법적 구속력 – 필츠는 기업이 사이버 리질리언스 법에 대비할 수 있는 방법에 대한 정보 및 구현 관련 조언을 제공합니다.

최근에 사이버 리질리언스 법(CRA)이 유럽연합 관보에 게재되었습니다. 이 규정은 디지털 요소가 탑재된 제품의 사이버 보안에 대한 사양을 포함합니다. CRA가 적용되는 회사에는 이 법에 포함된 요구사항을 구현할 수 있도록 36개월의 유예 기간이 주어졌습니다. 일부 보고 의무는 다음 21개월 이내에 충족해야 합니다. 정확히 누가 책임을 지게 될까요? CRA가 요구하는 사항은 무엇일까요?

사이버 리질리언스에 대한 EU 법률: CRA의 목표는 소비자와 기업을 사이버 공격으로부터 더욱 효과적으로 보호하는 것입니다. CRA에는 다른 제품과 통신할 수 있는, 디지털 요소를 탑재한 제품의 제조업체, 수입업체, 유통업체를 위한 다양한 사양이 포함되어 있습니다. 여기에는 하드웨어 및 소프트웨어 제품 모두 포함됩니다. 다시 말해, 컨트롤러 및 센서와 같은 B2B 부문의 제품과 마찬가지로 스마트폰이나 로봇 청소기같은 B2C 부문 제품은 물론 운영 체제와 같은 순수 소프트웨어 제품도 이로 인한 영향을 받습니다. CRA가 2024년 11월 20일 유럽연합 관보에 발행되었습니다. 규정으로서 이 법률은 EU 회원 국가에 즉각 적용됩니다.

기계 제조업체에 대한 주요 요구사항

• 위험성 평가 및 보장: 제조업체는 전체 제품 수명주기 동안 적절한 수준의 사이버 보안을 보장하는 방식으로 제품을 설계 및 개발해야 합니다.
• 취약점 관리: 제조업체는 제조업체와 상용 사용자 간에 달리 합의되지 않은 한 무료 보안 업데이트를 통해 알려진 취약점을 제거해야 합니다.
• 도큐멘테이션: 제조업체는 제품의 취약성과 구성요소를 식별하고 도큐멘테이션해야 합니다.
• 보고 의무: 제조업체는 취약점이 악용된 사실을 인지하면 24시간 이내에 ENISA(European Union Agency for Cybersecurity, 유럽연합 사이버 보안국) 보고 플랫폼을 통해 이를 보고해야 합니다.

기계 제조업체가 지금 할 수 있는 일

안전 및 보안 자동화 전문기업인 필츠는 모든 기계 제조업체가 CRA의 요구사항을 즉시 해결하고 구성요소 제조업체 및 운영업체와 함께 협력 방안을 개발할 것을 권장합니다. 어떤 네트워크 영역에서 기계를 운용해야 할까요? 소프트웨어 업데이트는 어떻게 처리해야 할까요? 각 경제 운영자는 이런 질문을 사전에 명확히 함으로써 새로운 조직 및 기술 관련 의무를 충족할 수 있습니다. 수십 년동안 필츠는 산업 보안을 위한 새로운 요구사항을 포함하여 공장 및 기계류의 안전을 위해 기계 제작업체와 사용업체를 지원해 왔습니다. 필요한 모든 안전 조치를 취한다 하더라도 보안이 없으면 기계는 여전히 취약하고 보호받지 못하는 상태가 됩니다. 따라서 예방적 보호 조치는 필수입니다.

CRA 사양 구현을 위한 두 가지 실용적인 조언

1. 항상 최신 상태를 유지하세요: eur-lex.europa.eu에서 제공하는 뉴스레터와 RSS 피드를 구독하여 EU 레벨의 법적 변경사항에 대한 최신 정보를 알아두세요.
2. 공통 보안 권고 프레임워크(Common Security Advisory Framework, CSAF)는 기계 처리 가능한 취약점 및 완화 조치와 관련된 정보의 소통 및 자동 배포를 위한 표준화된 개방형 소스 프레임워크로, 소위 보안 권고안이라고도 합니다.

• 산업 보안 주제에 대한 자세한 정보는 여기에서 확인하세요.