CRA kontra UK PSTI: Efterlevnadsguide för EU- och UK-marknader

Efter Brexit har EU och UK utvecklat separata produktcybersäkerhetsregler. Om du säljer uppkopplade produkter på båda marknaderna behöver du efterleva både EU Cyber Resilience Act (CRA) och UK Product Security and Telecommunications Infrastructure (PSTI) Act. Det goda nyheterna: det finns betydande överlapp.

Den här guiden jämför båda förordningarna och beskriver en strategi för dubbel efterlevnad.

Sammanfattning

• UK PSTI Act har gällt sedan april 2024 (redan tillämplig!)
• EU CRA gäller fullt ut från december 2027
• PSTI är smalare (konsument-IoT) kontra CRA (alla produkter med digitala element)
• PSTI har 3 säkerhetskrav kontra CRA:s heltäckande lista
• CRA-efterlevnad täcker i stort sett PSTI-krav
• Dubbel efterlevnad uppnåelig med CRA som primärt ramverk

Förordningsöversikt

UK PSTI Act

Fullständigt namn: Product Security and Telecommunications Infrastructure Act 2022

I kraft: 29 april 2024

Omfång: Konsumtionsanslutningsbara produkter (IoT-enheter)

Nyckelkrav:

1. Inga universella standardlösenord
2. Tillhandahåll kontaktpunkt för sårbarhetavslöjande
3. Transparens om säkerhetsuppdateringsduration

Verkställighet: Office for Product Safety and Standards (OPSS)

EU CRA

Fullständigt namn: Förordning (EU) 2024/2847 (Cyberresiliensakt)

Full tillämpning: 11 december 2027

Omfång: Alla produkter med digitala element (mycket bredare)

Nyckelkrav: Heltäckande säkerhetskrav (Bilaga I)

• Säker som standard
• Inga kända exploaterbara sårbarheter
• Sårbarhethantering
• Säkerhetsuppdateringar i 5+ år
• SBOM-krav
• CE-märkning

Verkställighet: Nationella marknadsövervakningsmyndigheter

Jämförelse sida vid sida

Omfångsjämförelse

OMFÅNGSJÄMFÖRELSE

UK PSTI:
┌─────────────────────────────────────────────┐
│ Konsumtionsanslutningsbara produkter         │
│                                             │
│ - Smarta TV-apparater, högtalare, kameror   │
│ - Wearables, smarta hemenheter              │
│ - Konsument-IoT                             │
│ - Barnleksaker med anslutning               │
│                                             │
│ UNDANTAR:                                   │
│ - B2B-produkter                             │
│ - Medicintekniska produkter                 │
│ - Fordon                                    │
│ - Smarta mätare (annan reglering)           │
│ - Datorer, smartphones, surfplattor*        │
└─────────────────────────────────────────────┘
*Begränsade undantag för vissa datorenheter

EU CRA:
┌─────────────────────────────────────────────┐
│ Alla produkter med digitala element          │
│                                             │
│ - Konsument-IoT (samma som PSTI)            │
│ - B2B-produkter                             │
│ - Industriell utrustning                    │
│ - Programvara (fristående)                  │
│ - Företagshårdvara                          │
│ - Nätverksutrustning                        │
│                                             │
│ UNDANTAR:                                   │
│ - Medicintekniska produkter (MDR gäller)    │
│ - Fordon (typgodkännande)                   │
│ - Luftfart (separat reglering)              │
│ - Öppen källkod (icke-kommersiell)          │
└─────────────────────────────────────────────┘

Kravjämförelse

De tre PSTI-kraven i detalj

UK PSTI SÄKERHETSKRAV

KRAV 1: INGA UNIVERSELLA STANDARDLÖSENORD
"Lösenord måste vara unika per enhet ELLER
användaren måste sätta lösenord under installation"

- Inga fabriksstandarder som "admin/admin"
- Unikt lösenord ELLER tvingad användarinstallation
- Måste inte vara lätt gissningsbara
- Måste inte baseras på offentlig information

CRA-EKVIVALENT:
CRA:s "säker som standard" täcker detta och mer

─────────────────────────────────────────────

KRAV 2: SÅRBARHETAVSLÖJANDE
"Tillverkaren måste tillhandahålla en offentlig kontaktpunkt
för rapportering av säkerhetsproblem"

- Tillgänglig kontaktinformation
- Måste bekräfta rapporter
- Måste hantera rapporter på lämpligt sätt

CRA-EKVIVALENT:
CRA kräver CVD-policy PLUS rapportering till ENISA

─────────────────────────────────────────────

KRAV 3: TRANSPARENS OM SÄKERHETSUPPDATERINGAR
"Tillverkaren måste publicera den definierade
supportperioden för säkerhetsuppdateringar"

