CRA kontra UK PSTI: Efterlevnadsguide för EU- och UK-marknader
Jämförelse av EU:s cyberresiliensakt med UK Product Security and Telecommunications Infrastructure Act. Täcker skillnader, överlapp och strategier för dubbel efterlevnad.
I denna artikel
- Sammanfattning
- Så skiljer sig CRA och UK PSTI i omfång
- Jämförelse sida vid sida
- Där CRA går längre än UK PSTI
- Strategi för dubbel efterlevnad
- Så bygger du ett efterlevnadsprogram för båda marknaderna
- Så skiljer sig tillsynen i UK och EU
- Checklista: Dubbel marknadsefterlevnad
- Officiella CRA- och PSTI-resurser
- Vanliga frågor: Dubbel efterlevnad
- Nästa steg
Efter Brexit har EU och UK utvecklat separata produktcybersäkerhetsregler. Om du säljer uppkopplade produkter på båda marknaderna behöver du efterleva både EU Cyber Resilience Act (CRA) och UK Product Security and Telecommunications Infrastructure (PSTI) Act. Det goda nyheterna: det finns betydande överlapp.
Den här guiden jämför båda förordningarna och beskriver en strategi för dubbel efterlevnad.
Sammanfattning
- UK PSTI Act har gällt sedan april 2024 (redan tillämplig!)
- EU CRA gäller fullt ut från december 2027
- PSTI är smalare (konsument-IoT) kontra CRA (alla produkter med digitala element)
- PSTI har 3 säkerhetskrav kontra CRA:s heltäckande lista
- CRA-efterlevnad täcker i stort sett PSTI-krav
- Dubbel efterlevnad uppnåelig med CRA som primärt ramverk
Så skiljer sig CRA och UK PSTI i omfång
UK PSTI Act
Fullständigt namn: Product Security and Telecommunications Infrastructure Act 2022
I kraft: 29 april 2024
Omfång: Konsumtionsanslutningsbara produkter (IoT-enheter)
Nyckelkrav:
- Inga universella standardlösenord
- Tillhandahåll kontaktpunkt för sårbarhetavslöjande
- Transparens om säkerhetsuppdateringsduration
Verkställighet: Office for Product Safety and Standards (OPSS)
EU CRA
Fullständigt namn: Förordning (EU) 2024/2847 (Cyberresiliensakt)
Full tillämpning: 11 december 2027
Omfång: Alla produkter med digitala element (mycket bredare)
Nyckelkrav: Heltäckande säkerhetskrav (Bilaga I)
- Säker som standard
- Inga kända exploaterbara sårbarheter
- Sårbarhethantering
- Säkerhetsuppdateringar i 5+ år
- SBOM-krav
- CE-märkning
Verkställighet: Nationella marknadsövervakningsmyndigheter
Jämförelse sida vid sida
Omfångsjämförelse
OMFÅNGSJÄMFÖRELSE
UK PSTI:
┌─────────────────────────────────────────────┐
│ Konsumtionsanslutningsbara produkter │
│ │
│ - Smarta TV-apparater, högtalare, kameror │
│ - Wearables, smarta hemenheter │
│ - Konsument-IoT │
│ - Barnleksaker med anslutning │
│ │
│ UNDANTAR: │
│ - B2B-produkter │
│ - Medicintekniska produkter │
│ - Fordon │
│ - Smarta mätare (annan reglering) │
│ - Datorer, smartphones, surfplattor* │
└─────────────────────────────────────────────┘
*Begränsade undantag för vissa datorenheter
EU CRA:
┌─────────────────────────────────────────────┐
│ Alla produkter med digitala element │
│ │
│ - Konsument-IoT (samma som PSTI) │
│ - B2B-produkter │
│ - Industriell utrustning │
│ - Programvara (fristående) │
│ - Företagshårdvara │
│ - Nätverksutrustning │
│ │
│ UNDANTAR: │
│ - Medicintekniska produkter (MDR gäller) │
│ - Fordon (typgodkännande) │
│ - Luftfart (separat reglering) │
