EU Cyber Resilience Act (CRA) คืออะไร? คู่มือเตรียมธุรกิจไทยให้พร้อม 2026

# EU Cyber Resilience Act (CRA) คืออะไร? คู่มือเตรียมธุรกิจไทยให้พร้อม 2026

EU Cyber Resilience Act (CRA) คือกฎหมายใหม่ของสหภาพยุโรปที่จะเปลี่ยนโฉมหน้าของการรักษาความปลอดภัยไซเบอร์สำหรับผลิตภัณฑ์ดิจิทัลและอุปกรณ์ IoT ที่จำหน่ายในตลาด EU โดยกำหนดให้ผู้ผลิต ผู้นำเข้า และผู้จัดจำหน่ายต้องมีมาตรการรักษาความปลอดภัยตลอดวงจรชีวิตของผลิตภัณฑ์

สำหรับธุรกิจไทยที่ส่งออกอุปกรณ์ IoT ซอฟต์แวร์ หรือผลิตภัณฑ์ที่มี Digital Element ไปยัง EU กฎหมายนี้จะบังคับใช้เต็มรูปแบบในวันที่ 11 ธันวาคม 2027 ซึ่งเหลือเวลาไม่ถึง 2 ปีในการเตรียมความพร้อม

บทความนี้จะอธิบายให้คุณเข้าใจว่า CRA คืออะไร ครอบคลุมผลิตภัณฑ์ประเภทใดบ้าง ข้อกำหนดหลักที่ต้องปฏิบัติตาม ขั้นตอนการเตรียมความพร้อม และผลกระทบต่อธุรกิจไทยที่ต้องรู้

CRA คืออะไร และทำไมต้องมี?

Cyber Resilience Act (Regulation EU 2024/2847) เป็นกฎหมายที่เผยแพร่ในวารสารทางการของ EU เมื่อวันที่ 20 พฤศจิกายน 2024 โดยมีเป้าหมายหลักเพื่อ:

จากสถิติของ ENISA (European Union Agency for Cybersecurity) พบว่ามูลค่าความเสียหายจาก Cyber Attack ต่อปีสูงถึง 5.5 ล้านล้านยูโร ซึ่ง 60% ของช่องโหว่มาจาก Software และ Hardware ที่ไม่ได้รับการ Patch อย่างเหมาะสม

ผลิตภัณฑ์ที่อยู่ในขอบเขตของ CRA

CRA ครอบคลุม "Products with Digital Elements" (PDE) ซึ่งหมายถึงผลิตภัณฑ์ Hardware หรือ Software ที่เชื่อมต่อกับอุปกรณ์หรือเครือข่ายอื่น โดยแบ่งเป็น 3 กลุ่มความเสี่ยง

| ระดับความเสี่ยง | สัดส่วน | ตัวอย่างผลิตภัณฑ์ | การประเมิน |

|----------------|--------|------------------|-----------|

| Default (ทั่วไป) | ~90% | สมาร์ททีวี, ของเล่นอัจฉริยะ, แอปพลิเคชัน | Self-assessment |

| Important Class I | ~8% | Password Manager, Network Management, VPN, Router บ้าน | Harmonised Standards |

| Important Class II | ~1% | Hypervisor, Firewall, IDS/IPS, HSM, Smart Meter Gateway | Third-party Assessment |

| Critical | <1% | Hardware Security Modules, Smart Card Readers, Secure Elements | EU Certification |

ผลิตภัณฑ์ที่ ไม่อยู่ในขอบเขต ได้แก่ อุปกรณ์การแพทย์ที่อยู่ใต้ MDR ยานยนต์ที่อยู่ใต้ Type Approval Regulation และเครื่องบินที่อยู่ใต้ EU Aviation Safety

ข้อกำหนดหลัก 4 ด้านของ CRA

1. Essential Cybersecurity Requirements

ผลิตภัณฑ์ต้องออกแบบและพัฒนาโดยยึดหลัก Security by Design และ Security by Default ประกอบด้วย

2. Vulnerability Handling Process

ผู้ผลิตต้องมีกระบวนการจัดการช่องโหว่ที่ชัดเจน

3. Reporting Obligations ภายใน 24 ชั่วโมง

เมื่อพบช่องโหว่ที่ถูกใช้ประโยชน์อย่างจริงจัง (Actively Exploited) หรือเกิด Severe Incident ผู้ผลิตต้องแจ้ง ENISA และ CSIRT ของประเทศสมาชิก

4. Technical Documentation และ CE Marking

ผลิตภัณฑ์ต้องแสดง CE Marking พร้อมเอกสารทางเทคนิคที่ครบถ้วน ได้แก่ Risk Assessment, Security Test Report, SBOM, User Manual พร้อมคำแนะนำด้านความปลอดภัย และ EU Declaration of Conformity

ขั้นตอนเตรียมความพร้อมสำหรับ CRA

CRA vs กฎหมายไซเบอร์อื่น เปรียบเทียบ

| หัวข้อ | CRA | NIS2 Directive | GDPR |

|-------|-----|----------------|------|

| ขอบเขต | ผลิตภัณฑ์ดิจิทัล/IoT | องค์กรที่ให้บริการสำคัญ | ข้อมูลส่วนบุคคล |

| ผู้ถูกควบคุม | ผู้ผลิต/ผู้นำเข้า | ผู้ให้บริการ | ผู้ควบคุม/ประมวลผลข้อมูล |

| บังคับใช้ | ธ.ค. 2027 | ต.ค. 2024 | พ.ค. 2018 |

| ค่าปรับสูงสุด | 15 ล้านยูโร หรือ 2.5% Global Turnover | 10 ล้านยูโร หรือ 2% | 20 ล้านยูโร หรือ 4% |

ผลกระทบต่อธุรกิจไทยและ CTA

ธุรกิจไทยที่ส่งออกอุปกรณ์ IoT, Smart Home, Consumer Electronics หรือซอฟต์แวร์ SaaS ไป EU จะต้องปฏิบัติตาม CRA หากไม่ปฏิบัติตาม สินค้าจะถูกห้ามวางจำหน่ายในตลาด EU ทันที

Key Takeaways:

ADS FIT พร้อมช่วยธุรกิจไทยวางระบบ Secure SDLC, สร้าง SBOM และจัดทำ Technical Documentation เพื่อ Compliance กับ CRA ได้ทันเวลา [ติดต่อเราเพื่อปรึกษาฟรี](https://www.adsfit.co.th/contact) หรืออ่านบทความ Compliance เพิ่มเติมในหมวดหมู่ ISO/GMP/อย.