CRA vs UK PSTI: Przewodnik Zgodności dla Rynków UE i UK

Po Brexicie UE i Wielka Brytania opracowały oddzielne przepisy dotyczące cyberbezpieczeństwa produktów. Jeśli sprzedajesz produkty połączone na obu rynkach, musisz być zgodny zarówno z unijnym Cyber Resilience Act (CRA), jak i brytyjskim Product Security and Telecommunications Infrastructure (PSTI) Act. Dobra wiadomość: jest znaczące nakładanie się.

Ten przewodnik porównuje oba rozporządzenia i przedstawia strategię podwójnej zgodności.

Przegląd Regulacji

UK PSTI Act

Pełna nazwa: Ustawa z 2022 r. o bezpieczeństwie produktów i infrastrukturze telekomunikacyjnej

Obowiązuje: 29 kwietnia 2024

Zakres: Konsumenckie produkty podłączalne (urządzenia IoT)

Kluczowe wymagania:

1. Brak uniwersalnych domyślnych haseł
2. Zapewnienie kontaktu ujawniania podatności
3. Przejrzystość co do czasu trwania aktualizacji bezpieczeństwa

Egzekwowanie: Urząd ds. bezpieczeństwa produktów i standardów (OPSS)

Unijny CRA

Pełna nazwa: Rozporządzenie (UE) 2024/2847 (Cyber Resilience Act)

Pełne stosowanie: 11 grudnia 2027

Zakres: Wszystkie produkty z elementami cyfrowymi (znacznie szerszy)

Kluczowe wymagania: Kompleksowe wymagania bezpieczeństwa (Załącznik I)

• Bezpieczne z założenia
• Brak znanych wykorzystywalnych podatności
• Obsługa podatności
• Aktualizacje bezpieczeństwa przez 5+ lat
• Wymagania SBOM
• Oznakowanie CE

Egzekwowanie: Krajowe organy nadzoru rynku

Porównanie Obok Siebie

Porównanie Zakresu

PORÓWNANIE ZAKRESU

UK PSTI:
┌─────────────────────────────────────────────┐
│ Konsumenckie Produkty Podłączalne           │
│                                             │
│ - Smart TV, głośniki, kamery                │
│ - Wearables, urządzenia smart home          │
│ - Konsumencki IoT                           │
│ - Zabawki dziecięce z łącznością            │
│                                             │
│ WYKLUCZONE:                                 │
│ - Produkty B2B                              │
│ - Wyroby medyczne                           │
│ - Pojazdy                                   │
│ - Inteligentne liczniki (inna regulacja)    │
│ - Komputery, smartfony, tablety*            │
└─────────────────────────────────────────────┘
*Ograniczone wyłączenia dla niektórych urządzeń komputerowych

Unijny CRA:
┌─────────────────────────────────────────────┐
│ Wszystkie Produkty z Elementami Cyfrowymi   │
│                                             │
│ - Konsumencki IoT (to samo co PSTI)         │
│ - Produkty B2B                              │
│ - Sprzęt przemysłowy                        │
│ - Oprogramowanie (samodzielne)              │
│ - Sprzęt korporacyjny                       │
│ - Sprzęt sieciowy                           │
│                                             │
│ WYKLUCZONE:                                 │
│ - Wyroby medyczne (stosuje się MDR)         │
│ - Pojazdy (homologacja typu)                │
│ - Lotnictwo (oddzielna regulacja)           │
│ - Open source (niekomercyjny)               │
└─────────────────────────────────────────────┘

Porównanie Wymagań

Trzy Wymagania PSTI Szczegółowo

WYMAGANIA BEZPIECZEŃSTWA UK PSTI

WYMAGANIE 1: BRAK UNIWERSALNYCH DOMYŚLNYCH HASEŁ
"Hasła muszą być unikalne dla urządzenia LUB
użytkownik musi ustawić hasło podczas setup"

