CRA vs UK PSTI: Przewodnik Zgodności dla Rynków UE i UK

Po Brexicie UE i Wielka Brytania opracowały oddzielne przepisy dotyczące cyberbezpieczeństwa produktów. Jeśli sprzedajesz produkty połączone na obu rynkach, musisz być zgodny zarówno z unijnym Cyber Resilience Act (CRA), jak i brytyjskim Product Security and Telecommunications Infrastructure (PSTI) Act. Dobra wiadomość: jest znaczące nakładanie się.

Ten przewodnik porównuje oba rozporządzenia i przedstawia strategię podwójnej zgodności.

Czym różnią się zakresy CRA i UK PSTI

UK PSTI Act

Pełna nazwa: Ustawa z 2022 r. o bezpieczeństwie produktów i infrastrukturze telekomunikacyjnej

Obowiązuje: 29 kwietnia 2024

Zakres: Konsumenckie produkty podłączalne (urządzenia IoT)

Kluczowe wymagania:

1. Brak uniwersalnych domyślnych haseł
2. Zapewnienie kontaktu ujawniania podatności
3. Przejrzystość co do czasu trwania aktualizacji bezpieczeństwa

Egzekwowanie: Urząd ds. bezpieczeństwa produktów i standardów (OPSS)

Unijny CRA

Pełna nazwa: Rozporządzenie (UE) 2024/2847 (Cyber Resilience Act)

Pełne stosowanie: 11 grudnia 2027

Zakres: Wszystkie produkty z elementami cyfrowymi (znacznie szerszy)

Kluczowe wymagania: Kompleksowe wymagania bezpieczeństwa (Załącznik I)

• Bezpieczne z założenia
• Brak znanych wykorzystywalnych podatności
• Obsługa podatności
• Aktualizacje bezpieczeństwa przez 5+ lat
• Wymagania SBOM
• Oznakowanie CE

Egzekwowanie: Krajowe organy nadzoru rynku

Porównanie Obok Siebie

Porównanie Zakresu

PORÓWNANIE ZAKRESU

UK PSTI:
┌─────────────────────────────────────────────┐
│ Konsumenckie Produkty Podłączalne           │
│                                             │
│ - Smart TV, głośniki, kamery                │
│ - Wearables, urządzenia smart home          │
│ - Konsumencki IoT                           │
│ - Zabawki dziecięce z łącznością            │
│                                             │
│ WYKLUCZONE:                                 │
│ - Produkty B2B                              │
│ - Wyroby medyczne                           │
│ - Pojazdy                                   │
│ - Inteligentne liczniki (inna regulacja)    │
│ - Komputery, smartfony, tablety*            │
└─────────────────────────────────────────────┘
*Ograniczone wyłączenia dla niektórych urządzeń komputerowych

Unijny CRA:
┌─────────────────────────────────────────────┐
│ Wszystkie Produkty z Elementami Cyfrowymi   │
│                                             │
│ - Konsumencki IoT (to samo co PSTI)         │
│ - Produkty B2B                              │
│ - Sprzęt przemysłowy                        │
│ - Oprogramowanie (samodzielne)              │
│ - Sprzęt korporacyjny                       │
│ - Sprzęt sieciowy                           │
│                                             │
│ WYKLUCZONE:                                 │
│ - Wyroby medyczne (stosuje się MDR)         │
│ - Pojazdy (homologacja typu)                │
│ - Lotnictwo (oddzielna regulacja)           │
│ - Open source (niekomercyjny)               │
└─────────────────────────────────────────────┘

Porównanie Wymagań

Trzy Wymagania PSTI Szczegółowo

WYMAGANIA BEZPIECZEŃSTWA UK PSTI

WYMAGANIE 1: BRAK UNIWERSALNYCH DOMYŚLNYCH HASEŁ
"Hasła muszą być unikalne dla urządzenia LUB
użytkownik musi ustawić hasło podczas setup"

- Brak fabrycznych domyślnych jak "admin/admin"
- Unikalne hasło LUB wymuszony setup użytkownika
- Nie może być łatwe do odgadnięcia
- Nie może być oparte na publicznych informacjach

