EU CRA 2026: Cyber Resilience Act คู่มือ SME ไทย

# EU Cyber Resilience Act 2026: คู่มือ CRA Product Cybersecurity สำหรับ SME ไทยที่ต้องการขายตลาด EU

ปี 2026 คือจุดเริ่มต้นที่ EU Cyber Resilience Act (CRA) เริ่มมีผลบังคับใช้เต็มรูปแบบ — กฎหมายฉบับนี้บังคับให้ "ผลิตภัณฑ์ที่มีองค์ประกอบดิจิทัล" (Products with Digital Elements - PDE) ทุกชิ้นที่ขายในตลาด EU ต้องผ่านมาตรฐาน Cybersecurity ตลอดอายุการใช้งาน หากฝ่าฝืนจะถูกปรับสูงสุด 15 ล้านยูโร หรือ 2.5% ของรายได้ต่อปี (แล้วแต่ว่าตัวเลขใดสูงกว่า)

สำหรับ SME ไทยที่ส่งออก IoT, อุปกรณ์อัจฉริยะ, Mobile App, SaaS, ปลั๊กอิน, หรือซอฟต์แวร์ B2B ไปยุโรป — CRA คือกำแพงเข้าตลาดที่ต้องเตรียมความพร้อมตั้งแต่วันนี้ เพราะการ Compliance ต้องเริ่มตั้งแต่ขั้นออกแบบผลิตภัณฑ์ ไม่ใช่ทำตอนใกล้ส่งของ

บทความนี้จะอธิบายภาพรวม CRA, ขั้นตอนการเตรียม Compliance, ระยะเวลา (Transition Period), และเช็คลิสต์เริ่มต้นสำหรับ SME ไทย

CRA คืออะไร และทำไม SME ไทยควรสนใจ

EU Cyber Resilience Act (Regulation 2024/2847) เป็นกฎหมายแรกของโลกที่กำหนด "Mandatory Cybersecurity Requirements" สำหรับผลิตภัณฑ์ดิจิทัลครบทั้ง Hardware + Software ก่อนเข้าตลาด EU โดยรวมการครอบคลุม:

IoT Devices (Smart Camera, Smart Lock, Wearable, Sensor)

Network Equipment (Router, Switch, Firewall)

Software / SaaS / Mobile App ที่จำหน่ายเชิงพาณิชย์

Operating System และ Firmware

Industrial Control System (ICS, SCADA)

CRA ใช้หลัก "CE Marking" ที่ผู้ผลิตต้อง Self-Declare หรือผ่าน Conformity Assessment โดย Notified Body ตามระดับความเสี่ยงของผลิตภัณฑ์

ระดับความเสี่ยงและการประเมินตามประเภทผลิตภัณฑ์

| ระดับ | ตัวอย่างผลิตภัณฑ์ | การประเมิน |

|-------|-------------------|------------|

| Default | ของเล่นเด็กที่มี Wi-Fi, Smart Speaker | Self-Assessment |

| Important Class I | Password Manager, VPN Client, Browser, IAM | Self-Assessment + Standard อ้างอิง |

| Important Class II | Firewall, IDS/IPS, HSM, Smart Card | Conformity Assessment โดย Third-Party |

| Critical | Smart Meter, Industrial IoT, Robotics ในโครงสร้างพื้นฐาน | Third-Party + Audit |

ผู้ผลิตต้องลงทะเบียน CE Marking และมีเอกสาร Technical Documentation ครบถ้วนเก็บไว้อย่างน้อย 10 ปีหลังวางตลาด

ข้อกำหนด Essential Cybersecurity Requirements

CRA แบ่งข้อกำหนดเป็น 2 ส่วนหลัก ได้แก่ Product Security และ Vulnerability Handling

Product Security Requirements

ผลิตภัณฑ์ที่ขายต้องมีคุณสมบัติด้านความปลอดภัยในตัวเองตั้งแต่ Day 1:

ออกแบบโดยใช้หลัก Security-by-Design และ Defense-in-Depth

รหัสผ่าน Default ต้องไม่ใช่ค่าที่คาดเดาได้ และต้องบังคับให้เปลี่ยนก่อนใช้งาน

เข้ารหัสข้อมูลที่จัดเก็บ (At-Rest) และส่ง (In-Transit)

ลด Attack Surface โดยปิด Port/Service ที่ไม่จำเป็น

มีกลไก Logging, Monitoring และตรวจจับความผิดปกติ

รองรับ Software Update / Security Patch ตลอดอายุการใช้งาน

Vulnerability Handling Requirements

ผู้ผลิตต้องมีกระบวนการจัดการช่องโหว่อย่างเป็นระบบ:

ระบบ CVD (Coordinated Vulnerability Disclosure) สำหรับ Researcher แจ้ง Vulnerability

