유럽 사이버 복원력 법(CRA) 안내
사이버 복원력 법(CRA)이 중요한 이유: 안전한 디지털 환경 구축
유럽연합(EU)의 사이버 복원력 법(CRA)의 주요 목적은 EU 내에서 판매되는 소프트웨어 및 하드웨어를 포함한 디지털 요소가 포함된 제품의 사이버 보안을 강화하는 것입니다.
모든 산업 및 기술 분야의 조직에 대해 규제 준수는 더 이상 선택 사항이 아닙니다. 이는 브랜드를 보호하고, 벌금을 피하며, 시장 접근권을 유지하기 위한 중요한 단계입니다.
사이버 복원력 법(CRA)에 한발 앞서 준비하세요
디지털 제품이 스마트 기기부터 중요 기반 시설에 이르기까지 모든 것을 주도하는 시대에, 현대 사이버 보안 위협을 처리할 능력은 필수적이며, 중요한 경쟁 우위입니다. CRA는 유럽에서 디지털 기능이 탑재된 제품의 보안을 위한 새로운 기준을 설정하며, 제조업체, 수입업체 및 유통업체에게 제품 수명 주기 전반에 걸쳐 견고한 사이버 보안 조치를 포함하도록 요구합니다.
CRA는 위험 기반 프레임워크를 도입하여 디지털 제품을 세 가지 주요 카테고리와 두 가지 하위 클래스로 분류합니다:
- 기본 클래스: 가장 낮은 위험 수준을 가진 제품을 포함하며, 모든 대상 제품의 약 90%를 차지합니다. 대부분의 스마트 홈 및 소비자용 사물인터넷(IoT) 기기가 포함됩니다.
- 중요 제품: 이 제품 카테고리는 중요성에 따라 세 가지 클래스로 추가로 나뉩니다:
중요 제품 – Class I
기본 클래스 제품보다 높은 위험을 가지지만 2급 중요 제품보다 중요성이 낮은 핵심 기능을 가진 제품을 포함합니다. 이 카테고리에는 신원 관리 시스템, 독립형 및 임베디드 브라우저, 라우터, 모뎀, 스위치, 스마트 홈 보안 기기(예: 스마트 잠금장치 및 카메라), 개인 건강 모니터링 웨어러블 기기(의료 기기 규제 대상이 아님), 인터넷 연결 장난감 및 기타 유사 기기가 포함됩니다.
중요 제품 – Class II
더 높은 사이버 보안 위험과 중요성을 가진 제품을 포함합니다. 이 제품들이 침해당할 경우, 큰 부정적 영향을 미치거나 많은 다른 제품을 방해할 수 있습니다. 방화벽, 침입 탐지/방지 시스템(IDS/IPS), 암호 프로세서 및 산업용 라우터와 모뎀 등의 제품이 포함됩니다.
핵심 제품
사이버 보안 관련 기능을 가진 제품으로, 이 제품들이 침해당할 경우 많은 다른 제품이나 중요 기반 시설을 방해, 통제 또는 손상시킬 수 있습니다. 이 범주에는하드웨어 보안 모듈(HSM), 스마트 카드, 보안 요소 및 물리적 보안 기능이 내장된하드웨어 기기가 포함될 수 있습니다.
2024년 11월 20일 EU 공식 저널에 사이버 복원력 법(CRA)이 발표된 이후, 기업들은 2027년 12월 11일까지 새로운 요구사항을 완전히 준수하기 위한 3년의 준비 기간이 주어졌습니다. 조직들은 변화하는 규제에 신속히 대응하고, CRA 기준을 충족하기 위한 실질적이고 효과적인 전략을 마련해야 합니다. 규정을 준수하지 않을 경우, 전 세계 연간 매출의 최대 2%에 달하는 벌금이나 EU 시장에서의 배제와 같은 중대한 제재를 받을 수 있습니다.