ODPOWIEDNIK CRA:
"Bezpieczne domyślnie" CRA pokrywa to i więcej

─────────────────────────────────────────────

WYMAGANIE 2: UJAWNIANIE PODATNOŚCI
"Producent musi zapewnić publiczny punkt kontaktowy
do zgłaszania problemów bezpieczeństwa"

- Dostępne informacje kontaktowe
- Musi potwierdzać zgłoszenia
- Musi obsługiwać zgłoszenia odpowiednio

ODPOWIEDNIK CRA:
CRA wymaga polityki CVD PLUS raportowania do ENISA

─────────────────────────────────────────────

WYMAGANIE 3: PRZEJRZYSTOŚĆ AKTUALIZACJI BEZPIECZEŃSTWA
"Producent musi opublikować zdefiniowany okres
wsparcia dla aktualizacji bezpieczeństwa"

- Musi podać czas trwania w punkcie sprzedaży
- Brak wymaganego minimalnego czasu trwania
- Informacja musi być dostępna

ODPOWIEDNIK CRA:
CRA wymaga tego PLUS minimum 5 lat wsparcia

Gdzie CRA wykracza poza UK PSTI

Okres Wsparcia

PORÓWNANIE OKRESU WSPARCIA

UK PSTI:
"Musi podać minimalny okres aktualizacji bezpieczeństwa"
- Brak określonego minimalnego czasu trwania
- Może być 1 rok, 2 lata, lub dowolny okres
- Producent decyduje
- Musi być jasno zakomunikowany

CRA UE:
"Musi zapewnić że podatności mogą być rozwiązywane
przez aktualizacje bezpieczeństwa przez co najmniej 5 lat"
- MINIMUM 5 lat wymagane
- Lub oczekiwany czas życia produktu jeśli dłuższy
- Od wprowadzenia na rynek każdej jednostki
- Musi być zakomunikowany

Obsługa Podatności

PORÓWNANIE OBSŁUGI PODATNOŚCI

UK PSTI:
- Publiczny kontakt dla zgłoszeń ✓
- Obsługa zgłoszeń ✓
- Brak raportowania DO organu
- Brak wymagań czasowych

CRA UE:
- Publiczny kontakt ✓
- Polityka CVD ✓
- RAPORTOWAĆ DO ENISA:
  - 24 godziny dla aktywnie wykorzystywanych
  - 72 godziny dla poważnych podatności
- Wymagania powiadomienia klientów
- Oczekiwania czasowe naprawy

Strategia Podwójnej Zgodności

Podejście: CRA jako Główny Framework

Ponieważ CRA jest bardziej kompleksowy, użyj go jako głównego frameworka zgodności:

STRATEGIA PODWÓJNEJ ZGODNOŚCI

BAZA: Zgodność CRA
- Wdrożyć wszystkie wymagania CRA
- Spełnić wymagania zasadnicze Załącznika I
- Przygotować dokumentację techniczną
- Wygenerować SBOM
- Ustanowić obsługę podatności
- Zaplanować 5-letnie wsparcie

DODATKI UK PSTI:
- Zweryfikować że wymaganie hasła jest spełnione (już pokryte)
- Zweryfikować że kontakt ujawniania istnieje (już pokryty)
- Dodać specyficzną dla UK deklarację okresu wsparcia
- Rejestracja w organie UK (jeśli wymagana)

WYNIK:
Zgodność CRA automatycznie satysfakcjonuje PSTI
Potrzebne tylko drobne dodatki specyficzne dla UK

Podejście Dokumentacyjne

DOKUMENTACJA DLA PODWÓJNEJ ZGODNOŚCI

WSPÓLNA DOKUMENTACJA:
- Architektura bezpieczeństwa
- Ocena ryzyka
- Raporty testów
- SBOM
- Proces obsługi podatności
- Dokumentacja użytkownika (zawartość techniczna)

SPECYFICZNE DLA UK:
- Deklaracja zgodności PSTI
- Deklaracja okresu wsparcia UK (może odpowiadać CRA)
- Wymagania etykietowania/pakowania dla rynku UK

SPECYFICZNE DLA UE:
- Deklaracja Zgodności UE
- Oznakowanie CE
- Format dokumentacji technicznej według CRA
- Rejestracja raportowania ENISA

