사이버 리질리언스 법(CRA)

2027년 12월 11일부터는 사이버 리질리언스 법(CRA)을 준수하는 제품만 유럽 내 시장에 내놓을 수 있습니다. CRA는 디지털 요소가 탑재된 제품의 사이버 보안 관련 요구사항을 담고 있습니다.

사이버 리질리언스 법(CRA)은 어떠한 새로운 요구사항을 포함하나요? CRA의 범주에 포함되는 제품에는 무엇이 있나요? 기업은 무엇을 해야 하나요? 필츠가 귀사를 위해 주요 사항들을 요약했습니다.

사이버 리질리언스 법(CRA)이란?

사이버 리질리언스 법(CRA)은 디지털 요소를 탑재한 제품에 대한 산업 보안 요구사항을 정의하는 EU 규정입니다. 해당되는 제품은 기본적 검토 및 수정 과정을 거쳐야 합니다. 이는 절대적으로 필요합니다. 왜냐하면 2027년 12월부터 CRA를 준수하는 제품만 시장에 내놓을 수 있기 때문입니다.

사이버 리질리언스 법(CRA)은 언제 발효되나요?

CRA는 2024년 11월 20일 유럽연합 관보에 게재되었습니다. 이 법은 2024년 12월 10일 발효되었으며, 2027년 12월 11일부터 유럽에서 의무 규정이 됩니다. 하지만, 악용된 취약점을 보고할 제조업체의 의무는 CRA에 따라 2026년 9월 11일부터 먼저 적용됩니다.

CRA가 요구하는 사항은 무엇인가요?

CRA의 목표는 소비자와 기업을 사이버 공격으로부터 더욱 효과적으로 보호하는 것입니다. CRA에는 다른 제품과 통신할 수 있는, 디지털 요소를 탑재한 제품의 제조업체, 수입업체, 유통업체를 위한 다양한 사양이 포함되어 있습니다. 여기에는 하드웨어 및 소프트웨어 제품 모두 포함됩니다. 이러한 사양은 전체 제품 라이프사이클에 걸쳐 적용되며, 따라서 제품의 설계, 개발, 제조, 납품, 유지보수는 물론 고객 현장 설치 후 전체 수명 기간까지 포함합니다.

사이버 리질리언스 법(CRA)은 규정인가요? 지침인가요?

사이버 리질리언스 법(CRA)은 EU 규정이며, 따라서 개별 국가의 법에 이식되지 않고도 유럽연합 내 모든 회원국에 적용됩니다.

CRA의 범주에 포함되는 제품에는 무엇이 있나요?

CRA는 구성 요소, 특히 디지털 요소가 탑재된 제품을 다루며, 이들에 대한 적합성 확인을 요구합니다.

사이버 리질리언스 법(CRA)은 소프트웨어 또는 고위험 AI 시스템 등 디지털 구성 요소를 포함하고 네트워크 또는 다른 장치에 연결되는 모든 제품에 적용됩니다. 그 결과, CRA의 범위는 매우 넓으며 무엇보다도 다음 제품 그룹을 포함합니다.

• IoT 장치, 프로그래머블 로직 컨트롤러(PLC), 센서 등 산업용 하드웨어 및 소프트웨어
• PC, 웹 및 모바일 어플리케이션 등 소프트웨어 솔루션과 운영 체제
• 상용 지능형 장치는 물론 하드웨어 및 소프트웨어

이들 제품은 잠재적 위험에 따라 서로 다른 범주로 분류됩니다. 특히 중요 인프라, 산업 생산 또는 에너지 및 산업 부문에 사용되는 시스템은 고위험 범주로 분류됩니다. 이들 제품의 경우, 공공 안전 및 경제 안정성에 상당한 영향을 줄 수 있으므로 적합성 평가 절차에 대한 요구사항이 지속적으로 변화하고 있습니다.

기업은 무엇을 해야 할까요? 기업에 요구되는 사항은 무엇이 있을까요?

디지털 요소가 탑재된 제품의 제조업체는 CRA의 보안 요구사항을 준수해야 합니다. 여기에는 위험성 분석 결과를 작성하고 발견된 위험을 완화하기 위한 대응 조치를 규정하고 구현하는 것이 포함됩니다. 또한 위험성 평가 결과(및 보안 위험을 완화하기 위해 취한 대응 조치)에 대한 문서를 의무적으로 작성하고 유지 관리해야 합니다. 이러한 문서는 최소 10년 이상 보관해야 합니다. 잠재적 보안 취약점의 지속적인 모니터링, 제품의 일반적 수명 기간(최소 5년) 동안 보안 업데이트 무료 제공, 그리고 24시간 이내에 ENISA 및 국가 기관(해당될 경우)에 식별된 보안 취약점 보고도 의무 사항입니다.