เผยแพร่ Security Advisory และ Patch ภายใน 24-72 ชั่วโมงตามความรุนแรง

รายงาน Actively Exploited Vulnerability ต่อ ENISA ภายใน 24 ชั่วโมง

จัดทำ SBOM (Software Bill of Materials) เพื่อระบุ Component ที่ใช้

ระยะเวลา Transition และ Deadline สำคัญ

| วันที่ | ข้อกำหนด |

|-------|---------|

| ธันวาคม 2024 | CRA มีผลทางกฎหมาย |

| มิถุนายน 2026 | Reporting Obligation เริ่มบังคับใช้ |

| ธันวาคม 2027 | CRA บังคับใช้เต็มรูปแบบ ผลิตภัณฑ์ใหม่ต้องผ่าน CRA |

SME ไทยควรเริ่มเตรียมตัวไม่เกิน Q1 2026 เพราะกระบวนการ Audit + เตรียมเอกสารใช้เวลาเฉลี่ย 6-9 เดือน

ขั้นตอนการเตรียม Compliance สำหรับ SME ไทย

ขั้นตอนที่ 1: Product Inventory & Risk Classification

ทำรายการผลิตภัณฑ์ทั้งหมดที่ขายหรือมีแผนจะขายในตลาด EU แล้วแบ่งระดับ Default / Important Class I/II / Critical ตามข้างต้น

ขั้นตอนที่ 2: Gap Analysis

ประเมิน Product Security เทียบ Essential Requirements ในภาคผนวก Annex I ของ CRA โดยใช้ Standard เช่น ETSI EN 303 645 (IoT) หรือ IEC 62443 (Industrial)

ขั้นตอนที่ 3: Implement Secure SDLC

นำ DevSecOps มาใช้ในกระบวนการพัฒนา รวมถึง Code Review, SAST/DAST, Dependency Scanning, Container Scanning, และ SBOM Generation

ขั้นตอนที่ 4: จัดเตรียม Technical Documentation

จัดเก็บเอกสารต่อไปนี้:

Product Description และ Architecture Diagram

Risk Assessment Report

Test Reports (Security Testing, Penetration Testing)

SBOM ในรูปแบบ CycloneDX หรือ SPDX

Vulnerability Handling Procedures

ขั้นตอนที่ 5: Setup CVD และ Incident Response

ตั้งกระบวนการรับ Vulnerability Disclosure ผ่าน security@yourcompany.com หรือ Bug Bounty Platform

ขั้นตอนที่ 6: Self-Declaration หรือ Third-Party Conformity Assessment

สำหรับ Default และ Important Class I ทำ Self-Declaration และจัดทำ EU Declaration of Conformity (DoC) ส่วน Important Class II และ Critical ต้องทำงานกับ Notified Body

เปรียบเทียบ CRA กับมาตรฐานอื่น

| มิติ | CRA | NIS2 | ISO 27001 | IEC 62443 |

|-----|-----|------|-----------|-----------|

ข้อควรระวังและความผิดพลาดที่พบบ่อย

หลายองค์กรเข้าใจผิดในประเด็นต่อไปนี้:

คิดว่า CRA บังคับเฉพาะ Hardware ที่จริง Software ก็ครอบคลุม

เชื่อว่า Software Open-Source ที่ใช้ฟรีไม่ต้องทำ — แต่หากนำไป Commercialize ต้อง Compliance

ไม่จัดทำ SBOM ทำให้ตรวจสอบ Vulnerability ของ Component ไม่ได้

ไม่มีแผน End-of-Life / End-of-Support ของผลิตภัณฑ์

ไม่ตั้งระบบรับแจ้ง Vulnerability จากภายนอก

สรุปและขั้นตอนต่อไปสำหรับ SME ไทย

EU Cyber Resilience Act คือมาตรฐานใหม่ระดับ "ใบเบิกทาง" สำหรับการขายผลิตภัณฑ์ดิจิทัลในตลาด EU SME ไทยที่เตรียมตัวเร็ว จะได้เปรียบทั้งในแง่ของ Time-to-Market และ Trust จากลูกค้ายุโรป ขณะที่บริษัทที่ละเลย CRA จะเสียโอกาสตลาดที่มีมูลค่ามหาศาล

ADS FIT พร้อมช่วย SME ไทยทำ CRA Gap Assessment, จัดทำ Technical Documentation, ตั้งระบบ Vulnerability Disclosure, รวมถึงประสานงาน Notified Body สำหรับผลิตภัณฑ์ Class II ขึ้นไป

อ่านเพิ่มเติม: คู่มือ NIS2 Compliance สำหรับ SME, ISO/IEC 27018 Cloud PII Protection และ ISO/IEC 29151 Personal Information Protection

สนใจโซลูชันนี้?

ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

ติดต่อเรา →

EU Cyber Resilience Act 2026: คู่มือ CRA Product Cybersecurity สำหรับ SME ไทย