Rozważania Czasowe

OŚ CZASU ZGODNOŚCI

KWIECIEŃ 2024: UK PSTI obowiązuje
↓
TERAZ: Musi być zgodny z PSTI dla rynku UK
     - Brak domyślnych haseł
     - Kontakt ujawniania
     - Okres wsparcia podany

WRZESIEŃ 2026: Wymagania raportowania CRA
↓
Przygotuj się na raportowanie podatności do ENISA

GRUDZIEŃ 2027: CRA w pełni obowiązuje
↓
Wymagana pełna zgodność CRA dla rynku UE
Zgodność CRA przewyższa wymagania PSTI

Jak zbudować jeden program zgodności dla obu rynków

Wymagania Hasła

IMPLEMENTACJA HASŁA (Oba Rynki)

OPCJA 1: Unikalne Hasło Fabryczne
- Wygeneruj unikalne hasło na urządzenie
- Wydrukuj na urządzeniu/opakowaniu
- Przechowuj bezpiecznie (do odzyskania przez klienta)
- Spełnia zarówno PSTI jak i CRA

OPCJA 2: Wymuszony Setup Użytkownika
- Brak predefiniowanego hasła
- Wymagaj utworzenia hasła przy pierwszym użyciu
- Egzekwuj wymagania złożoności
- Spełnia zarówno PSTI jak i CRA

IMPLEMENTACJA:
To samo podejście działa dla obu rynków
Udokumentuj w przewodniku użytkownika i dokumentacji technicznej

Ujawnianie Podatności

UJAWNIANIE PODATNOŚCI (Oba Rynki)

DLA PSTI:
- Publiczny kontakt (email, formularz web)
- Proces potwierdzania
- Procedura obsługi

DLA CRA (Dodatkowe):
- Formalna polityka CVD
- Możliwość raportowania ENISA
- Proces powiadamiania klientów
- Zarządzanie harmonogramem napraw

IMPLEMENTACJA:
Zbuduj kompleksowy proces CVD
- Publiczny kontakt bezpieczeństwa ✓ (satysfakcjonuje PSTI)
- Polityka CVD ✓ (satysfakcjonuje CRA)
- Integracja ENISA ✓ (specyficzne dla CRA)

JEDEN PROCES OBSŁUGUJE OBA RYNKI

Deklaracja Okresu Wsparcia

OKRES WSPARCIA (Oba Rynki)

WYMAGANIE UK PSTI:
"Podaj minimalny okres aktualizacji bezpieczeństwa"
Przykład: "Aktualizacje bezpieczeństwa zapewniane do grudnia 2029"

WYMAGANIE CRA UE:
"Wsparcie przez co najmniej 5 lat"
Przykład: "Aktualizacje bezpieczeństwa zapewniane przez minimum 5 lat
od daty zakupu, do co najmniej grudnia 2032"

ZUNIFIKOWANA DEKLARACJA:
"Ten produkt otrzymuje aktualizacje bezpieczeństwa przez minimum
5 lat od daty zakupu.
Oczekiwany koniec wsparcia bezpieczeństwa: [data]

Dla rynku UK: Zgodny z PSTI Act 2022
Dla rynku UE: Zgodny z Rozporządzeniem (UE) 2024/2847"

Jak różni się egzekwowanie w UK i UE

UK: OPSS

EGZEKWOWANIE W UK

Organ: Urząd ds. bezpieczeństwa produktów i standardów (OPSS)

Uprawnienia:
- Zawiadomienia o zgodności
- Zawiadomienia o wstrzymaniu
- Zawiadomienia o wycofaniu
- Przepadek
- Kary do 10 mln GBP lub 4% globalnych przychodów

Kluczowe kontakty:
Strona: https://www.gov.uk/government/organisations/office-for-product-safety-and-standards
Informacje PSTI: https://www.gov.uk/guidance/regulations-consumer-connectable-product-security

UE: organy krajowe

EGZEKWOWANIE W UE

Organ: Krajowe organy nadzoru rynku
(różnią się w zależności od państwa członkowskiego)

Uprawnienia (według CRA):
- Środki naprawcze
- Wycofanie z rynku
- Odwołanie
- Kary do 15 mln EUR lub 2,5% globalnych przychodów