- Måste ange duration vid köpögonblick
- Inget minimiduration krävs
- Information måste vara tillgänglig

CRA-EKVIVALENT:
CRA kräver detta PLUS minimum 5 år support

Nyckels­skillnader

Supportperiod

JÄMFÖRELSE AV SUPPORTPERIOD

UK PSTI:
"Måste ange den minsta säkerhetsuppdateringsperioden"
- Inget minimiduration specificerat
- Kan vara 1 år, 2 år eller valfri period
- Tillverkaren väljer
- Måste kommuniceras tydligt

EU CRA:
"Ska säkerställa att sårbarheter kan adresseras
via säkerhetsuppdateringar under minst 5 år"
- MINIMUM 5 år obligatoriskt
- Eller förväntad produktlivstid om längre
- Från marknadsplacering av varje enhet
- Måste kommuniceras

Sårbarhethantering

JÄMFÖRELSE AV SÅRBARHETHANTERING

UK PSTI:
- Offentlig kontakt för rapporter ✓
- Hantera rapporter ✓
- Ingen rapportering TILL myndighet
- Inga tidslinjekrav

EU CRA:
- Offentlig kontakt ✓
- CVD-policy ✓
- RAPPORTERA TILL ENISA:
  - 24 timmar för aktivt exploaterade
  - 72 timmar för allvarliga sårbarheter
- Kundnotifieringskrav
- Förväntningar på åtgärdstidslinje

Strategi för dubbel efterlevnad

Approach: CRA som primärt ramverk

Eftersom CRA är mer heltäckande, använd det som ditt primära efterlevningsramverk:

STRATEGI FÖR DUBBEL EFTERLEVNAD

BAS: CRA-efterlevnad
- Implementera alla CRA-krav
- Uppfyll Bilaga I väsentliga krav
- Förbered teknisk fil
- Generera SBOM
- Etablera sårbarhethantering
- Planera 5-årig support

UK PSTI-TILLÄGG:
- Verifiera att lösenordskrav är uppfyllt (redan täckt)
- Verifiera att kontakt för avslöjande finns (redan täckt)
- Lägg till UK-specifikt supportperiodutlåtande
- UK-verkställighets­myndighets­registrering (om obligatorisk)

RESULTAT:
CRA-efterlevnad uppfyller automatiskt PSTI
Endast mindre UK-specifika tillägg behövs

Dokumentationsapproach

DOKUMENTATION FÖR DUBBEL EFTERLEVNAD

DELAD DOKUMENTATION:
- Säkerhetsarkitektur
- Riskbedömning
- Testrapporter
- SBOM
- Sårbarhethanteringsprocess
- Användardokumentation (tekniskt innehåll)

UK-SPECIFIK:
- PSTI-efterlevnadsutlåtande
- UK-supportperiodutlåtande (kan matcha CRA)
- UK-marknadsmärkning/-förpackningskrav

EU-SPECIFIK:
- EU-försäkran om överensstämmelse
- CE-märkning
- Teknisk filformat per CRA
- ENISA-rapporteringsregistrering

Tidslinjeöverväganden

EFTERLEVNADSTIDSLINJE

APRIL 2024: UK PSTI i kraft
↓
NU: Måste efterleva PSTI för UK-marknaden
    - Inga standardlösenord
    - Kontakt för avslöjande
    - Supportperiod angiven

SEPTEMBER 2026: CRA-rapporteringskrav
↓
Förbered för ENISA-sårbarhetrapportering

DECEMBER 2027: CRA fullt tillämplig
↓
Fullständig CRA-efterlevnad krävs för EU-marknaden
CRA-efterlevnad överstiger PSTI-krav

Praktisk implementering

Lösenordskrav

LÖSENORDSIMPLEMENTERING (Båda marknaderna)

ALTERNATIV 1: Unikt fabrikslösenord
- Generera unikt lösenord per enhet
- Tryckt på enhet/förpackning
- Lagrat säkert (för kundåterställning)
- Uppfyller både PSTI och CRA

ALTERNATIV 2: Tvingad användarinstallation
- Inget förinställt lösenord
- Kräv lösenordskapande vid första användning
- Framtvinga komplexitetskrav
- Uppfyller både PSTI och CRA

IMPLEMENTERING:
Samma approach fungerar för båda marknaderna
Dokumentera i användarguide och teknisk fil

Supportperiodutlåtande

SUPPORTPERIOD (Båda marknaderna)

UK PSTI-KRAV:
"Ange den definierade supportperioden"
Exempel: "Säkerhetsuppdateringar tillhandahålls till december 2029"

EU CRA-KRAV:
"Support under minst 5 år"
Exempel: "Säkerhetsuppdateringar tillhandahålls i minst 5 år
från köpdatum, till minst december 2032"