│ - Öppen källkod (icke-kommersiell) │
└─────────────────────────────────────────────┘
Kravjämförelse
| Kravområde | UK PSTI | EU CRA |
|---|---|---|
| Inga standardlösenord | ✓ Obligatoriskt | ✓ Obligatoriskt (säker som standard) |
| Sårbarhetavslöjande | ✓ Kontaktpunkt krävs | ✓ CVD-policy + ENISA-rapportering |
| Supportperiodstransparens | ✓ Måste ange duration | ✓ Måste ange (min 5 år) |
| Minsta supportperiod | ✗ Inget minimum | ✓ 5 år minimum |
| Säkerhet by design | ✗ Ej explicit | ✓ Heltäckande krav |
| Inga kända sårbarheter | ✗ Ej explicit | ✓ Obligatoriskt |
| Krypteringskrav | ✗ Ej obligatoriskt | ✓ Obligatoriskt |
| Åtkomstkontroll | ✗ Ej obligatoriskt | ✓ Obligatoriskt |
| SBOM | ✗ Ej obligatoriskt | ✓ Obligatoriskt |
| Konformitetsbedömning | ✗ Egendeklaration | ✓ Självbedömning eller tredjepart |
| CE-märkning | ✗ Ej tillämpligt | ✓ Obligatoriskt |
| ENISA-rapportering | ✗ Ej tillämpligt | ✓ Obligatoriskt (24h/72h) |
De tre PSTI-kraven i detalj
UK PSTI SÄKERHETSKRAV
KRAV 1: INGA UNIVERSELLA STANDARDLÖSENORD
"Lösenord måste vara unika per enhet ELLER
användaren måste sätta lösenord under installation"
- Inga fabriksstandarder som "admin/admin"
- Unikt lösenord ELLER tvingad användarinstallation
- Måste inte vara lätt gissningsbara
- Måste inte baseras på offentlig information
CRA-EKVIVALENT:
CRA:s "säker som standard" täcker detta och mer
─────────────────────────────────────────────
KRAV 2: SÅRBARHETAVSLÖJANDE
"Tillverkaren måste tillhandahålla en offentlig kontaktpunkt
för rapportering av säkerhetsproblem"
- Tillgänglig kontaktinformation
- Måste bekräfta rapporter
- Måste hantera rapporter på lämpligt sätt
CRA-EKVIVALENT:
CRA kräver CVD-policy PLUS rapportering till ENISA
─────────────────────────────────────────────
KRAV 3: TRANSPARENS OM SÄKERHETSUPPDATERINGAR
"Tillverkaren måste publicera den definierade
supportperioden för säkerhetsuppdateringar"
- Måste ange duration vid köpögonblick
- Inget minimiduration krävs
- Information måste vara tillgänglig
CRA-EKVIVALENT:
CRA kräver detta PLUS minimum 5 år support
Där CRA går längre än UK PSTI
Supportperiod
JÄMFÖRELSE AV SUPPORTPERIOD
UK PSTI:
"Måste ange den minsta säkerhetsuppdateringsperioden"
- Inget minimiduration specificerat
- Kan vara 1 år, 2 år eller valfri period
- Tillverkaren väljer
- Måste kommuniceras tydligt
EU CRA:
"Ska säkerställa att sårbarheter kan adresseras
via säkerhetsuppdateringar under minst 5 år"
- MINIMUM 5 år obligatoriskt
- Eller förväntad produktlivstid om längre
- Från marknadsplacering av varje enhet
- Måste kommuniceras
Sårbarhethantering
JÄMFÖRELSE AV SÅRBARHETHANTERING
UK PSTI:
- Offentlig kontakt för rapporter ✓
- Hantera rapporter ✓
- Ingen rapportering TILL myndighet
- Inga tidslinjekrav
EU CRA:
- Offentlig kontakt ✓
- CVD-policy ✓
- RAPPORTERA TILL ENISA:
- 24 timmar för aktivt exploaterade
- 72 timmar för allvarliga sårbarheter
- Kundnotifieringskrav
- Förväntningar på åtgärdstidslinje
Tekniska krav
DJUP I TEKNISKA KRAV
UK PSTI:
Endast tre specifika krav:
1. Lösenord
2. Kontakt för avslöjande
3. Utlåtande om supportperiod
EU CRA:
Heltäckande tekniska krav:
- Säker som standard
- Inga kända sårbarheter
- Dataskydd (konfidentialitet, integritet)
