ISO / GMP / อย.

Cyber Resilience Act (CRA) คืออะไร? คู่มือ EU Cybersecurity สำหรับผู้ส่งออกไทย 2026

Cyber Resilience Act (CRA) คือกฎหมายใหม่ของ EU ที่บังคับให้ผลิตภัณฑ์ดิจิทัลทุกชิ้นต้องมี cybersecurity ตั้งแต่การออกแบบ ผู้ส่งออกไทยต้องเตรียมตัวก่อนบังคับใช้ปลายปี 2027

AF
ADS FIT Team
·8 นาที
Share:
🛡️

# Cyber Resilience Act (CRA) คืออะไร? คู่มือ EU Cybersecurity สำหรับผู้ส่งออกไทย 2026

ในยุคที่อุปกรณ์ดิจิทัลและซอฟต์แวร์เป็นเป้าหมายของการโจมตีไซเบอร์ที่เพิ่มขึ้นทุกปี สหภาพยุโรป (EU) ได้ออกกฎหมายใหม่ที่ชื่อว่า Cyber Resilience Act (CRA) ซึ่งเริ่มมีผลบังคับใช้ตั้งแต่ธันวาคม 2024 และจะบังคับใช้เต็มรูปแบบในเดือนธันวาคม 2027 กฎหมายนี้ส่งผลกระทบโดยตรงต่อผู้ส่งออกไทยที่ขาย "ผลิตภัณฑ์ที่มี digital element" ไปยัง EU

ผู้ผลิต software, hardware, IoT และแม้แต่นักพัฒนา open-source ที่มีรายได้จากผลิตภัณฑ์ใน EU ต้องเตรียมตัวให้พร้อม มิฉะนั้นเสี่ยงโดนปรับสูงสุด 15 ล้านยูโร หรือ 2.5% ของรายได้ทั่วโลก

บทความนี้สรุปทุกสิ่งที่ผู้ส่งออกไทย, ผู้พัฒนาซอฟต์แวร์, และทีม Compliance ต้องรู้เกี่ยวกับ CRA พร้อมคู่มือเตรียมความพร้อมให้ทันก่อน deadline ปี 2027

CRA คืออะไร? ขอบเขตที่ครอบคลุม

Cyber Resilience Act (Regulation EU 2024/2847) เป็นกฎหมายแนวนอน (horizontal regulation) ที่กำหนดข้อกำหนดด้าน cybersecurity แบบบังคับ (mandatory) สำหรับผลิตภัณฑ์ที่มีองค์ประกอบดิจิทัลทั้งหมดที่จะวางตลาดใน EU

ผลิตภัณฑ์ที่อยู่ในขอบเขต:

  • Software ทุกประเภท (Mobile App, Web App, Desktop, SaaS)
  • Hardware ที่มี firmware (Router, IP Camera, Smart Lock, Wearable)
  • IoT Devices (Smart Home, Industrial IoT, Medical IoT)
  • Embedded Systems และ ECU ในยานยนต์
  • Operating Systems และ Middleware
  • Cybersecurity Products เอง (Antivirus, Firewall)

    • ข้อยกเว้นบางส่วน:

  • ผลิตภัณฑ์ที่ครอบคลุมโดยกฎหมายเฉพาะอยู่แล้ว (Medical Devices Regulation, NIS2, Automotive)
  • Open-source ที่ไม่ได้พัฒนาในเชิงพาณิชย์ (Non-commercial OSS)

