Skip to content
Tiga Media Inovasi
Standar Internasional · European Union · 2024 · Phased rollout (full enforcement 11 Desember 2027)

CRA (EU 2024/2847)

Cyber Resilience Act

Regulasi UE tentang persyaratan keamanan siber untuk produk dengan elemen digital (hardware, software, IoT) yang dipasarkan di UE. Mendefinisikan keamanan sebagai prasyarat CE marking — termasuk patch lifecycle minimum dan vulnerability disclosure.

Berlaku untuk

  • Manufacturer produk digital yang dijual di UE
  • Importer & distributor di UE
  • Vendor software Indonesia yang menargetkan pasar UE
  • IoT device manufacturer untuk pasar UE

Mapping ke Standar

  • ISO/IEC 27001:2022
  • NIST Secure Software Development Framework (SSDF)
  • OWASP ASVS
  • IEC 62443

Sanksi / Konsekuensi

Denda hingga €15 juta atau 2.5% turnover global tahunan.

Kewajiban Utama

Ringkasan kewajiban yang harus dipenuhi oleh entitas terkena CRA (EU 2024/2847).

  • 1 Penilaian keamanan sebelum CE marking
  • 2 Secure-by-design dan secure-by-default
  • 3 Vulnerability handling process selama lifetime produk
  • 4 Patch / security update minimum 5 tahun (atau sesuai expected lifetime produk)
  • 5 Coordinated vulnerability disclosure
  • 6 Pelaporan insiden eksploitasi aktif dalam 24 jam ke ENISA
  • 7 Technical documentation per Annex V CRA

Tantangan Implementasi yang Sering Muncul

Mendefinisikan "expected lifetime" untuk produk software
Vulnerability disclosure yang structured untuk vendor kecil/menengah
CE marking dengan persyaratan baru yang menambah time-to-market
Supply chain mapping untuk software components (SBOM)

Control Mapping

39 kontrol terstruktur, di-mapping ke 4 standar internasional.

Kami sudah menyusun mapping clause-per-clause antara CRA (EU 2024/2847) dan standar internasional (ISO/IEC 27001:2022, NIST Secure Software Development Framework (SSDF), OWASP ASVS, IEC 62443) — siap pakai untuk gap analysis, audit prep, dan rapat dengan regulator. Berikut ringkasan grup kontrolnya:

Secure by Design

8

Threat modeling, attack surface reduction

Secure by Default

6

Konfigurasi awal aman, no default credentials

Vulnerability Handling

9

Process, disclosure, patch lifecycle

SBOM & Supply Chain

5

Software Bill of Materials, dependencies

Documentation

7

Annex V technical documentation

Incident Reporting

4

Active exploitation 24h reporting ke ENISA

Available on request

Dapatkan full mapping CRA (EU 2024/2847) → ISO/IEC 27001:2022 + NIST Secure Software Development Framework (SSDF) dalam format spreadsheet.

Berisi: ID kontrol, deskripsi, clause yang dimapping, status implementasi (rekomendasi), severity, dan referensi. Kami kirimkan setelah Anda mengisi form singkat — supaya kami tahu konteks dan bisa memberikan rekomendasi yang relevan.

Request Mapping →

Cara Kami Membantu

Layanan kami yang paling sering digunakan oleh klien yang menerapkan CRA (EU 2024/2847).