- Åtkomstkontroll
- Tillgänglighetsskydd
- Minimera attackyta
- Kryptografiska krav
- Revisionsloggning
- Resiliens
- Uppdateringsmekanismer
- Och mer (Bilaga I)
Strategi för dubbel efterlevnad
Approach: CRA som primärt ramverk
Eftersom CRA är mer heltäckande, använd det som ditt primära efterlevningsramverk:
STRATEGI FÖR DUBBEL EFTERLEVNAD
BAS: CRA-efterlevnad
- Implementera alla CRA-krav
- Uppfyll Bilaga I väsentliga krav
- Förbered teknisk fil
- Generera SBOM
- Etablera sårbarhethantering
- Planera 5-årig support
UK PSTI-TILLÄGG:
- Verifiera att lösenordskrav är uppfyllt (redan täckt)
- Verifiera att kontakt för avslöjande finns (redan täckt)
- Lägg till UK-specifikt supportperiodutlåtande
- UK-verkställighetsmyndighetsregistrering (om obligatorisk)
RESULTAT:
CRA-efterlevnad uppfyller automatiskt PSTI
Endast mindre UK-specifika tillägg behövs
Dokumentationsapproach
DOKUMENTATION FÖR DUBBEL EFTERLEVNAD
DELAD DOKUMENTATION:
- Säkerhetsarkitektur
- Riskbedömning
- Testrapporter
- SBOM
- Sårbarhethanteringsprocess
- Användardokumentation (tekniskt innehåll)
UK-SPECIFIK:
- PSTI-efterlevnadsutlåtande
- UK-supportperiodutlåtande (kan matcha CRA)
- UK-marknadsmärkning/-förpackningskrav
EU-SPECIFIK:
- EU-försäkran om överensstämmelse
- CE-märkning
- Teknisk filformat per CRA
- ENISA-rapporteringsregistrering
Tidslinjeöverväganden
EFTERLEVNADSTIDSLINJE
APRIL 2024: UK PSTI i kraft
↓
NU: Måste efterleva PSTI för UK-marknaden
- Inga standardlösenord
- Kontakt för avslöjande
- Supportperiod angiven
SEPTEMBER 2026: CRA-rapporteringskrav
↓
Förbered för ENISA-sårbarhetrapportering
DECEMBER 2027: CRA fullt tillämplig
↓
Fullständig CRA-efterlevnad krävs för EU-marknaden
CRA-efterlevnad överstiger PSTI-krav
Så bygger du ett efterlevnadsprogram för båda marknaderna
Lösenordskrav
LÖSENORDSIMPLEMENTERING (Båda marknaderna)
ALTERNATIV 1: Unikt fabrikslösenord
- Generera unikt lösenord per enhet
- Tryckt på enhet/förpackning
- Lagrat säkert (för kundåterställning)
- Uppfyller både PSTI och CRA
ALTERNATIV 2: Tvingad användarinstallation
- Inget förinställt lösenord
- Kräv lösenordskapande vid första användning
- Framtvinga komplexitetskrav
- Uppfyller både PSTI och CRA
IMPLEMENTERING:
Samma approach fungerar för båda marknaderna
Dokumentera i användarguide och teknisk fil
Sårbarhetavslöjande
SÅRBARHETAVSLÖJANDE (Båda marknaderna)
FÖR PSTI:
- Offentlig kontakt (e-post, webbformulär)
- Bekräftelseprocess
- Hanteringsprocedur
FÖR CRA (ytterligare):
- Formell CVD-policy
- Förmåga att rapportera till ENISA
- Process för kundnotifiering
- Hantering av åtgärdstidslinje
IMPLEMENTERING:
Bygg en heltäckande CVD-process
- Offentlig säkerhetskontakt ✓ (uppfyller PSTI)
- CVD-policy ✓ (uppfyller CRA)
- ENISA-integration ✓ (CRA-specifik)
EN PROCESS BETJÄNAR BÅDA MARKNADERNA
Supportperiodutlåtande
SUPPORTPERIOD (Båda marknaderna)
UK PSTI-KRAV:
"Ange den definierade supportperioden"
Exempel: "Säkerhetsuppdateringar tillhandahålls till december 2029"
EU CRA-KRAV:
"Support under minst 5 år"
Exempel: "Säkerhetsuppdateringar tillhandahålls i minst 5 år
från köpdatum, till minst december 2032"
ENHETLIGT UTLÅTANDE:
"Den här produkten får säkerhetsuppdateringar i minst
5 år från köpdatum.
