EU 사이버복원력법(Cyber Resilience Act, CRA)이 2024년 10월 10일 채택되고 12월 10일 발효된 이후, 2026년이 시행의 핵심 연도가 되고 있다. 2026년 6월 11일부터 적합성 평가기관의 통보에 관한 법적 체계가 적용되며, 9월 11일부터는 악용된 취약점과 심각한 사건에 대한 보고 의무가 발효된다. 자동차 산업에 대한 영향은 복합적이다. lex specialis(특별법 우선) 원칙에 따라 일반안전규정(General Safety Regulation)으로 이미 규제되는 제품은 CRA에서 제외되지만, 일반안전규정의 적용을 받지 않는 공급업체의 디지털 요소가 포함된 자동차 부품은 CRA 적용 대상이다. 구체적으로, 많은 차량이 UN R155의 적용을 받지만, 애프터마켓 및 형식 미승인 디지털 부품, 충전 인프라, 차량 내 앱은 CRA 범위에 포함된다. Tier-1/Tier-2 공급업체의 디지털 부품도 별도 판매될 경우 CRA 적용 대상이 될 수 있다. 2026년 3월 3일에는 유럽위원회가 공개 이해관계자 협의를 위한 CRA 지침 초안을 발표했다.