ENHETLIGT UTLÅTANDE:
"Den här produkten får säkerhetsuppdateringar i minst
5 år från köpdatum.
Förväntade slut på säkerhetssupport: [datum]

För UK-marknaden: Efterlevnadsenlig med PSTI Act 2022
För EU-marknaden: Efterlevnadsenlig med förordning (EU) 2024/2847"

Marknadsövervakningsskillnader

UK: OPSS

UK-VERKSTÄLLIGHET

Myndighet: Office for Product Safety and Standards (OPSS)

Befogenheter:
- Efterlevnadsaviseringar
- Stoppaviseringar
- Återkallelseaviseringar
- Förverkande
- Böter upp till £10M eller 4% av global omsättning

Nyckelkontakter:
Webbplats: https://www.gov.uk/government/organisations/
           office-for-product-safety-and-standards
PSTI-info: https://www.gov.uk/guidance/
           product-security-and-telecommunications-infrastructure-psti-act

EU: Nationella myndigheter

EU-VERKSTÄLLIGHET

Myndighet: Nationella marknadsövervakningsmyndigheter
(varierar per medlemsstat)

Befogenheter (per CRA):
- Korrigerande åtgärder
- Tillbakadragning från marknaden
- Återkallelse
- Böter upp till €15M eller 2,5% av global omsättning

Samordning:
ADCO (administrativt samarbete) grupper
ENISA för sårbarhethantering

Vanliga frågor: Dubbel efterlevnad

Behöver jag separata certifieringar?

Svar: Ingen enhetlig certifiering krävs för någondera.

• PSTI: Egendeklaration om efterlevnad
• CRA: Självbedömning (Standard) eller Anmält organ (Viktig/Kritisk)

Om CRA kräver tredjeparts­bedömning stödjer det beviset PSTI också.

Min produkt är B2B. Gäller PSTI?

Svar: Förmodligen inte.

• PSTI täcker "konsumtionsanslutningsbara produkter"
• B2B/företagsprodukter generellt undantagna
• CRA täcker alla produkter (inklusive B2B)

För B2B-produkter: Fokusera enbart på CRA för EU, PSTI gäller inte.

Checklista: Dubbel marknadsefterlevnad

CHECKLISTA FÖR DUBBEL EFTERLEVNAD

UK PSTI (Nu):
[ ] Inga universella standardlösenord implementerade
[ ] Offentlig kontakt för sårbarhetavslöjande publicerad
[ ] Supportperiod tydligt angiven
[ ] UK-efterlevnadsutlåtande förberett
[ ] OPSS-vägledning granskad

EU CRA (Till dec 2027):
[ ] Alla väsentliga krav (Bilaga I) adresserade
[ ] SBOM genererad och underhållen
[ ] Sårbarhethanteringsprocess med ENISA-rapportering
[ ] 5-årig supportperiod bekräftad
[ ] Teknisk fil förberedd
[ ] Konformitetsbedömning genomförd
[ ] CE-märkning applicerad
[ ] EU-försäkran om överensstämmelse undertecknad

DELAT:
[ ] Lösenordssäkerhet implementerad (täcker båda)
[ ] Kontakt för sårbarhetavslöjande (täcker båda)
[ ] Supportperiod kommunicerad (uppfyller båda)
[ ] Användardokumentation (anpassad per marknad)
[ ] Säkerhetstestning genomförd

Tips: Om du säljer på både UK- och EU-marknader, bygg till CRA-standarder — PSTI-efterlevnad följer naturligt eftersom CRA överstiger PSTI-krav.

Relaterade guider

• CRA-produktklassificering: Är din produkt Standard, Viktig eller Kritisk?
• CRA-efterlevnad för konsument-IoT: EN 303 645-anpassning och guide för smarta hem-säkerhet
• EU Cyberresiliensakt: Komplett implementeringstidslinje 2025-2027

Hur CRA Evidence hjälper

CRA Evidence stödjer efterlevnad på dubbla marknader:

• CRA-first-approach: Bygg på heltäckande CRA-ramverk
• PSTI-mappning: Spåra PSTI-krav som delmängd
• Multi-marknadsdokumentation: Generera marknadsspecifika dokument
• Enda sanningskälla: Hantera efterlevnadsbevis en gång
• Sårbarhethantering: Enhetlig process för båda marknaderna

Starta din dubbel-marknadersefterlevnad på app.craevidence.com.

Den här artikeln är endast avsedd för informationsändamål och utgör inte juridisk rådgivning. För specifik efterlevnadsvägledning, konsultera kvalificerade juridiska rådgivare som är bekanta med relevanta jurisdiktioner.