Uma nova pesquisa mostra que desenvolvedores e organizações de código aberto continuam amplamente despreparados para a Lei de Resiliência Cibernética da União Europeia, apesar de um ano de esforços de conscientização. O Relatório de Consciência e Prontidão do CRA de 2026 constatou que o desconhecimento sobre a regulamentação aumentou para 66 por cento, ante 62 por cento em 2025.
O relatório, divulgado no início de junho pela LF Research, OpenSSF, Balena, Ericsson e Revanite, pesquisou um grupo mais amplo, incluindo mais respondentes dos Estados Unidos e do Canadá. Nesses locais, 72 por cento disseram não estar familiarizados com as regras que se aplicarão aos produtos vendidos no mercado da UE.
Lacunas importantes persistem entre aqueles que conhecem o CRA. Cerca de 40 por cento não determinaram se a regulamentação se aplica ao seu trabalho. Apenas 34 por cento identificaram corretamente dezembro de 2027 como o prazo final para conformidade total. Apenas 41 por cento dos fabricantes esperam cumprir esse prazo, enquanto 39 por cento permanecem incertos.
Outras métricas permaneceram estáveis ou pioraram. A parcela de respondentes que produz a Lista de Materiais de Software (SBOM) para todos os produtos manteve-se em 32 por cento. A dependência de projetos upstream para correções subiu para 51 por cento. O relatório também observou um aumento de 394 por cento ano a ano nas CVEs publicadas em mais de 14.000 projetos no primeiro trimestre de 2026.