Akt o kybernetické odolnosti je již platný a v účinnost vstoupí v prosinci 2027. Jedná se o historicky první komplexní legislativu EU pro kybernetickou bezpečnost digitálních produktů. Ukládá přísné bezpečnostní standardy po celou dobu životního cyklu produktů a to již od návrhu až po jeho likvidaci. CRA se vztahuje na výrobce, dovozce a prodejce, přičemž vyžaduje označení CE jako důkaz souladu s předpisy. Mezi klíčové aspekty patří povinné posuzování rizikových produktů třetími stranami a zajištění bezpečnostních aktualizací po celou dobu životního cyklu produktu. Nekomerční open source software je z tohoto nařízení vyňat, aby nedošlo k narušení inovací nebo výzkumu. Tato výjimka se vztahuje na software vyvinutý nebo dodávaný mimo rámec obchodní činnosti. Pro dodržování pravidel stanovených tímto právním předpisem je ustanoveno hned několik nástrojů, patří mezi ně dohled nad trhem, hlášení incidentů a v neposlední řadě vysoké pokuty za nedodržení předpisů.