Förväntade slut på säkerhetssupport: [datum]
För UK-marknaden: Efterlevnadsenlig med PSTI Act 2022
För EU-marknaden: Efterlevnadsenlig med förordning (EU) 2024/2847"
Så skiljer sig tillsynen i UK och EU
UK: OPSS
UK-VERKSTÄLLIGHET
Myndighet: Office for Product Safety and Standards (OPSS)
Befogenheter:
- Efterlevnadsaviseringar
- Stoppaviseringar
- Återkallelseaviseringar
- Förverkande
- Böter upp till £10M eller 4% av global omsättning
Nyckelkontakter:
Webbplats: https://www.gov.uk/government/organisations/office-for-product-safety-and-standards
PSTI-info: https://www.gov.uk/guidance/regulations-consumer-connectable-product-security
EU: Nationella myndigheter
EU-VERKSTÄLLIGHET
Myndighet: Nationella marknadsövervakningsmyndigheter
(varierar per medlemsstat)
Befogenheter (per CRA):
- Korrigerande åtgärder
- Tillbakadragning från marknaden
- Återkallelse
- Böter upp till €15M eller 2,5% av global omsättning
Samordning:
ADCO (administrativt samarbete) grupper
ENISA för sårbarhethantering
Checklista: Dubbel marknadsefterlevnad
CHECKLISTA FÖR DUBBEL EFTERLEVNAD
UK PSTI (Nu):
[ ] Inga universella standardlösenord implementerade
[ ] Offentlig kontakt för sårbarhetavslöjande publicerad
[ ] Supportperiod tydligt angiven
[ ] UK-efterlevnadsutlåtande förberett
[ ] OPSS-vägledning granskad
EU CRA (Till dec 2027):
[ ] Alla väsentliga krav (Bilaga I) adresserade
[ ] SBOM genererad och underhållen
[ ] Sårbarhethanteringsprocess med ENISA-rapportering
[ ] 5-årig supportperiod bekräftad
[ ] Teknisk fil förberedd
[ ] Konformitetsbedömning genomförd
[ ] CE-märkning applicerad
[ ] EU-försäkran om överensstämmelse undertecknad
DELAT:
[ ] Lösenordssäkerhet implementerad (täcker båda)
[ ] Kontakt för sårbarhetavslöjande (täcker båda)
[ ] Supportperiod kommunicerad (uppfyller båda)
[ ] Användardokumentation (anpassad per marknad)
[ ] Säkerhetstestning genomförd
Officiella CRA- och PSTI-resurser
TILLSYNSRESURSER
UK PSTI:
Akt: https://www.legislation.gov.uk/ukpga/2022/46
Vägledning: https://www.gov.uk/guidance/regulations-consumer-connectable-product-security
OPSS: https://www.gov.uk/government/organisations/office-for-product-safety-and-standards
EU CRA:
Förordning: https://eur-lex.europa.eu/legal-content/EN/TXT/
?uri=CELEX:32024R2847
EC-sida: https://digital-strategy.ec.europa.eu/en/
policies/cyber-resilience-act
STANDARDER:
ETSI EN 303 645: Konsument-IoT-säkerhet
(Anpassad till både PSTI och CRA)
Info: UK PSTI och EU CRA har olika omfång. PSTI fokuserar på konsument-IoT-säkerhetsgrunder; CRA täcker ALLA produkter med digitala element, med djupare krav.
Tips: Om du säljer på både UK- och EU-marknader, bygg till CRA-standarder. PSTI-efterlevnad följer naturligt eftersom CRA överstiger PSTI-krav.
Vanliga frågor: Dubbel efterlevnad
När gäller PSTI för en produkt som säljs till företagskunder?