CRA는 설계상 보안(security by design), 지속적인 수명 주기 관리, 제조업체 및 소프트웨어 개발자에 대한 명확한 책임 원칙을 기반으로 하며, 모든 디지털 제품에 대해 위험 프로파일과 기준 적용 가능성에 따라 관련 적합성 평가를 수행하고 적극적인 위험 관리를 실행하기 위해 필요한 견고한 사이버 보안 레질리언스 원칙을 설정합니다. 저희 사이버 보안 전문가 팀은 복잡한 환경을 안내해 드릴 준비가 되어 있으며, 사이버 보안 기준에 대한 지침을 제공하고 귀하의 명성을 보호하도록 돕습니다.
귀하의 규제 준수를 경쟁 우위로 전환합시다. 디지털 보안의 미래를 준비하기 위해 오늘 바로 저희에게 연락하세요.
포괄적인 사이버 복원력 법(CRA)안내 및 서비스
저희는 귀하가 CRA 의무를 효율적이고 효과적으로 충족하도록 돕기 위한 맞춤형 서비스를 제공합니다. 주요 서비스는 다음과 같습니다:
다음과 같은 표준에 따른 의료 장비 안전 검사 제공:
CRA 입문(교육):
CRA 요구사항의 복잡성을 명확히 이해하고, 귀하의 팀의 이해를 규제 기대와 일치시킵니다. CRA가 각 산업의 주요 프레임워크와 어떻게 통합되는지 탐구합니다. 제품의 위험 카테고리를 식별하여 적용 가능한 적합성 평가 방법을 결정하고,개발 초기부터 요구사항을 반영해 불필요한 비용·실수를 예방하세요.
예상 결과: CRA 이해 및 일치, 위험 프로파일에 대한 이해 관계자 합의, 규제 상호 의존성 인식.
| 당사 연락처 |
CRA 준비 상태 평가(격차 분석):
전략적실행계획을 통해 격차를 해결하고, CRA 요구사항에 비추어 귀하의 조직의 현재 사이버 보안역량을 명확히 합니다.
예상 결과: 현재 준비 상태에 대한 명확한 이해, 우선순위가 정해진격차 목록, CRA 요구사항을 기존업무방식에 통합하기 위한 모범 사례 로드맵.
| 당사 연락처 |
CRA 프로세스 프레임워크(기술 지원 및 워크숍):
제품 수명 주기 전반에 걸쳐 CRA의 포괄적인 요구사항을 해결합니다. 수동적인 사후조치가아닌 적극적인 예방에 중점을 둔 구조화된 프로세스를 개발하고, 기존 프로세스를 원활하게 강화 및 통합하여 규제 준수 작업을 표준화하고, 진행 상황을 체계적으로 추적하며, 모든 요구사항이 효율적으로 충족되었음을 입증합니다.
| 당사 연락처 |
CRA 평가 및 평정 수행:
저희 CRA 서비스는 제조업체가 제품 수명 주기 전반에 걸쳐 규제 및 사이버 보안 모범 사례를 준수하거나 인증을 위한 최종 준비를 돕도록 설계되었습니다. 저희는 핵심 요구사항 및 모범 사례 원칙과 표준에 따라 기술 문서, 위험 관리 및 제품 보안 기능에 대한 검토를 수행하며(테스트를 평가의 핵심 요소로 포함), 이를 진행합니다. 이 범위에는잠재적인 약점을 식별하고 해결하기 위한 위협 모델링, 취약점 스캐닝, 소프트웨어 자재 명세 (SBOM) 검증 및 침투 테스트가 포함됩니다. 저희 접근 방식은 CRA 요구사항과의 지속적인 일치성을 입증하기 위해 적합성문서화, 사고 대응 절차 및 지속적인 규제 준수 검토를 포함합니다.
| 당사 연락처 |
사이버 복원력 법(CRA) 자주 묻는 질문(FAQs)
사이버 복원력 법(CRA)란 무엇입니까?
