The Cyber Resilience Act (CRA) är en kommande EU-förordning som kompletterar NIS-direktivet och NIS2, med syfte att säkerställa hög cybersäkerhet för digitala produkter på marknaden. Förordningen ställer krav på tillverkare av produkter med digitala element gällande design, utveckling, produktion, hantering av sårbarheter och marknadsövervakning, samt kräver CE-märkning för efterlevnad. Tillverkare måste utföra en cybersäkerhetsbedömning under hela produktens livscykel, från design till support upphör, för att minimera risker och förebygga incidenter. Vid upptäckt av aktivt utnyttjade sårbarheter eller säkerhetsincidenter är tillverkare skyldiga att rapportera detta till ENISA inom 24 timmar och informera användarna. Bristande efterlevnad av The Cyber Resilience Act kan resultera i betydande böter, upp till 15 000 000 EUR.