    • Timeline และ Phase บังคับใช้

    | Date | Milestone |

    |------|-----------|

    | ธ.ค. 2024 | CRA เริ่มมีผลทางกฎหมาย (Entry into force) |

    | มิ.ย. 2026 | Notification Body เริ่มใช้งาน Conformity Assessment ได้ |

    | ก.ย. 2026 | บังคับใช้ Vulnerability Reporting (Article 14) |

    | ธ.ค. 2027 | บังคับใช้เต็มรูปแบบ (ทุกผลิตภัณฑ์ต้อง CE Mark) |

    หมวด Risk Class ของผลิตภัณฑ์ตาม CRA

    CRA จัดประเภทผลิตภัณฑ์เป็น 3 ระดับตามความเสี่ยง ที่ส่งผลต่อ procedure การประเมิน

    | Class | ตัวอย่างผลิตภัณฑ์ | Conformity Assessment |

    |-------|------------------|------------------------|

    | Default (90%) | Smart TV, Mobile App ทั่วไป, Productivity SW | Self-Assessment |

    | Important Class I | Password Manager, VPN Client, Smart Home Hub | Self-Assessment + Standards |

    | Important Class II | Firewall, IDS/IPS, HSM | Third-Party Audit |

    | Critical | Smart Meter Gateway, Smart Card | EU Cybersecurity Certification |

    ข้อกำหนดด้าน Cybersecurity ที่บังคับ

    ตาม Annex I ของ CRA ผู้ผลิตต้องออกแบบและส่งมอบผลิตภัณฑ์โดยยึดหลัก Security by Design และ Security by Default

    Essential Cybersecurity Requirements

  • No Known Exploitable Vulnerabilities: ห้ามส่งมอบผลิตภัณฑ์ที่มีช่องโหว่ที่รู้แล้วโดยไม่ได้แก้
  • Secure Default Configuration: ตั้งค่า default ที่ปลอดภัยที่สุด (เช่น password ไม่ใช่ admin/admin)
  • Authentication & Access Control: ใช้กลไกตรวจสอบตัวตนที่แข็งแกร่ง
  • Data Protection: เข้ารหัสข้อมูลทั้ง at-rest และ in-transit
  • Resilience Against DoS: ทนต่อการโจมตีแบบ Denial of Service
  • Vulnerability Handling: มีกระบวนการ disclosure และ patching

    • Vulnerability Handling Requirements

    ผู้ผลิตต้องจัดทำ:

  • Software Bill of Materials (SBOM) ในรูปแบบมาตรฐาน
  • Coordinated Vulnerability Disclosure (CVD) Policy
  • Security Patches ฟรีสำหรับช่วง support period (อย่างน้อย 5 ปี)
  • รายงาน actively exploited vulnerability ภายใน 24 ชั่วโมงไปยัง ENISA

    • How-to: 6 ขั้นตอนเตรียมความพร้อม CRA สำหรับผู้ส่งออกไทย

    Step 1: ทำ Product Inventory และจัดประเภทตาม Risk Class

    รวบรวมรายการผลิตภัณฑ์ที่ส่งออก EU แล้วใช้ Article 7 ของ CRA เพื่อจัด class กำหนด risk level และ conformity procedure

    Step 2: Gap Analysis เทียบกับ Annex I

    ตรวจสอบ product ปัจจุบันว่าตอบโจทย์ Essential Requirements ทั้ง 13 ข้อหรือไม่ ใช้ checklist จาก ENISA หรือมาตรฐาน harmonized standards (เช่น EN 18031)

    Step 3: ตั้ง Secure SDLC

    นำ security เข้าไปอยู่ใน software development lifecycle ตั้งแต่ Threat Modeling, Static/Dynamic Analysis (SAST/DAST), Secret Scanning ไปจนถึง Penetration Testing ก่อนปล่อย release

    Step 4: สร้าง SBOM และระบบ Vulnerability Management

    ใช้เครื่องมือ เช่น Syft, CycloneDX, SPDX เพื่อสร้าง SBOM อัตโนมัติทุก build แล้วเชื่อมกับ vulnerability scanner เช่น Grype หรือ Trivy

    Step 5: เตรียม Technical Documentation และ EU Declaration of Conformity

    ตามภาคผนวก IV ของ CRA ต้องเก็บเอกสาร technical file สำหรับ 10 ปีหลังวางตลาด พร้อมจัดทำ EU Declaration of Conformity และ CE Mark

