قانون المرونة السيبرانية هو لائحة من الاتحاد الأوروبي تُلزم العديد من المنتجات التي تحتوي على عناصر رقمية بالامتثال لقواعد الأمن السيبراني قبل بيعها. وينطبق على أشياء مثل البرمجيات والبرمجيات الثابتة والأجهزة المتصلة وبعض المنتجات التي تعتمد على خدمات عبر الإنترنت يسيطر عليها المُصنِّع. والفكرة الأساسية هي أن يكون الأمان مدمجًا في المنتج، لا أن يُضاف لاحقًا بوصفه ميزة اختيارية.
عمليًا، يكتسب CRA أهميته لأنه يربط الوصول إلى السوق بضوابط أمنية قابلة للقياس. وقد يحتاج المورّدون إلى إعدادات افتراضية مصممة وفق مبدأ الأمان منذ البداية، وعمليات للتعامل مع الثغرات، ودعمًا طويل الأمد للتحديثات، ووثائق تُثبت كيفية إدارة المخاطر. وإذا ظهرت ثغرة يجري استغلالها فعليًا، فقد يفرض توقيت الإبلاغ إخطارًا سريعًا ومتابعةً لاحقة. وللمدافعين، يعني ذلك أن قوائم جرد البرمجيات، وSBOMs، وتتبع الاعتماديات، ودفاتر إجراءات الاستجابة للحوادث تصبح أدوات امتثال. أما للمهاجمين، فإن كلمات المرور الافتراضية الضعيفة، وأنظمة التحديث المكشوفة، وضعف إدارة التصحيحات هي بالضبط من الفجوات التي تهدف اللائحة إلى تقليلها.