- Brak fabrycznych domyślnych jak "admin/admin"
- Unikalne hasło LUB wymuszony setup użytkownika
- Nie może być łatwe do odgadnięcia
- Nie może być oparte na publicznych informacjach

ODPOWIEDNIK CRA:
"Bezpieczne domyślnie" CRA pokrywa to i więcej

─────────────────────────────────────────────

WYMAGANIE 2: UJAWNIANIE PODATNOŚCI
"Producent musi zapewnić publiczny punkt kontaktowy
do zgłaszania problemów bezpieczeństwa"

- Dostępne informacje kontaktowe
- Musi potwierdzać zgłoszenia
- Musi obsługiwać zgłoszenia odpowiednio

ODPOWIEDNIK CRA:
CRA wymaga polityki CVD PLUS raportowania do ENISA

─────────────────────────────────────────────

WYMAGANIE 3: PRZEJRZYSTOŚĆ AKTUALIZACJI BEZPIECZEŃSTWA
"Producent musi opublikować zdefiniowany okres
wsparcia dla aktualizacji bezpieczeństwa"

- Musi podać czas trwania w punkcie sprzedaży
- Brak wymaganego minimalnego czasu trwania
- Informacja musi być dostępna

ODPOWIEDNIK CRA:
CRA wymaga tego PLUS minimum 5 lat wsparcia

Kluczowe Różnice

Okres Wsparcia

PORÓWNANIE OKRESU WSPARCIA

UK PSTI:
"Musi podać minimalny okres aktualizacji bezpieczeństwa"
- Brak określonego minimalnego czasu trwania
- Może być 1 rok, 2 lata, lub dowolny okres
- Producent decyduje
- Musi być jasno zakomunikowany

CRA UE:
"Musi zapewnić że podatności mogą być rozwiązywane
przez aktualizacje bezpieczeństwa przez co najmniej 5 lat"
- MINIMUM 5 lat wymagane
- Lub oczekiwany czas życia produktu jeśli dłuższy
- Od wprowadzenia na rynek każdej jednostki
- Musi być zakomunikowany

Obsługa Podatności

PORÓWNANIE OBSŁUGI PODATNOŚCI

UK PSTI:
- Publiczny kontakt dla zgłoszeń ✓
- Obsługa zgłoszeń ✓
- Brak raportowania DO organu
- Brak wymagań czasowych

CRA UE:
- Publiczny kontakt ✓
- Polityka CVD ✓
- RAPORTOWAĆ DO ENISA:
  - 24 godziny dla aktywnie wykorzystywanych
  - 72 godziny dla poważnych podatności
- Wymagania powiadomienia klientów
- Oczekiwania czasowe naprawy

Strategia Podwójnej Zgodności

Podejście: CRA jako Główny Framework

Ponieważ CRA jest bardziej kompleksowy, użyj go jako głównego frameworka zgodności:

STRATEGIA PODWÓJNEJ ZGODNOŚCI

BAZA: Zgodność CRA
- Wdrożyć wszystkie wymagania CRA
- Spełnić wymagania zasadnicze Załącznika I
- Przygotować dokumentację techniczną
- Wygenerować SBOM
- Ustanowić obsługę podatności
- Zaplanować 5-letnie wsparcie

DODATKI UK PSTI:
- Zweryfikować że wymaganie hasła jest spełnione (już pokryte)
- Zweryfikować że kontakt ujawniania istnieje (już pokryty)
- Dodać specyficzną dla UK deklarację okresu wsparcia
- Rejestracja w organie UK (jeśli wymagana)

WYNIK:
Zgodność CRA automatycznie satysfakcjonuje PSTI
Potrzebne tylko drobne dodatki specyficzne dla UK

Podejście Dokumentacyjne

DOKUMENTACJA DLA PODWÓJNEJ ZGODNOŚCI

WSPÓLNA DOKUMENTACJA:
- Architektura bezpieczeństwa
- Ocena ryzyka
- Raporty testów
- SBOM
- Proces obsługi podatności
- Dokumentacja użytkownika (zawartość techniczna)

