Sebuah survei baru menunjukkan bahwa pengembang dan organisasi sumber terbuka masih sangat tidak siap menghadapi Undang-Undang Ketahanan Siber Uni Eropa meskipun telah dilakukan upaya peningkatan kesadaran selama setahun. Laporan Kesadaran dan Kesiapan CRA 2026 menemukan bahwa ketidaktahuan terhadap regulasi tersebut meningkat menjadi 66 persen dari 62 persen pada tahun 2025.
Laporan yang dirilis pada awal Juni oleh LF Research, OpenSSF, Balena, Ericsson, dan Revanite ini menyurvei kelompok yang lebih luas, termasuk lebih banyak responden dari Amerika Serikat dan Kanada. Di sana, 72 persen menyatakan mereka tidak mengetahui aturan yang akan berlaku bagi produk yang dijual di pasar Uni Eropa.
Kesenjangan utama tetap ada di antara mereka yang mengetahui tentang CRA. Sekitar 40 persen belum menentukan apakah regulasi tersebut berlaku untuk pekerjaan mereka. Hanya 34 persen yang secara tepat mengidentifikasi Desember 2027 sebagai tenggat waktu kepatuhan penuh. Hanya 41 persen produsen yang memperkirakan dapat memenuhi tenggat waktu tersebut, sementara 39 persen masih belum yakin.
Metrik lainnya tetap datar atau memburuk. Pangsa responden yang membuat Daftar Bahan Perangkat Lunak (Software Bill of Materials) untuk semua produk tetap berada di angka 32 persen. Ketergantungan pada proyek hulu untuk perbaikan meningkat menjadi 51 persen. Laporan tersebut juga mencatat lonjakan 394 persen tahun-ke-tahun dalam CVE yang dipublikasikan di lebih dari 14.000 proyek pada kuartal pertama tahun 2026.