CRA (EU 2024/2847)
Cyber Resilience Act
Regulasi UE tentang persyaratan keamanan siber untuk produk dengan elemen digital (hardware, software, IoT) yang dipasarkan di UE. Mendefinisikan keamanan sebagai prasyarat CE marking — termasuk patch lifecycle minimum dan vulnerability disclosure.
Berlaku untuk
- ● Manufacturer produk digital yang dijual di UE
- ● Importer & distributor di UE
- ● Vendor software Indonesia yang menargetkan pasar UE
- ● IoT device manufacturer untuk pasar UE
Mapping ke Standar
- ◆ ISO/IEC 27001:2022
- ◆ NIST Secure Software Development Framework (SSDF)
- ◆ OWASP ASVS
- ◆ IEC 62443
Sanksi / Konsekuensi
Denda hingga €15 juta atau 2.5% turnover global tahunan.
Kewajiban Utama
Ringkasan kewajiban yang harus dipenuhi oleh entitas terkena CRA (EU 2024/2847).
- 1 Penilaian keamanan sebelum CE marking
- 2 Secure-by-design dan secure-by-default
- 3 Vulnerability handling process selama lifetime produk
- 4 Patch / security update minimum 5 tahun (atau sesuai expected lifetime produk)
- 5 Coordinated vulnerability disclosure
- 6 Pelaporan insiden eksploitasi aktif dalam 24 jam ke ENISA
- 7 Technical documentation per Annex V CRA
Tantangan Implementasi yang Sering Muncul
Control Mapping
39 kontrol terstruktur, di-mapping ke 4 standar internasional.
Kami sudah menyusun mapping clause-per-clause antara CRA (EU 2024/2847) dan standar internasional (ISO/IEC 27001:2022, NIST Secure Software Development Framework (SSDF), OWASP ASVS, IEC 62443) — siap pakai untuk gap analysis, audit prep, dan rapat dengan regulator. Berikut ringkasan grup kontrolnya:
Secure by Design
8Threat modeling, attack surface reduction
Secure by Default
6Konfigurasi awal aman, no default credentials
Vulnerability Handling
9Process, disclosure, patch lifecycle
SBOM & Supply Chain
5Software Bill of Materials, dependencies
Documentation
7Annex V technical documentation
Incident Reporting
4Active exploitation 24h reporting ke ENISA
Available on request
Dapatkan full mapping CRA (EU 2024/2847) → ISO/IEC 27001:2022 + NIST Secure Software Development Framework (SSDF) dalam format spreadsheet.
Berisi: ID kontrol, deskripsi, clause yang dimapping, status implementasi (rekomendasi), severity, dan referensi. Kami kirimkan setelah Anda mengisi form singkat — supaya kami tahu konteks dan bisa memberikan rekomendasi yang relevan.
Regulasi Terkait
ISO 27001:2022
Standar internasional untuk sistem manajemen keamanan informasi (ISMS). Revisi 2022 menyatukan 114 kontrol Annex A menjadi 93 kontrol dalam 4 tema.
European Union · 2022DORA (EU 2022/2554)
Regulasi UE tentang ketahanan operasional digital lembaga keuangan — wajib untuk bank, fintech, asuransi, dan critical ICT third-party providers yang beroperasi di UE atau melayani entitas UE.
Cara Kami Membantu
Layanan kami yang paling sering digunakan oleh klien yang menerapkan CRA (EU 2024/2847).