最新の調査により、オープンソースの開発者や組織の間で、欧州連合(EU)のサイバーレジリエンス法に対する準備不足が依然として深刻であることが明らかになった。1年間にわたる認知向上のための取り組みにもかかわらず、「2026年CRA認知および準備状況報告書」によると、本規制に関する認知不足は2025年の62%から66%へと上昇している。
LF Research、OpenSSF、Balena、Ericsson、およびRevaniteが6月初旬に発表した同報告書は、調査対象を拡大し、米国やカナダからの回答者もより多く含めている。その結果、EU市場で販売される製品に適用される規則について、72%が「詳しくない」と回答した。
CRAの存在を認識している層の間でも、主要なギャップは解消されていない。回答者の約40%は、自らの業務が同規制の対象となるか否かを判断できていない。2027年12月という完全遵守の期限を正しく認識しているのはわずか34%に過ぎない。期限内に遵守できると見込んでいる製造業者は41%にとどまり、39%は不透明なままである。
その他の指標も、横ばいか悪化の傾向を示している。すべての製品に対してソフトウェア部品表(SBOM)を作成している回答者の割合は32%で停滞している。修正をアップストリームプロジェクトに依存する割合は51%に上昇した。また、報告書では、2026年第1四半期に1万4000以上のプロジェクトで公開されたCVE(共通脆弱性識別子)が、前年同期比で394%急増したことも指摘されている。