이미 CRA 요건을 충족하고 변경되지 않은 제품이라 하더라도, 투명한 규정에 따라 여전히 시험 및 평가를 거쳐야 합니다. 검사 결과에 대한 문서는 10년간 보관해야 하며,  소프트웨어 자재 명세서(Software Bill of Materials, SBOM)도 작성되어야 합니다. 또한 개발 및 시험이 산업 보안 기준에 따라 수행되었음을 입증할 필요가 있습니다.

EU 적합성 선언은 CRA와 관련하여 어떤 의미를 가지나요?

제조업체는 계속해서 EU 적합성 선언을 발행하여 필수 사이버 보안 요구사항을 충족함이 입증되었음을 선언할 것입니다. 제조업체에게 이는 위험성 평가, 취약점 관리, 문서화 등과 관련된 요구사항의 준수 여부를 적합성 평가를 통해 검증하게 될 것임을 의미합니다. 모든 요구사항이 충족되는 경우, 적합성 선언이 발행됩니다. 

여전히 모든 EU 법령을 위한 하나의 EU 적합성 선언이 있나요?

디지털 요소가 탑재된 제품에 여러 EU 법령이 적용되고 각 법령이 EU 적합성 선언을 요구하는 경우, 모든 EU 법령에 대해 하나의 EU 적합성 선언이 발행됩니다. 이 선언에는 관련 EU 법이 명시되고, 관보의 해당 법에 대한 참조가 포함됩니다.

EU 적합성 선언은 얼마동안 공개되어야 하나요?

제조업체는 각 제품 모델에 대해 서면 적합성 선언을 작성하고, 디지털 요소가 탑재된 제품을 시장에 내놓은 후 10년 또는 고객 지원 기간 중 더 긴 기간 동안 국가 기관에 이를 공개해야 합니다. 적합성 선언에는 해당 선언의 발행 대상 제품 모델을 명시해야 합니다. 요청 시 적합성 선언 사본을 관련 기관에 제공해야 합니다.

사이버 리질리언스 법(CRA)과 NIS 2의 차이점은 무엇인가요?

• CRA에는 디지털 요소가 탑재된 제품의 설계, 개발, 제조에 대한 기본적 사이버 보안 요구사항은 물론 사이버 보안 측면에서 이들 제품과 관련한 경제 운용 주체의 의무사항도 포함되어 있습니다.
• NIS 2 지침은 기업을 대상으로 하며, 이들에게 기업 내 산업 보안 위험을 줄이기 위한 조직 레벨의 기술적 조치를 취할 것을 요구합니다.
• EU의 사이버 보안 강화: 이 두 세트의 규정(CRA와 NIS 2 지침)은 서로 다른 레벨의 사이버 보안을 다룸으로써 서로를 보완합니다. CRA는 제품 보안에 집중하는 한편, NIS 2는 인프라 및 필수 서비스의 보안을 대상으로 합니다. 이 두 규정은 함께 유럽연합 내 사이버 보안의 전반적인 개선에 중요한 기여를 합니다.

현재까지 수년 간 필츠는 자체 개발 절차를 IEC 62443-4-1 규격에 맞춰 체계화해 왔습니다. "산업 보안을 위한 기본 규격"으로서 이 규격은 "보안 개발 라이프사이클 절차"를 통해 제품의 보안 개발 사항을 규정합니다. TÜV Süd는 감사를 통해 필츠 개발 절차가 규정을 준수함을 확인해 주었습니다. 필츠의 개발 절차는 안전할 뿐만 아니라 보안도 유지됩니다!

이는 필츠 고객에게 중요한 사항입니다. 왜냐하면 EU 규정 2024/2847 – 사이버 리질리언스 법(CRA)은 새 기계류 규정(EU 규정 2023/1230)에 더해 2027년부터 의무적으로 적용되는 또 다른 보안 관련 규정이기 때문입니다.

이는 특히, 필요 시 기존 제품은 수정하고, 새 제품은 CRA를 준수하는 방식으로 개발하고, 규정 준수(CE 마킹) 관련 내용은 관련 요구사항에 따라 조정될 것임을 의미합니다. 더 이상 요구사항을 충족하지 못하는 제품은 단종되거나 예비 부품으로만 제공될 것입니다. 그러나, 후자의 경우 새로운 설비에는 더 이상 사용할 수 없습니다.