01CRA란 무엇인가
사이버 복원력 법은 다음에 대해 필수 사이버보안 요구사항을 규정하는 최초의 EU 전역 법률입니다 디지털 요소가 포함된 제품; 하드웨어 및 소프트웨어; 전체 수명 주기에 걸쳐. 이는 보안에 대한 책임을 사용자에게 맡기기보다 이러한 제품을 시장에 출시하는 조직에게 전가합니다. Art. 1
실제로, 제품은 부속서 I에 규정된 필수 요구사항을 충족하고 제조자가 부수된 의무를 이행한 경우에만 EU 시장에 출시될 수 있습니다. 규정 준수는 다음으로 표시됩니다 CE 마킹.
귀하의 제품이 디지털 요소를 가지고 있고 EU 시장에 도달하는 경우, 정의된 사이버보안 표준에 따라 설계, 구축 및 유지보수되어야 하며; 귀하는 이를 입증할 수 있어야 합니다.
02적용 대상
규정은 의도된 또는 합리적으로 예측 가능한 용도에 직접 또는 간접적인 데이터 연결이 포함되는 디지털 요소가 포함된 제품을 다룹니다. 의무는 공급망 전반에 분산됩니다: Art. 13–28
- 제조자; 주요 의무를 부담합니다: 설계, 문서화, 적합성 평가 및 취약점 처리.
- 수입자; 적합한 제품만 시장에 출시할 수 있으며 제조자의 의무가 이행되었는지 확인해야 합니다.
- 유통업자; 상당한 주의를 기울여 CE 마킹과 문서가 존재하는지 확인해야 합니다.
의료기기, 자동차 및 민간 항공과 같이 분야별 규칙에 이미 적용되는 제품은 비상업적 오픈소스 구성요소와 마찬가지로 제외됩니다.
03제품 등급
요구되는 적합성 경로는 제품이 얼마나 핵심적인지에 따라 달라집니다. 대부분의 제품은 자가 평가합니다; 부속서에 명시된 고위험 카테고리는 더 엄격한 절차에 직면합니다. Art. 6–7 · Annex III–IV
| 등급 | 예시 | 적합성 경로 |
|---|---|---|
| 기본 | 대부분의 디지털 요소가 포함된 제품 | 자가 평가 |
| 중요; I | 비밀번호 관리자, 네트워크 관리, VPN | 표준 또는 제3자 |
| 중요; II | 운영 체제, 방화벽, 마이크로프로세서 | 제3자 평가 |
| 핵심 | 스마트 미터, 스마트 카드, 보안 요소 | 필수 인증 |
04주요 의무
부속서 I의 필수 요구사항은 두 그룹으로 나뉩니다; 제품이 가져야 하는 속성, 그리고 제조자가 운영해야 하는 프로세스. 부속서 I
- 설계 기반 보안 및 기본 보안; 안전한 구성과 최소화된 공격 표면으로 제공됩니다.
- 알려진 악용 가능한 취약점 없음; 알려진 악용 가능한 결함 없이 출하됩니다.
- 취약점 처리; 문제를 식별, 문서화, 시정 및 공개하는 프로세스.
- 보안 업데이트; 정의된 지원 기간 전반에 걸쳐 무료의 시기적절한 업데이트.
- 소프트웨어 자재 명세서; 제품의 구성요소를 포함하는 SBOM을 유지한다.
- 보고; 적극적으로 악용되는 취약점과 심각한 사고를 24시간 이내의 조기 경보와 함께 ENISA 및 관련 CSIRT에 통보합니다.
05일정 및 벌칙
본 법은 이미 발효되었습니다; 그 의무는 이후 몇 년에 걸쳐 단계적으로 도입됩니다. Art. 71
- 2024년 10월채택되어 법률로 제정됨.
- 2024년 12월발효됨.
- 2026년 9월보고 의무가 적용됩니다 (발효 후 21개월).
- 2027년 12월전면 적용; 대부분의 조항이 적용됩니다 (36개월).
필수 요구사항 미준수는 최대 1,500만 € 또는 전 세계 연간 총 매출액의 2.5% 중 더 높은 금액의 벌금을 부과받을 수 있습니다.
06다음에 할 일
먼저 본 법이 귀하의 제품에 적용되는지 확인한 다음, 귀하의 역할에 맞게 작성된 지침을 따르십시오.