SPECYFICZNE DLA UK:
- Deklaracja zgodności PSTI
- Deklaracja okresu wsparcia UK (może odpowiadać CRA)
- Wymagania etykietowania/pakowania dla rynku UK

SPECYFICZNE DLA UE:
- Deklaracja Zgodności UE
- Oznakowanie CE
- Format dokumentacji technicznej według CRA
- Rejestracja raportowania ENISA

Rozważania Czasowe

OŚ CZASU ZGODNOŚCI

KWIECIEŃ 2024: UK PSTI obowiązuje
↓
TERAZ: Musi być zgodny z PSTI dla rynku UK
     - Brak domyślnych haseł
     - Kontakt ujawniania
     - Okres wsparcia podany

WRZESIEŃ 2026: Wymagania raportowania CRA
↓
Przygotuj się na raportowanie podatności do ENISA

GRUDZIEŃ 2027: CRA w pełni obowiązuje
↓
Wymagana pełna zgodność CRA dla rynku UE
Zgodność CRA przewyższa wymagania PSTI

Praktyczna Implementacja

Wymagania Hasła

IMPLEMENTACJA HASŁA (Oba Rynki)

OPCJA 1: Unikalne Hasło Fabryczne
- Wygeneruj unikalne hasło na urządzenie
- Wydrukuj na urządzeniu/opakowaniu
- Przechowuj bezpiecznie (do odzyskania przez klienta)
- Spełnia zarówno PSTI jak i CRA

OPCJA 2: Wymuszony Setup Użytkownika
- Brak predefiniowanego hasła
- Wymagaj utworzenia hasła przy pierwszym użyciu
- Egzekwuj wymagania złożoności
- Spełnia zarówno PSTI jak i CRA

IMPLEMENTACJA:
To samo podejście działa dla obu rynków
Udokumentuj w przewodniku użytkownika i dokumentacji technicznej

Ujawnianie Podatności

UJAWNIANIE PODATNOŚCI (Oba Rynki)

DLA PSTI:
- Publiczny kontakt (email, formularz web)
- Proces potwierdzania
- Procedura obsługi

DLA CRA (Dodatkowe):
- Formalna polityka CVD
- Możliwość raportowania ENISA
- Proces powiadamiania klientów
- Zarządzanie harmonogramem napraw

IMPLEMENTACJA:
Zbuduj kompleksowy proces CVD
- Publiczny kontakt bezpieczeństwa ✓ (satysfakcjonuje PSTI)
- Polityka CVD ✓ (satysfakcjonuje CRA)
- Integracja ENISA ✓ (specyficzne dla CRA)

JEDEN PROCES OBSŁUGUJE OBA RYNKI

Deklaracja Okresu Wsparcia

OKRES WSPARCIA (Oba Rynki)

WYMAGANIE UK PSTI:
"Podaj minimalny okres aktualizacji bezpieczeństwa"
Przykład: "Aktualizacje bezpieczeństwa zapewniane do grudnia 2029"

WYMAGANIE CRA UE:
"Wsparcie przez co najmniej 5 lat"
Przykład: "Aktualizacje bezpieczeństwa zapewniane przez minimum 5 lat
od daty zakupu, do co najmniej grudnia 2032"

ZUNIFIKOWANA DEKLARACJA:
"Ten produkt otrzymuje aktualizacje bezpieczeństwa przez minimum
5 lat od daty zakupu.
Oczekiwany koniec wsparcia bezpieczeństwa: [data]

Dla rynku UK: Zgodny z PSTI Act 2022
Dla rynku UE: Zgodny z Rozporządzeniem (UE) 2024/2847"

FAQ: Podwójna Zgodność

Czy potrzebuję oddzielnych certyfikacji?

Odpowiedź: Nie wymagana zunifikowana certyfikacja dla żadnego z nich.

• PSTI: Samodeklaracja zgodności
• CRA: Samoocena (Domyślna) lub Jednostka Notyfikowana (Ważna/Krytyczna)

Jeśli CRA wymaga oceny strony trzeciej, te dowody wspierają też PSTI.