    Step 6: ตั้ง Authorised Representative ใน EU

    หากบริษัทอยู่นอก EU ต้องแต่งตั้ง Authorised Representative ใน EU member state ใดที่หนึ่ง เพื่อเป็นจุดติดต่อกับ market surveillance authority

    เปรียบเทียบ CRA vs NIS2 vs DORA

    | หัวข้อ | CRA | NIS2 | DORA |

    |--------|-----|------|------|

    | มุ่งเน้น | Product Security | Network & System Security | Financial ICT Resilience |

    | ผู้รับผิดชอบ | Manufacturer | Essential & Important Entity | Financial Institution |

    | ขอบเขต | Hardware + Software | Critical Sector Operator | Banks, Insurance, Crypto |

    | บทลงโทษสูงสุด | EUR 15M หรือ 2.5% Revenue | EUR 10M หรือ 2% Revenue | 1% Daily Revenue |

    | Effective Date | ธ.ค. 2027 | ต.ค. 2024 | ม.ค. 2025 |

    ผลกระทบต่อธุรกิจไทย และ Use Case

    ผู้ส่งออกไทยที่ได้รับผลกระทบโดยตรง ได้แก่ ผู้ผลิต IoT smart home, กล้อง CCTV, อุปกรณ์ network, EV chargers, Industrial automation, ผู้พัฒนา mobile app/SaaS ที่ขายให้ลูกค้า EU, ผู้ผลิต medical wearable ที่ไม่อยู่ภายใต้ MDR และ บริษัทผู้ทำ embedded firmware สำหรับยานยนต์ที่ไม่ครอบคลุมโดย UNECE R155

    ความท้าทายและความเสี่ยง

  • ต้นทุน Compliance สูง: SME อาจต้องลงทุน 500,000-3,000,000 บาทต่อ product line
  • ทีม Cybersecurity ที่ขาดแคลน: ผู้เชี่ยวชาญ secure coding ยังหายากในไทย
  • Documentation ภาษาอังกฤษ: ต้องจัดทำ technical file ภาษา official ของ EU
  • Supply Chain: ต้องดูแล security ของ third-party component และ open-source library
  • Penalty หนัก: ปรับสูงสุด EUR 15M สำหรับ Essential requirements

    • สรุป และก้าวต่อไป

    Cyber Resilience Act เป็นการเปลี่ยนแปลงเชิงโครงสร้างของวงการ digital product ที่ผู้ส่งออกไทยต้องไม่นิ่งนอนใจ เพราะมีเวลาเตรียมตัวเพียง 18 เดือน ก่อน deadline ธันวาคม 2027 การเริ่มต้นช้าจะทำให้ต้นทุน compliance สูงขึ้นมาก และเสี่ยงต่อการสูญเสียตลาด EU ทั้งหมด

    Key Takeaways:

  • CRA ครอบคลุมผลิตภัณฑ์ดิจิทัลทุกชิ้นที่ขายใน EU
  • ต้องมี CE Mark + EU Declaration of Conformity ก่อนวางตลาด
  • บังคับให้มี SBOM และ vulnerability disclosure
  • บทลงโทษสูงสุด EUR 15M หรือ 2.5% ของรายได้ทั่วโลก
  • Deadline สำคัญ: ก.ย. 2026 (vulnerability reporting), ธ.ค. 2027 (เต็มรูปแบบ)

    • ต้องการคำปรึกษาด้าน CRA Compliance หรือ Secure SDLC Implementation สำหรับผลิตภัณฑ์ของคุณ? [ติดต่อทีม ADS FIT](/#contact) เพื่อทำ Gap Analysis และวางแผนเตรียมความพร้อม หรืออ่านบทความที่เกี่ยวข้องเรื่อง [NIS2 Directive](/blog/nis2-directive-cybersecurity-compliance-guide-thailand-2026) และ [DORA Compliance](/blog/dora-digital-operational-resilience-act-eu-compliance-guide-thailand-2026)

    Tags

    #Cyber Resilience Act#CRA#EU Compliance#Cybersecurity#Product Security#IoT Security

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที