

Britse PSTI:
"Minimale beveiligingsupdateperiode vermelden"
- Geen minimale duur gespecificeerd
- Kan 1 jaar, 2 jaar of een andere periode zijn
- Fabrikant kiest
- Moet duidelijk worden gecommuniceerd

EU CRA:
"Verzekeren dat kwetsbaarheden kunnen worden aangepakt
via beveiligingsupdates gedurende minimaal 5 jaar"
- MINIMUM 5 jaar vereist
- Of verwachte productlevensduur indien langer
- Vanaf marktplaatsing van elke eenheid
- Moet worden gecommuniceerd

Kwetsbaarheidsafhandeling

VERGELIJKING KWETSBAARHEIDSAFHANDELING

Britse PSTI:
- Openbaar contactpunt voor meldingen ✓
- Meldingen afhandelen ✓
- Geen melding AAN autoriteit
- Geen termijnvereisten

EU CRA:
- Openbaar contactpunt ✓
- CVD-beleid ✓
- MELDING AAN ENISA:
  - 24 uur voor actief misbruik
  - 72 uur voor ernstige kwetsbaarheden
- Klantmeldingsvereisten
- Verwachtingen voor patchtermijnen

Technische vereisten

DIEPTE TECHNISCHE VEREISTEN

Britse PSTI:
Slechts drie specifieke vereisten:
1. Wachtwoorden
2. Contactpunt onthulling
3. Vermelding ondersteuningsperiode

EU CRA:
Uitgebreide technische vereisten:
- Standaard veilig
- Geen bekende kwetsbaarheden
- Gegevensbescherming (vertrouwelijkheid, integriteit)
- Toegangscontrole
- Bescherming beschikbaarheid
- Minimaliseer aanvalsoppervlak
- Cryptografievereisten
- Auditlogging
- Weerbaarheid
- Updatemechanismen
- En meer (Bijlage I)

Strategie voor dubbele compliance

Aanpak: CRA als primair raamwerk

Omdat de CRA uitgebreider is, gebruikt u deze als uw primaire complianceraamwerk:

STRATEGIE DUBBELE COMPLIANCE

BASIS: CRA-compliance
- Alle CRA-vereisten implementeren
- Voldoen aan essentiële vereisten Bijlage I
- Technisch dossier opstellen
- SBOM genereren
- Kwetsbaarheidsafhandeling inrichten
- 5-jaar ondersteuning plannen

AANVULLINGEN BRITSE PSTI:
- Verifieer dat wachtwoordvereiste is nagekomen (al gedekt)
- Verifieer dat contactpunt onthulling bestaat (al gedekt)
- Brits-specifieke vermelding ondersteuningsperiode toevoegen
- Registratie bij OPSS (indien vereist)

RESULTAAT:
CRA-compliance voldoet automatisch aan PSTI
Slechts geringe VK-specifieke aanvullingen nodig

Documentatieaanpak

DOCUMENTATIE VOOR DUBBELE COMPLIANCE

GEDEELDE DOCUMENTATIE:
- Beveiligingsarchitectuur
- Risicobeoordeling
- Testrapporten
- SBOM
- Kwetsbaarheidsafhandelingsproces
- Gebruikersdocumentatie (technische inhoud)

VK-SPECIFIEK:
- PSTI-complianceverklaring
- Britse vermelding ondersteuningsperiode (kan overeenkomen met CRA)
- VK-marktlabeling/-verpakkingsvereisten

EU-SPECIFIEK:
- EU-conformiteitsverklaring
- CE-markering
- Technisch dossierformaat conform CRA
- ENISA-meldingsregistratie

Tijdlijnoverweging

COMPLIANCETIJDLIJN

APRIL 2024: Britse PSTI van kracht
↓
NU: Moet voldoen aan PSTI voor Britse markt
    - Geen standaardwachtwoorden
    - Contactpunt onthulling
    - Ondersteuningsperiode vermeld

SEPTEMBER 2026: CRA-meldingsvereisten
↓
Voorbereiding op ENISA-kwetsbaarheidsmelding

DECEMBER 2027: CRA volledig van toepassing
↓
Volledige CRA-compliance vereist voor EU-markt
CRA-compliance overstijgt PSTI-vereisten

Hoe u één complianceprogramma voor beide markten opbouwt

Wachtwoordvereisten

WACHTWOORDIMPLEMENTATIE (beide markten)

OPTIE 1: Uniek fabriekswachtwoord
- Uniek wachtwoord per apparaat genereren
- Afdrukken op apparaat/verpakking
- Veilig opslaan (voor klantherstel)
- Voldoet aan zowel PSTI als CRA

OPTIE 2: Verplichte gebruikersinrichting
- Geen vooraf ingesteld wachtwoord
- Wachtwoordaanmaak vereisen bij eerste gebruik
- Complexiteitsvereisten afdwingen
- Voldoet aan zowel PSTI als CRA

