# CRA คืออะไร? คู่มือ EU Cyber Resilience Act สำหรับผู้ผลิต Software & IoT ไทย ปี 2026
ถ้าคุณเป็นบริษัทไทยที่ขาย Software, Hardware, IoT Device หรือเขียน Library/Component ที่ลูกค้าใน EU นำไปใช้ ปี 2026 คือปีสุดท้ายที่คุณยังพอมีเวลาเตรียมตัว เพราะตั้งแต่วันที่ 11 ธันวาคม 2027 เป็นต้นไป EU Cyber Resilience Act หรือ CRA จะมีผลบังคับใช้เต็มรูปแบบ ผลิตภัณฑ์ดิจิทัลที่ไม่ผ่าน CRA จะไม่สามารถติด CE Mark และวางขายในตลาด EU ได้เลย
CRA ไม่ใช่กฎหมายของบริษัทใหญ่อย่างเดียว มันครอบคลุมทุก "ผลิตภัณฑ์ที่มีองค์ประกอบดิจิทัล" (Products with Digital Elements หรือ PDE) ตั้งแต่ Smart Plug ราคา 200 บาทไปถึง Enterprise SaaS ระดับ 100 ล้านยูโร นั่นแปลว่า SME ไทยที่ส่งออก IoT, ขาย SaaS B2B ไป EU หรือเป็น Open-Source Maintainer ที่บริษัทยุโรปนำโค้ดไปใช้ ก็มีโอกาสติดร่างแหด้วยเช่นกัน
บทความนี้จะอธิบายว่า CRA คืออะไร ครอบคลุมใครบ้าง มาตรฐานความปลอดภัยที่ต้องทำคืออะไร และ Roadmap เตรียมตัวแบบรายไตรมาสที่ SME ไทยทำได้จริงโดยไม่ต้องจ้างที่ปรึกษาราคาแพง
CRA คืออะไร โดยย่อ
EU Cyber Resilience Act (Regulation 2024/2847) เป็นกฎหมายที่ผ่านสภายุโรปในเดือนตุลาคม 2024 มีผลบังคับใช้ตั้งแต่ 11 ธันวาคม 2024 และให้เวลาเปลี่ยนผ่าน 36 เดือน ผู้ผลิตทุกรายต้องปฏิบัติตามภายใน 11 ธันวาคม 2027 ส่วนข้อกำหนด Vulnerability Reporting มีผลก่อนตั้งแต่ 11 กันยายน 2026
หลักการคือ "Security by Design and by Default" ตลอดอายุการใช้งาน (Support Period) ของผลิตภัณฑ์ ซึ่ง CRA นิยามไว้อย่างน้อย 5 ปี ผู้ผลิตต้องประเมินความเสี่ยง, ออกแบบให้ปลอดภัย, ออก Patch ฟรี, และรายงานช่องโหว่ที่ถูก Exploit จริงให้ ENISA ภายใน 24 ชั่วโมง
โทษกรณีฝ่าฝืนหนักมาก สูงสุด 15 ล้านยูโรหรือ 2.5% ของรายได้ทั่วโลก แล้วแต่ตัวไหนสูงกว่า เทียบเคียงกับ GDPR ที่ทุกคนคุ้นเคย
ผลิตภัณฑ์ที่ครอบคลุม
CRA แบ่งผลิตภัณฑ์เป็น 3 ระดับตามความเสี่ยง
ระดับ Default คือ PDE ทั่วไป เช่น Mobile App, Productivity Software, Smart Plug, Smart Bulb, Web Browser ครอบคลุมประมาณ 90% ของผลิตภัณฑ์ในตลาด ผู้ผลิตทำ Self-Assessment ได้เอง
ระดับ Important ซึ่งมี Class I และ Class II คือผลิตภัณฑ์ที่หากถูกโจมตีจะส่งผลกระทบสูง เช่น Password Manager, VPN, EDR, Network Management Software, Smart Home Hub, Industrial Router บริษัทต้องใช้ Harmonized Standard หรือผ่านการประเมินจาก Notified Body
ระดับ Critical คือผลิตภัณฑ์ที่กระทบโครงสร้างพื้นฐานสำคัญ เช่น HSM, Secure Element, Smart Meter Gateway, Smart Card ต้อง Third-Party Conformity Assessment เสมอ
ผลิตภัณฑ์ที่ "ไม่อยู่ใน CRA" เพราะมีกฎหมายเฉพาะอยู่แล้ว ได้แก่ Medical Device (MDR), Vehicles, Aviation, Marine, Defense และ Open-Source ที่ไม่ได้ทำเป็นเชิงพาณิชย์
ข้อกำหนดทางเทคนิคที่ผู้ผลิตต้องทำ (Annex I)
CRA Annex I กำหนด Essential Requirements ที่ผลิตภัณฑ์ต้องปฏิบัติ