CRA는 EU 규제(규제 (EU) 2024/2847)로, 디지털 제품 제조업체에게 위험 기반 규제 준수와 투명성을 중심으로 제품 수명 주기 전반에 걸쳐 사이버 보안 레질리언스를 입증하도록 요구합니다.
사이버 복원력 법(CRA)에는 어떤 제품이 포함됩니까?
적용 제품 범위:
- 소비자용 IoT 기기: 스마트 홈 기기(예: 온도 조절기, 카메라, 스피커 및 조명), 스마트워치 및 피트니스 트래커와 같은 웨어러블 기기, 스마트 냉장고 및 세탁기와 같은 연결형 가전제품 등
- 네트워크 하드웨어: 라우터, 모뎀, 방화벽 및 네트워크 스위치 포함
- 데스크톱 및 모바일 플랫폼용 운영 체제 및 소프트웨어 애플리케이션: 안티바이러스 도구, 오피스 생산성제품군및 웹 브라우저 등
- 산업 제어 시스템(ICS) 구성 요소:디지털 인터페이스를 갖춘 프로그래머블 로직 컨트롤러(PLC), 센서, 액추에이터 등(산업별 개별 규제가 적용되지 않는 경우에 한함)
- 사이버 보안 도구: VPN 클라이언트 및 보안 게이트웨이 포함
- 기타 스마트 또는 연결형 기기: 스마트 미터, 프린터, 스마트 장난감 및 스마트 스피커 등
적용 제외 제품 범위:
- 비상업용 제품:상업적 마케팅 또는 판매가 이루어지지 않는 디지털 도구
- 비수익성 오픈 소스 소프트웨어: 상업적 의도 없이 공유되는 무료 오픈 소스 소프트웨어(FOSS)
- 맞춤형 소프트웨어: 특정 고객 또는 내부 사용을 위해 독점적으로 개발되었으며, 일반 시장에 출시되지 않는 소프트웨어
- 국방 및 기밀 시스템: 국가 또는 기밀 규제의 대상이 되는 군사 및 정부 시스템
- 서비스만 제공하는 제품(SaaS 등)은CRA 적용 대상이 아니며 NIS2 적용
- 완전히 제외된 분야(기타 EU 규제의 대상):
- 의료 기기 규제(MDR) 및 체외 진단 의료 기기 규제(IVDR)의 대상이 되는 의료 기기 및 소프트웨어
- 유럽 연합 항공 안전청(EASA) 규제의 대상이 되는 항공기 시스템
- o Automotive systems covered under UN R155/EU 2019/2144 UN R155/EU 2019/2144의 대상이 되는 자동차 시스템
사이버 복원력 법(CRA)준비 상태를 어떻게 평가할 수 있습니까?
CRA 요구사항에 비추어 기존 보안 정책, 프로세스 및 제품 개발 수명 주기에 대한 전문가 주도의 격차 분석을 수행하여 위험, 불일치점 및 규제 준수를 위한 실행 가능한 단계를 식별하세요.
사이버 복원력 법(CRA)프로세스 프레임워크란 무엇입니까?
귀하의 산업 분야나 제품 보안 개발 상태에 관계없이, 프로세스는 CRA 규제 준수를 입증하기 위한 중요한 요구사항입니다. 저희 CRA 프로세스 프레임워크는 적극적인 예방, 문서화된 프로세스 및 지속적인 모니터링을 통합하여 제품 수명 주기 전반에 걸쳐 규제 준수를 체계적으로 관리하기 위한 표준화된 접근 방식을 제공합니다.
팀과 협업하면 어떤 혜택을 받을 수 있습니까?