IMPLEMENTATIE:
Dezelfde aanpak werkt voor beide markten
Documenteer in gebruikersgids en technisch dossier

Kwetsbaarheidsonthulling

KWETSBAARHEIDSONTHULLING (beide markten)

VOOR PSTI:
- Openbaar contactpunt (e-mail, webformulier)
- Bevestigingsproces
- Afhandelingsprocedure

VOOR CRA (aanvullend):
- Formeel CVD-beleid
- ENISA-meldingscapaciteit
- Klantmeldingsproces
- Patchtermiijnbeheer

IMPLEMENTATIE:
Uitgebreid CVD-proces opbouwen
- Openbaar beveiligingscontact ✓ (voldoet aan PSTI)
- CVD-beleid ✓ (voldoet aan CRA)
- ENISA-integratie ✓ (CRA-specifiek)

ÉÉN PROCES BEDIENT BEIDE MARKTEN

Vermelding ondersteuningsperiode

ONDERSTEUNINGSPERIODE (beide markten)

BRITSE PSTI-VEREISTE:
"Gedefinieerde ondersteuningsperiode vermelden"
Voorbeeld: "Beveiligingsupdates beschikbaar tot december 2029"

EU CRA-VEREISTE:
"Ondersteuning gedurende minimaal 5 jaar"
Voorbeeld: "Beveiligingsupdates verstrekt gedurende minimaal 5 jaar
vanaf aankoopdatum, tot minimaal december 2032"

UNIFORME VERMELDING:
"Dit product ontvangt beveiligingsupdates gedurende minimaal
5 jaar vanaf de aankoopdatum.
Verwachte einddatum beveiligingsondersteuning: [datum]

Voor Britse markt: Conform PSTI Act 2022
Voor EU-markt: Conform Verordening (EU) 2024/2847"

Hoe de Britse en EU-handhaving verschillen

VK: OPSS

BRITSE HANDHAVING

Autoriteit: Office for Product Safety and Standards (OPSS)

Bevoegdheden:
- Nalevingsmededelingen
- Stopmededelingen
- Terugroepmededelingen
- Verbeurdverklaring
- Boetes tot £10 miljoen of 4% wereldwijde omzet

Contactgegevens:
Website: https://www.gov.uk/government/organisations/office-for-product-safety-and-standards
PSTI-info: https://www.gov.uk/guidance/regulations-consumer-connectable-product-security

EU: Nationale autoriteiten

EU-HANDHAVING

Autoriteit: Nationale markttoezichtautoriteiten
(varieert per lidstaat)

Bevoegdheden (conform CRA):
- Corrigerende maatregelen
- Terugtrekking van markt
- Terugroepen
- Boetes tot €15 miljoen of 2,5% wereldwijde omzet

Coördinatie:
ADCO-groepen (Administratieve Samenwerking)
ENISA voor kwetsbaarheidsafhandeling

Checklist: Dubbele marktcompliance

CHECKLIST DUBBELE COMPLIANCE

BRITSE PSTI (Nu):
[ ] Geen universele standaardwachtwoorden geïmplementeerd
[ ] Openbaar kwetsbaarheidscontact gepubliceerd
[ ] Ondersteuningsperiode duidelijk vermeld
[ ] Britse complianceverklaring opgesteld
[ ] OPSS-richtlijnen doorgenomen

EU CRA (Vóór december 2027):
[ ] Alle essentiële vereisten (Bijlage I) aangepakt
[ ] SBOM gegenereerd en bijgehouden
[ ] Kwetsbaarheidsafhandelingsproces met ENISA-melding
[ ] 5-jaar ondersteuningsperiode vastgelegd
[ ] Technisch dossier opgesteld
[ ] Conformiteitsbeoordeling voltooid
[ ] CE-markering aangebracht
[ ] EU-conformiteitsverklaring ondertekend

GEDEELD:
[ ] Wachtwoordbeveiliging geïmplementeerd (dekt beide)
[ ] Contactpunt kwetsbaarheidsonthulling (dekt beide)
[ ] Ondersteuningsperiode gecommuniceerd (voldoet aan beide)
[ ] Gebruikersdocumentatie (aangepast per markt)
[ ] Beveiligingstesten voltooid

Officiële CRA- en PSTI-bronnen

REGELGEVINGSBRONNEN

Britse PSTI:
Wet: https://www.legislation.gov.uk/ukpga/2022/46
Richtlijnen: https://www.gov.uk/guidance/regulations-consumer-connectable-product-security
OPSS: https://www.gov.uk/government/organisations/office-for-product-safety-and-standards

EU CRA:
Verordening: https://eur-lex.europa.eu/legal-content/EN/TXT/
             ?uri=CELEX:32024R2847
EC-pagina: https://digital-strategy.ec.europa.eu/en/
           policies/cyber-resilience-act

NORMEN:
ETSI EN 303 645: Beveiliging consument-IoT
(Sluit aan bij zowel PSTI als CRA)