Czy mogę użyć jednego dokumentu dla obu?

Odpowiedź: Częściowo.

• Dokumentacja techniczna może być wspólna
• Dokumentacja użytkownika może służyć obu (z odpowiednimi deklaracjami)
• Potrzebne niektóre specyficzne dla UK deklaracje
• Deklaracja Zgodności UE jest specyficzna dla UE

A co z Irlandią Północną?

Odpowiedź: Złożona sytuacja.

• Stosuje się Windsor Framework
• Przepisy UE stosują się do towarów wchodzących do NI z GB
• CRA będzie stosować się do produktów wprowadzanych na rynek NI
• PSTI stosuje się dla rynku GB

Szukaj konkretnych porad dla wprowadzenia na rynek NI.

Mój produkt jest B2B , czy PSTI się stosuje?

Odpowiedź: Prawdopodobnie nie.

• PSTI obejmuje "konsumenckie produkty podłączalne"
• Produkty B2B/korporacyjne generalnie wykluczone
• CRA obejmuje wszystkie produkty (włącznie z B2B)

Dla produktów B2B: Skup się tylko na CRA dla UE, PSTI się nie stosuje.

Lista Kontrolna: Zgodność na Dwóch Rynkach

LISTA KONTROLNA PODWÓJNEJ ZGODNOŚCI

UK PSTI (Teraz):
[ ] Brak uniwersalnych domyślnych haseł wdrożone
[ ] Publiczny kontakt podatności opublikowany
[ ] Okres wsparcia jasno podany
[ ] Deklaracja zgodności UK przygotowana
[ ] Wskazówki OPSS przejrzane

CRA UE (Do Gru 2027):
[ ] Wszystkie wymagania zasadnicze (Załącznik I) rozwiązane
[ ] SBOM wygenerowany i utrzymywany
[ ] Proces obsługi podatności z raportowaniem ENISA
[ ] 5-letni okres wsparcia zobowiązany
[ ] Dokumentacja techniczna przygotowana
[ ] Ocena zgodności zakończona
[ ] Oznakowanie CE naniesione
[ ] Deklaracja Zgodności UE podpisana

WSPÓLNE:
[ ] Bezpieczeństwo hasła wdrożone (pokrywa oba)
[ ] Kontakt ujawniania podatności (pokrywa oba)
[ ] Okres wsparcia zakomunikowany (spełnia oba)
[ ] Dokumentacja użytkownika (dostosowana per rynek)
[ ] Testy bezpieczeństwa zakończone

Wskazowka: Jesli sprzedajesz na rynkach UK i UE, buduj wedlug standardow CRA -- zgodnosc z PSTI nastapi naturalnie, poniewaz CRA przewyzsza wymagania PSTI.

Powiazane przewodniki:

• Klasyfikacja Produktow CRA: Czy Twoj Produkt to Default, Important czy Critical?
• Zgodnosc CRA dla Konsumenckiego IoT: Dostosowanie EN 303 645 i Przewodnik Bezpieczenstwa Smart Home
• EU Cyber Resilience Act: Pelny Harmonogram Wdrazania 2025-2027

Jak Pomaga CRA Evidence

CRA Evidence wspiera zgodność na dwóch rynkach:

• Podejście CRA-first: Buduj na kompleksowym frameworku CRA
• Mapowanie PSTI: Śledź wymagania PSTI jako podzbiór
• Dokumentacja wielorynkowa: Generuj dokumenty specyficzne dla rynku
• Jedno źródło prawdy: Zarządzaj dowodami zgodności raz
• Obsługa podatności: Zunifikowany proces dla obu rynków

Rozpocznij swoją zgodność na dwóch rynkach na app.craevidence.com.

Ten artykuł służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. W celu uzyskania konkretnych wskazówek dotyczących zgodności, skonsultuj się z wykwalifikowanym prawnikiem w odpowiednich jurysdykcjach.