PSTI riktar sig mot "konsumentanslutningsbara produkter". En produkt som säljs uteslutande B2B via företagskanaler hamnar i regel utanför PSTI:s omfång. Gråzonen är hårdvara med dubbel användning (en smart kamera som säljs både till hushåll och småföretag): om samma SKU någonsin görs tillgänglig för konsumenter i UK, gäller PSTI. Dokumentera distributionsvägen per SKU och bevara evidens för att den konsumentvända vägen är stängd om du vill hävda att PSTI inte gäller. CRA gäller ändå för EU-placering.
Kan en sårbarhetsprocess uppfylla både CRA och PSTI?
Ja, om du bygger den till den högre nivån. PSTI kräver en offentlig rapporteringskontakt och en hanteringsprocess. CRA (Art. 13(6)/(7)) kräver en dokumenterad policy för samordnad sårbarhetsredovisning, en enda kontaktpunkt och rapportering till det nationella CSIRT via ENISA Single Reporting Platform inom 24h/72h. En CVD-process på CRA-nivå täcker automatiskt PSTI. Det omvända gäller inte. Publicera en security.txt, en policy och ett mottagningsflöde, och lägg sedan till ENISA-rapporteringssteget för EU-marknadens produkter.
Hur bör utlåtanden om supportperiod skilja sig för UK- och EU-förpackningar?
Formuleringen skiljer sig, inte det underliggande åtagandet. UK PSTI kräver att du anger den definierade minimiperioden vid försäljningstillfället, och vilken duration som helst är laglig så länge den är tydlig. CRA (Art. 13(8)) kräver minst 5 år, eller förväntad produktlivstid om kortare. Om du åtar dig 5+ år över hela linjen kan du använda ett enda utlåtande på delad förpackning ("Säkerhetsuppdateringar till [datum]"). Om du erbjuder kortare UK-support behöver du separat UK-vänd copy och kan inte återanvända EU-förpackning.
Vad ändras om samma enhet säljs via distributörer på båda marknaderna?
Skyldigheterna fästs på den ekonomiska aktör som placerar produkten på varje marknad. En UK-distributör som importerar från en EU-tillverkare tar på sig importörsplikter under PSTI, inklusive att verifiera efterlevnadsutlåtandet och märkningen. En EU-importör eller distributör bär CRA Art. 19/20-skyldigheter. Om du är tillverkaren behöver du fortfarande överlämna rätt efterlevnadsartefakter till varje distributör för deras marknad: PSTI-efterlevnadsutlåtande för UK, EU-försäkran om överensstämmelse och teknisk filreferens för EU. Skriv in detta i distributionsavtalen.
Hjälper CE-märkning PSTI-efterlevnad på något sätt?
Nej. CE är ett EU-märke och har ingen rättslig effekt i Storbritannien efter Brexit. PSTI-efterlevnad bevisas genom ett efterlevnadsutlåtande som åtföljer produkten, inte av ett märke. Att placera CE på en UK-marknadsprodukt varken hjälper eller skadar PSTI, men UKCA-märkning är återigen en separat fråga (och krävs inte av PSTI själv). Förlita dig inte på CE som bevis för PSTI-efterlevnad under OPSS-tillsyn.
Vilka extra kontroller behövs för placering i Nordirland?
NI är det komplicerade fallet. Under Windsor-ramverket måste varor som placeras på NI-marknaden uppfylla EU:s regler, så CRA gäller för NI-placering när den väl är i kraft, även om NI är en del av UK. PSTI gäller för GB (England, Skottland, Wales) men inte NI. Om samma SKU går till både GB och NI behöver du både PSTI-efterlevnad (för GB) och CRA-efterlevnad (för NI). Spåra placering per marknad i dina batch-/partiregister så att en OPSS- eller EU-myndighetsundersökning kan besvaras med evidens för placeringsväg.
Relaterade artiklar
Gäller CRA för din produkt?
Svara på 6 enkla frågor för att ta reda på om din produkt omfattas av EU:s Cyber Resilience Act. Få ditt resultat på under 2 minuter.
Redo att uppnå CRA-efterlevnad?
Börja hantera dina SBOM:ar och efterlevnadsdokumentation med CRA Evidence.