CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL

사이버 복원력법 이해하기

규정(EU) 2024/2847의 평이한 언어 입문 — 내용, 적용 대상, 주요 의무 개요.

CRA란 무엇인가요?

사이버 복원력법(규정(EU) 2024/2847)은 EU 시장에 출시되는 디지털 요소가 있는 제품 (PDE)에 대해 필수 사이버 보안 요건을 도입하는 수평적 EU 규정입니다. 2024년 12월 11일에 발효되었습니다.

CRA는 설계 및 개발부터 지원 종료까지 제품 생애 주기 전반에 걸쳐 적용됩니다. 필수 보안 요건(부속서 I), 문서화 의무, 취약성 보고 체제 및 적합성 평가 절차를 수립합니다. 목표는 하드웨어 및 소프트웨어 제품이 설계 단계부터 안전하고, 지원 수명 주기 전반에 걸쳐 안전하게 유지되도록 보장하는 것입니다.

누구에게 적용되나요?

CRA는 다음에 해당하는 경제 주체에게 적용됩니다:

  • 제조업체: 디지털 요소가 있는 제품을 제조하여 EU 시장에 출시하는 자 — 내장 소프트 웨어를 포함한 하드웨어 및 독립형 소프트웨어 제품 포함
  • 수입업체: 비EU 제조업체의 제품을 수입하여 자체 이름 또는 상표로 EU 시장에 출시하는 자
  • 유통업체: EU 시장에서 제품을 변경 없이 유통하는 자
  • 오픈 소스 관리자: 상업적 용도의 무료/오픈 소스 소프트웨어를 체계적으로 제공하는 자

EU에 제품을 판매하는 비EU 제조업체는 완전히 적용 범위에 포함됩니다. EU에 설립된 수권 대리인을 지정해야 합니다(제17조).

디지털 요소가 있는 제품이란 무엇인가요?

디지털 요소가 있는 제품(PDE)은 장치 또는 네트워크와의 직접 또는 간접적인 데이터 연결을 갖는 모든 소프트웨어 또는 하드웨어 제품 및 원격 데이터 처리 솔루션입니다. 이 의도적으로 광범위한 정의는 다음을 포함합니다:

  • 소비자 IoT 기기(스마트 홈, 웨어러블, 라우터)
  • 네트워크 연결 기능을 갖춘 산업용 하드웨어
  • 독립형 소프트웨어 애플리케이션(데스크톱, 모바일, 서버)
  • 운영 체제 및 하이퍼바이저
  • 시장에 출시된 소프트웨어 구성 요소 및 라이브러리
  • 제조업체가 백엔드를 제어하는 클라우드 연결 기기

의료기기(MDR/IVDR), 형식 승인 규정에 따른 자동차, 민간 항공, 선박 장비를 포함한 특정 분야는 부분적으로 또는 완전히 제외됩니다.

제품 분류

모든 디지털 요소 제품(PDE)이 동일하게 취급되지는 않습니다. CRA는 부속서 III 및 IV에 명시된 사이버보안 위험 프로파일에 따라 대상 제품을 네 가지 클래스로 분류합니다.

  • 기본(Default) — 부속서 III 또는 IV에 나열되지 않은 모든 대상 제품. PDE의 대다수가 여기에 해당합니다.
  • 중요 — 클래스 I (부속서 III, 클래스 I) — 신원 관리 소프트웨어, 브라우저, 비밀번호 관리자, 범용 운영 체제 등 중대한 사이버보안 위험을 초래하는 제품.
  • 중요 — 클래스 II (부속서 III, 클래스 II) — 하이퍼바이저, TPM, 산업용 자동화 소프트웨어, 스마트 미터 게이트웨이 등 더 높은 위험을 가진 제품.
  • 중요도 높음(Critical) (부속서 IV) — 하드웨어 보안 모듈(HSM), 스마트 카드, 보안 박스가 있는 하드웨어 장치 등 가장 높은 위험을 가진 제품.

분류에 따라 제조업체가 CE 마크를 부착하기 전에 따라야 할 적합성 평가 경로가 결정됩니다.

클래스자체 평가(모듈 A)인증 기관(모듈 B+C / H)
기본항상 사용 가능선택 사항
중요 — 클래스 I조화 표준 적용 시조화 표준 없는 경우 필수
중요 — 클래스 II사용 불가필수
중요도 높음사용 불가필수(또는 EU 사이버보안 인증)

→ 제품 분류 도구를 사용하여 클래스 및 적합성 평가 경로 확인

비준수에 대한 제재

CRA는 제64조에 따라 단계적 행정 제재 체계를 수립하고 있습니다. 각 EU 회원국의 시장감시당국은 제조업체, 수입업체, 유통업체, 오픈소스 소프트웨어 관리자에게 이러한 제재를 부과할 수 있습니다.

1등급 — 최대 1,500만 유로 또는 전 세계 연간 매출액의 2.5% (더 높은 금액 적용):

부속서 I의 필수 사이버보안 요건 미준수, 또는 CE 마킹, 적합성 평가, 기술 문서, 수권 대리인 의무 관련 위반(제13, 16, 19-22, 24조).

2등급 — 최대 1,000만 유로 또는 전 세계 연간 매출액의 2% (더 높은 금액 적용):

제14조에 따른 취약점 보고 및 보안 사고 통지 의무 위반, 적합성 평가 기관 통지 미이행, 또는 시장감시당국과의 협력 거부(제15, 17, 18, 23조).

3등급 — 최대 500만 유로 또는 전 세계 연간 매출액의 1% (더 높은 금액 적용):

인증 기관 또는 시장감시당국에 부정확하거나 불완전하거나 오해를 일으키는 정보 제공.

글로벌 매출이 큰 대형 조직의 경우 매출액 기반 상한이 고정 최대액을 초과하는 것이 일반적입니다. 회원국은 국내법에 따라 추가 제재를 부과할 수도 있습니다. 제14조의 2026년 9월 11일 기한은 2등급 벌칙이 집행 가능해지는 첫 번째 시점입니다.

주요 기한

1

2024년 12월 11일 — CRA 발효

규정이 법적으로 효력을 발생합니다. 이 날짜 이후 시장에 출시된 제품은 적용 날짜에 도달하면 CRA를 준수해야 합니다.

2026년 9월 11일 — 취약성 보고 의무 적용

제14조에 따른 ENISA에 대한 취약성 및 사고 보고가 의무화됩니다. 이것이 첫 번째 확정 기한입니다. 제조업체는 이 날짜 전에 보고 프로세스를 갖춰야 합니다.

3

2027년 6월 11일 — 적합성 평가 기관 고지

회원국은 적합성 평가 기관을 집행위원회에 고지해야 합니다.

4

2027년 12월 11일 — 규정 전면 적용

모든 CRA 요건이 범위 내 모든 제품에 적용됩니다. 준수하지 않는 신제품은 EU 시장에 출시할 수 없습니다.

더 깊이 알아볼 준비가 되셨나요?

전체 의무 라이브러리를 탐색하고, 역할을 이해하거나, 규제 일정을 확인하세요.

의무 라이브러리 제조업자 의무일정 보기제품 분류 도구
Understand the CRA — EU Cyber Resilience Act overview — CRA 컴플라이언스 허브