Koordynacja:
Grupy ADCO (Współpraca Administracyjna)
ENISA w zakresie obsługi podatności

Lista Kontrolna: Zgodność na Dwóch Rynkach

LISTA KONTROLNA PODWÓJNEJ ZGODNOŚCI

UK PSTI (Teraz):
[ ] Brak uniwersalnych domyślnych haseł wdrożone
[ ] Publiczny kontakt podatności opublikowany
[ ] Okres wsparcia jasno podany
[ ] Deklaracja zgodności UK przygotowana
[ ] Wskazówki OPSS przejrzane

CRA UE (Do Gru 2027):
[ ] Wszystkie wymagania zasadnicze (Załącznik I) rozwiązane
[ ] SBOM wygenerowany i utrzymywany
[ ] Proces obsługi podatności z raportowaniem ENISA
[ ] 5-letni okres wsparcia zobowiązany
[ ] Dokumentacja techniczna przygotowana
[ ] Ocena zgodności zakończona
[ ] Oznakowanie CE naniesione
[ ] Deklaracja Zgodności UE podpisana

WSPÓLNE:
[ ] Bezpieczeństwo hasła wdrożone (pokrywa oba)
[ ] Kontakt ujawniania podatności (pokrywa oba)
[ ] Okres wsparcia zakomunikowany (spełnia oba)
[ ] Dokumentacja użytkownika (dostosowana per rynek)
[ ] Testy bezpieczeństwa zakończone

Oficjalne zasoby CRA i PSTI

ZASOBY REGULACYJNE

UK PSTI:
Ustawa: https://www.legislation.gov.uk/ukpga/2022/46
Wytyczne: https://www.gov.uk/guidance/regulations-consumer-connectable-product-security
OPSS: https://www.gov.uk/government/organisations/office-for-product-safety-and-standards

CRA UE:
Rozporządzenie: https://eur-lex.europa.eu/legal-content/EN/TXT/
            ?uri=CELEX:32024R2847
Strona KE: https://digital-strategy.ec.europa.eu/en/
         policies/cyber-resilience-act

STANDARDY:
ETSI EN 303 645: Bezpieczeństwo konsumenckiego IoT
(Spójny zarówno z PSTI, jak i CRA)

FAQ: Podwójna Zgodność

Kiedy PSTI stosuje się do produktu sprzedawanego klientom biznesowym?

PSTI obejmuje "konsumenckie produkty podłączalne". Produkt sprzedawany wyłącznie B2B przez kanały korporacyjne zasadniczo pozostaje poza zakresem PSTI. Szara strefa to sprzęt dwojakiego zastosowania (inteligentna kamera sprzedawana zarówno gospodarstwom domowym, jak i małym firmom): jeśli ten sam SKU jest kiedykolwiek dostępny dla konsumentów w UK, PSTI się stosuje. Udokumentuj kanał dystrybucji dla każdego SKU i zachowaj dowody, że ścieżka konsumencka jest zamknięta, jeśli chcesz argumentować, że PSTI się nie stosuje. CRA i tak obowiązuje przy wprowadzeniu na rynek UE.

Czy jeden proces ujawniania podatności może spełniać jednocześnie CRA i PSTI?

Tak, jeśli zbudujesz go na wyższym poziomie. PSTI wymaga publicznego kontaktu do zgłoszeń i procesu obsługi. CRA (Art. 13(6)/(7)) wymaga udokumentowanej polityki skoordynowanego ujawniania podatności, jednego punktu kontaktu i raportowania do krajowego CSIRT poprzez Single Reporting Platform ENISA w ciągu 24h/72h. Proces CVD na poziomie CRA automatycznie pokrywa PSTI. Odwrotnie to nie działa. Opublikuj jedno security.txt, jedną politykę i jeden przepływ zgłoszeń, a następnie dodaj krok raportowania do ENISA dla produktów na rynek UE.

Jak powinny się różnić deklaracje okresu wsparcia na opakowaniach dla UK i UE?