UL Solutions 의 참여 수준은 귀하의 요구에 맞게 유연하게 조정되고 확장할 수 있습니다. 저희 컨설팅 및 서비스 제공 팀은 준비 과정 전반에 걸쳐 귀하를 지원하며, CRA에 대한 깊은 이해를 돕고, 약점이나 우려 사항을 식별하며, CRA 규제 준수를 위한 프로세스 및 워크플로우를 간소화하기 위한 일반적인 모범 사례를 교육해 드립니다. 한편, 저희 실험실 및 감사 팀은 평가, 적합성 평가 및 인증에 대한 전문적 지원을 제공하여 귀하가 CRA 규제 준수를 입증하도록 돕습니다.
사이버 복원력 법(CRA)의 목적은 무엇입니까?
CRA의 목적은 디지털 제품(하드웨어 및 소프트웨어)의 불충분한 사이버 보안 수준과 적시적인 보안 업데이트 부족 문제를 해결하는 것이며, 특히 그 전신인 무선 기기 지침 제3.3(d), (e) 및 (f)조를 기반으로 합니다. CRA는 제품 수명 주기 전반에 걸쳐 소비자와 기업을 사이버 위협 및 취약점으로부터 보호하는 데 중점을 둡니다. CRA의 시행은 제품 취약점(시장 출시시점및 지속적인 취약점 관리)을 감소시키고, 제품 보안에 대한 투명성을 향상시키며, 사이버 보안 책임을 사용자로부터 제조업체로, 나아가 제조업체의 공급망으로 이전하는 것을 목표로 합니다. CRA는 CE 마킹을 통해 구매자가 정보에 기반한 선택을 할 수 있도록 하며, 사이버 공격에 대한 EU 디지털 단일 시장의 전반적인복원력을강화합니다.
교육, 워크숍 또는 기술 지원이 필요하시면 저희에게 연락하세요.
사이버 복원력 법(CRA)규제 미준수의 결과는 무엇입니까?
사이버 복원력 법(CRA)을 준수하지 않을 경우, 다음과 같은 중대한 행정 제재가 부과될 수 있습니다. 핵심 사이버 보안 요구사항 위반 시 최고 1500만 유로 또는 전 세계 연간 매출의 2.5%, 기타 위반 행위 시 최고 1000만 유로 또는 매출의 2%, 당국에허위또는 불완전한 정보를 제공할 경우 최고 500만 유로 또는 매출의 1% 벌금이 부과될 수 있습니다. 또한, 감독 당국은 기업에게 보안 결함의 시정을요구하고, 규제 미준수 제품을 시장에서 제한하거나 회수할 수 있습니다. 이 규제는 또한 제조업체(및 그 공급망), 수입업체 및 유통업체에게 제품 보안을 입증하고, 기술 문서를 보관하며, 취약점을 즉시 보고하고, 국가 시장 감시 당국과 협력하도록 지속적인 의무를 부과합니다. 이러한 조치는 국가 감시 당국에 의해 시행되며, 국가 감시 당국은 사이버 보안 기준을 통일하고 EU 내 디지털 요소가 포함된 제품의 전반적인 보안을 강화하는 것을 목표로 합니다.
사이버 복원력 법(CRA)는 누구에게 적용됩니까?
CRA는 디지털 요소가 포함된 제품으로 정의된 모든 하드웨어 및 소프트웨어에 대한 제조업체(공급망 및 원격 처리 파트너 포함), 수입업체 및 유통업체에게 적용됩니다. 이 정의는 직접 또는 간접적으로 다른 기기나 네트워크에 연결되는 모든 연결형 제품을 포함합니다. CRA는 유료로 판매되는 제품과 상업 활동의 일부로 무료로 제공되는 제품(예: 오픈 소스)을 모두 포함합니다. 제조업체는 제품 수명 주기 전반에 걸쳐 제품이 CRA의 사이버 보안 요구사항을 충족하는지 확인하는 주요 책임이 있지만, 수입업체 및 유통업체도 제품을 EU 시장에 출시하기 전에 규제 준수를 검증해야 합니다. 그러나 EU 특정 산업 규제의 대상이 되는 제품과 같이 일부 예외 사항이 존재합니다.