ขายผลิตภัณฑ์โดยไม่มีช่องโหว่ที่รู้จัก ต้องสแกนและแก้ก่อน Ship ทุกครั้ง
มี Configuration Default ที่ปลอดภัย ห้ามใช้รหัสผ่านปริยายหรือ Default Open Port ที่ไม่จำเป็น
ส่ง Security Update ฟรีโดยอัตโนมัติตลอด Support Period และต้องบอกลูกค้าชัดเจนว่ารองรับถึงปีไหน
มี Mechanism ให้ผู้ใช้รายงานช่องโหว่ และมี Coordinated Vulnerability Disclosure Policy ที่เปิดเผยต่อสาธารณะ
จัดเก็บ Software Bill of Materials (SBOM) ในรูปแบบมาตรฐาน เช่น SPDX หรือ CycloneDX และส่งให้หน่วยงานเมื่อร้องขอ
จำกัด Attack Surface, ใช้ Defense-in-Depth, เข้ารหัส Data at Rest และ In Transit, มี Access Control และ Logging
ภาระหน้าที่ของผู้ผลิต (Article 13-14)
นอกจากสร้างให้ปลอดภัย ผู้ผลิตต้องทำกระบวนการตามมาตรา 13-14 ของ CRA
จัดทำ EU Declaration of Conformity ระบุว่าผลิตภัณฑ์ปฏิบัติตาม Essential Requirements ทุกข้อ
แสดง CE Mark บนผลิตภัณฑ์, บรรจุภัณฑ์ และเอกสารประกอบ
จัดเตรียม Technical Documentation รวมถึง Risk Assessment, SBOM, Test Reports, Vulnerability Handling Procedures เก็บไว้อย่างน้อย 10 ปี
รายงานช่องโหว่ที่ถูกใช้โจมตีจริง (Actively Exploited) ให้ ENISA และ CSIRT ภายใน 24 ชั่วโมง พร้อม Final Report ภายใน 14 วัน และ Mitigation ภายใน 14 วันถัดมา
แจ้งผู้ใช้เมื่อพบ Incident ที่กระทบความปลอดภัยของผลิตภัณฑ์โดยไม่ชักช้า
ผลกระทบกับ SME ไทย
ผู้ส่งออก IoT/Hardware ไป EU เช่น Smart Plug, Smart Lock, Camera, Industrial Sensor ต้องปฏิบัติตาม CRA ทันที ต้นทุนเพิ่มสำหรับ Audit, Test และ Update Infrastructure ประมาณ 50,000-200,000 USD ต่อ Product Line
SaaS B2B ที่มีลูกค้าเป็นบริษัทยุโรป แม้ Server Host อยู่ในไทย ก็ถือว่า "Place on Market" ใน EU ต้องทำตาม CRA โดยเฉพาะ Customer-Facing Web Application
Open-Source Maintainer ที่ทำเชิงพาณิชย์ (เช่น Dual License, มี Sponsor) จะกลายเป็น "Open-Source Software Steward" ตาม Article 24 มีภาระน้อยกว่า Commercial Vendor แต่ก็ต้องมี Security Policy และ Coordinated Vulnerability Disclosure
ผู้ที่ "ไม่ขายตรงสู่ EU" แต่ Component ของตัวเองอยู่ใน Supply Chain ของบริษัทยุโรป ก็จะโดน Pressure ทางอ้อมเพราะลูกค้าจะถาม SBOM และ Security Posture ก่อนซื้อ
ตารางเปรียบเทียบ CRA vs PDPA vs ISO 27001
| คุณสมบัติ | CRA | PDPA | ISO 27001 |
|-----------|-----|------|-----------|
| ขอบเขต | ผลิตภัณฑ์ดิจิทัล | ข้อมูลส่วนบุคคล | ระบบบริหารความปลอดภัยข้อมูล |
| ภาคบังคับ | บังคับสำหรับขายใน EU | บังคับในไทย | สมัครใจ |
| ผู้ตรวจ | Notified Body / Self | คณะกรรมการ PDPA | Certification Body |
| โทษสูงสุด | 15M EUR / 2.5% global revenue | 5M THB | ไม่มี |
| มีผลบังคับ | ธ.ค. 2027 | มิ.ย. 2022 | ตลอดเวลา |
| Vulnerability Reporting | บังคับ 24 ชม. | ไม่บังคับ | แนะนำ |
| Support Period | อย่างน้อย 5 ปี | ไม่กำหนด | ไม่กำหนด |
Roadmap เตรียมตัวสำหรับ SME ไทย รายไตรมาส