Różni się brzmienie, nie zobowiązanie. UK PSTI wymaga podania zdefiniowanego minimalnego okresu w punkcie sprzedaży, a dowolny czas trwania jest legalny, o ile jest jasno przedstawiony. CRA (Art. 13(8)) wymaga co najmniej 5 lat, lub oczekiwanego czasu eksploatacji produktu, jeśli jest krótszy. Jeśli zobowiązujesz się do 5+ lat w całej ofercie, możesz użyć jednej deklaracji na wspólnym opakowaniu ("Aktualizacje bezpieczeństwa do [data]"). Jeśli oferujesz krótsze wsparcie dla UK, potrzebujesz osobnego tekstu dla UK i nie możesz ponownie użyć opakowań UE.

Co się zmienia, jeśli to samo urządzenie jest sprzedawane przez dystrybutorów na obu rynkach?

Obowiązki przypisane są do podmiotu gospodarczego wprowadzającego produkt na każdy rynek. Dystrybutor z UK importujący od producenta z UE przejmuje obowiązki importera według PSTI, w tym weryfikację deklaracji zgodności i etykietowania. Importer lub dystrybutor z UE ponosi obowiązki z Art. 19/20 CRA. Jeśli jesteś producentem, nadal musisz przekazać każdemu dystrybutorowi odpowiednie artefakty zgodności dla jego rynku: deklarację zgodności PSTI dla UK, Deklarację Zgodności UE i odwołanie do pliku technicznego dla UE. Zapisz to w umowach dystrybucyjnych.

Czy oznakowanie CE pomaga w zgodności z PSTI?

Nie. CE to oznakowanie wyłącznie unijne i po Brexicie nie ma skutku prawnego w Wielkiej Brytanii. Zgodność z PSTI potwierdzana jest deklaracją zgodności towarzyszącą produktowi, a nie oznakowaniem. Umieszczenie CE na produkcie wprowadzanym na rynek UK ani nie pomaga, ani nie szkodzi PSTI, ale oznakowanie UKCA to osobna kwestia (i samo PSTI go nie wymaga). Nie polegaj na CE jako dowodzie zgodności z PSTI podczas kontroli OPSS.

Jakie dodatkowe kontrole są potrzebne przy wprowadzaniu do Irlandii Północnej?

NI to przypadek skomplikowany. Zgodnie z Windsor Framework towary wprowadzane na rynek NI muszą spełniać przepisy UE, więc CRA stosuje się do wprowadzenia na NI po wejściu w życie, mimo że NI należy do UK. PSTI stosuje się do GB (Anglia, Szkocja, Walia), ale nie do NI. Jeśli ten sam SKU trafia zarówno do GB, jak i NI, potrzebujesz zgodności z PSTI (dla GB) i CRA (dla NI). Śledź wprowadzenie na poszczególne rynki w dokumentacji partii/lotów, aby na zapytanie OPSS lub organu UE odpowiedzieć dowodami trasy wprowadzenia.

Kolejne kroki

1. Potwierdź, czy każdy SKU faktycznie wchodzi w zakres PSTI, czy obejmuje go tylko CRA. Sprzedaż konsumencka w UK wciąga Cię w PSTI; tylko B2B w UE oznacza sam CRA.
2. Zmapuj trzy obowiązki PSTI (hasła, kontakt ds. ujawniania, okres wsparcia) na kontrole z Załącznika I CRA, które i tak planujesz wdrożyć. Kontrole CRA dominują.
3. Zdefiniuj jedną politykę haseł, jeden proces CVD i jedno zobowiązanie do okresu wsparcia, które spełnią oba rynki. Celuj w poziom CRA, wtedy PSTI przychodzi gratis.
4. Przygotuj osobne artefakty dokumentacyjne dla UK i UE: deklarację zgodności PSTI dla UK, Deklarację Zgodności UE i plik techniczny (Załącznik VII) dla UE.
5. Wyznacz osoby odpowiedzialne za pytania kierowane przez OPSS w UK i przez krajowe organy nadzoru rynku w UE. Nie dopuść, by "zgodność" była wspólnym zadaniem nikogo.
6. Sprawdź treści opakowań, deklaracje dat wsparcia i kanał wprowadzenia do NI przed kolejną wysyłką. To pierwsze rzeczy, które sprawdzają OPSS i organy UE.

Ten artykuł służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. W celu uzyskania konkretnych wskazówek dotyczących zgodności, skonsultuj się z wykwalifikowanym prawnikiem w odpowiednich jurysdykcjach.