ไตรมาส 1 ปี 2026 ทำ Inventory ผลิตภัณฑ์ทุกตัวที่ขายหรืออาจขายใน EU จัดประเภทตาม CRA Risk Level (Default, Important, Critical) แต่งตั้ง Cybersecurity Officer ภายใน
ไตรมาส 2 ปี 2026 จัดทำ Risk Assessment ตาม Annex I ระบุช่องว่างเทียบกับ Essential Requirements 13 ข้อ ออกแบบ SBOM Pipeline ด้วย Syft, Dependency-Track หรือ SBOM ของ GitHub Actions
ไตรมาส 3 ปี 2026 พัฒนา Vulnerability Handling Process ตั้ง Email security@ ออก Coordinated Vulnerability Disclosure Policy บนเว็บ ตั้ง CI/CD Pipeline ให้สแกนช่องโหว่ทุก Build ด้วย Trivy หรือ Snyk
ไตรมาส 4 ปี 2026 จัดทำ Technical Documentation ตาม Annex VII ทดสอบ Penetration Testing ของผลิตภัณฑ์ จัดทำ EU Declaration of Conformity ฉบับร่าง
ปี 2027 รับฟัง Harmonized Standards ที่ ENISA จะออก และ Certified Self-Assessment หรือ Third-Party ตามระดับความเสี่ยง วาง Process ระยะยาวสำหรับ Vulnerability Reporting 24 ชั่วโมง
เครื่องมือที่ช่วยทำ CRA Compliance
SBOM Generation: Syft, SPDX-Tools, GitHub Dependency Submission, CycloneDX CLI
Vulnerability Scanning: Trivy, Grype, Snyk, OWASP Dependency-Check, Semgrep, OSV-Scanner
SDLC Hardening: SLSA Framework, GitHub Advanced Security, Sigstore สำหรับ Code Signing
Security Testing: OWASP ZAP, Burp Suite, Nuclei, Nikto สำหรับ Web; Frida, MobSF สำหรับ Mobile
Vulnerability Tracking: Dependency-Track, OpenCVE, GitHub Security Advisories, OSV.dev
ทุกตัวที่กล่าวถึงเป็น Open-Source หรือมี Free Tier ที่ SME ใช้ได้ทันที ไม่ต้องเสียค่า License ก่อน
ข้อควรระวัง
อย่ารอจนปี 2027 เพราะ Process การ Audit, Test และ Documentation ใช้เวลา 6-12 เดือน บริษัทที่เริ่มในไตรมาส 4 ปี 2026 อาจ Ship สินค้าไม่ทัน Deadline
ระวังเรื่อง Open-Source Component ในผลิตภัณฑ์ ถ้า Component นั้นมีช่องโหว่และคุณไม่ Patch ผู้ผลิตคุณคือคนที่ต้องรับผิดในสายตา CRA ไม่ใช่ Maintainer ของ Component
อย่าใช้ "เราเป็นแค่ SME ไทย ไม่อยู่ใน EU" เป็นข้ออ้าง เพราะลูกค้า EU ของคุณจะเป็นคนถาม SBOM และ Compliance ก่อนซื้อ ไม่ใช่ ENISA
สรุป + ขั้นตอนถัดไป
EU CRA เป็นกฎหมายที่จะเปลี่ยนเกม Security ของ Software และ IoT ทั่วโลกในแบบเดียวกับที่ GDPR เปลี่ยนเกมเรื่อง Privacy SME ไทยที่ส่งออกหรือมีลูกค้าใน EU จำเป็นต้องเริ่มเตรียมตัวตั้งแต่ปี 2026 ไม่ใช่ปี 2027
3 สิ่งที่ทำได้ทันทีคือ จัดทำ Inventory ของผลิตภัณฑ์ ตั้ง SBOM Pipeline และเขียน Vulnerability Disclosure Policy 3 อย่างนี้ใช้เวลาไม่ถึง 1 เดือน แต่จะปูทาง Compliance ทั้งหมด
ทีม ADS FIT พร้อมช่วยทำ Gap Assessment, ตั้ง SBOM Pipeline และ Pen Test ให้พร้อม CRA โดยใช้เครื่องมือ Open-Source ราคาประหยัด ติดต่อเราที่ contact@adsfit.co.th หรืออ่านบทความที่เกี่ยวข้องเรื่อง ISO 27001, OWASP SAMM และ NIST SP 800-53 ในบล็อก ADS FIT