용어집
EU 사이버 복원력 법안 및 관련 가이드라인의 정의된 용어와 개념.
C
- CE 마킹
- CRA의 필수 사이버보안 요건을 포함한 모든 적용 EU 법령의 요건을 제품이 충족함을 나타내기 위해 제조업체가 제품에 표시하는 가시적 마크. EU 시장에 제품을 출시하기 전에 CE 마킹이 필요하다.
E
- EU 적합성 선언서 (EU-DoC)
- 디지털 요소가 포함된 제품이 CRA의 필수 사이버보안 요건을 충족함을 제조업체가 자신의 책임 하에 선언하는 문서. EU 적합성 선언서는 부속서 V에 규정된 요소를 포함해야 하며, EU 공용어 중 하나로 작성되어야 한다. 최소 10년간 보관해야 한다.
O
- OSS 스튜어드
- 상업적 활동을 위한 특정 자유·오픈 소스 소프트웨어 제품의 개발을 지속적으로 지원하는 것을 목적으로 하는 법인(제조업체 아님). OSS 스튜어드는 CRA 하에서 더 가볍고 맞춤화된 규제 체계를 적용받는다.
권
- 권한 대리인
- EU 외부에 소재한 제조업체로부터 CRA에 따른 특정 의무를 대행하는 권한을 서면으로 부여받은 EU 내에 소재한 자연인 또는 법인. EU 외부에 소재한 제조업체는 EU 시장에 제품을 출시하기 전에 권한 대리인을 지정해야 한다.
기
- 기술 문서
- 제조업체가 시장 출시 전에 작성하고 지원 기간 전반에 걸쳐 유지해야 하는 종합 문서로서, 부속서 I의 필수 사이버보안 요건 충족을 입증하는 모든 정보를 포함한다. 부속서 VII이 최소 내용을 규정하며, 최소 10년간 보관해야 한다.
디
- 디지털 요소가 포함된 제품 (PDE)
- 의도된 또는 합리적으로 예견 가능한 사용에 장치 또는 네트워크와의 직간접적인 논리적 또는 물리적 데이터 연결이 포함되는 소프트웨어 또는 하드웨어 제품과 그 원격 데이터 처리 솔루션. CRA의 핵심 규제 대상이다.
부
- 부속서 I
- CRA의 핵심 기술 요건 목록. 제I부는 제품이 시장 출시 시 충족해야 하는 필수 사이버보안 요건을 규정한다. 제II부는 제조업체가 제품의 지원 기간 전반에 걸쳐 유지해야 하는 취약점 처리 프로세스 요건을 기술한다.
소
- 소프트웨어 자재 명세서 (SBOM)
- 소프트웨어 제품에 포함된 구성 요소, 라이브러리 및 모듈을 일반적으로 사용되는 기계가독형 형식으로 공식 기록한 문서. CRA 부속서 I 제II부에 따라 제조업체는 최소한 최상위 의존성을 포함하는 SBOM을 작성해야 한다.
수
- 수입업체
- EU 외부에 소재한 자의 이름 또는 브랜드를 부착한 디지털 요소가 포함된 제품을 EU 시장에 출시하는 EU 내에 소재한 자연인 또는 법인. 수입업체는 시장 출시 전 적합성 확인에 대한 고유한 책임을 지며, CRA에 따른 별도의 의무를 갖는다.
시
실
- 실질적 변경
- 시장 출시 후 디지털 요소가 포함된 제품에 가해진 변경으로서 부속서 I 제I부의 필수 사이버보안 요건 충족 여부에 영향을 미치거나 제품의 의도된 목적을 변경하는 변경. 실질적 변경은 새로운 시장 출시를 발생시키고 추가 적합성 평가를 요구한다.
심
- 심각한 사고
- 디지털 요소가 포함된 제품의 개발, 생산 또는 유지 관리에 사용되는 제조업체의 네트워크 및 정보 시스템 보안에 실제 악영향을 미치는 사고. 심각한 사고는 CSIRT 및 ENISA에 24시간 이내에 의무적으로 신고해야 한다.
원
- 원격 데이터 처리 솔루션 (RDPS)
- 디지털 요소가 포함된 제품이 기능 중 하나를 수행하는 데 필수적인 원격 서비스. RDPS는 PDE의 일부로서 동일한 CRA 의무가 적용된다. 요건 충족의 3단계 기준은 원격성, 기능적 의존성, 제조업체 책임이다.
유
- 유통업체
- 제조업체 또는 수입업체가 아닌, EU 시장에서 디지털 요소가 포함된 제품을 유통하는 공급망 내의 자연인 또는 법인. 유통업체는 CRA 제20조에 따른 고유한 검증 의무를 지지만, 그 책임 범위는 제조업체나 수입업체보다 제한적이다.
자
- 자유·오픈 소스 소프트웨어 (FOSS)
- 사용자에게 실행·복사·배포·연구·수정·개선의 자유를 부여하는 라이선스로 제공되는 소프트웨어. CRA는 상업적 활동 범위 밖에서 제공되는 FOSS에 특별한 지위를 부여하여 적용 대상에서 제외한다. 그러나 상업적 활동의 일환으로 제공되는 FOSS는 CRA의 적용을 받는다.
적
- 적극적으로 악용되는 취약점
- 악의적인 행위자가 실제로 악용하고 있다는 신뢰할 수 있는 증거가 있는 디지털 요소가 포함된 제품의 취약점. 제조업체는 인지한 후 24시간 이내에 지체 없이 ENISA에 보고해야 한다. 이 요건은 CRA가 규정하는 CVD 체계의 일부를 구성한다.
- 적합성 평가
- 제조업체가 디지털 요소가 포함된 제품이 CRA 부속서 I에 규정된 필수 사이버보안 요건을 충족함을 입증하기 위해 사용하는 절차. 적합성 평가 절차의 선택은 제품 카테고리에 따라 달라지며, 중요 제품 및 핵심 제품은 제3자 기관(피통보 기관)의 관여가 필요하다.
- 적용 대상
- 디지털 요소가 포함된 제품은 상업적 활동 과정에서 EU 시장에서 제공되고 특정 적용 제외에 해당하지 않는 경우 CRA의 적용 대상으로 간주된다. 적용 여부를 결정하는 주요 요소는 디지털 요소의 존재, 연결성, 상업적 활동 맥락에서의 공급이다.
제
조
- 조화 표준
- 유럽 위원회의 요청에 따라 공인된 유럽 표준화 기구(CEN, CENELEC, ETSI)가 채택한 유럽 기술 표준. EU 관보에 게재된 조화 표준의 적용은 CRA의 관련 필수 사이버보안 요건 충족의 추정을 가져온다.
중
- 중요 제품
- 기능 또는 용도로 인해 사이버보안 위험이 높은 것으로 간주되어 CRA 부속서 III 클래스 I에 열거된 디지털 요소가 포함된 제품. 중요 제품은 기본 제품보다 더 엄격한 적합성 평가 절차가 필요하며, 제조업체는 피통보 기관을 관여시키거나 유럽 사이버보안 인증 체계에 의한 인증을 획득해야 한다.
지
- 지원 기간
- 제조업체가 부속서 I 제II부에 따라 취약점을 효과적으로 처리해야 하는 기간. 제품의 예상 유효 수명이 더 짧지 않은 한 최소 5년이어야 한다. 지원 기간은 EU 시장 출시 시점에 시작된다.
취
- 취약점 조정 공개 (CVD)
- 취약점 발견자가 취약점 정보를 제조업체 또는 지정된 코디네이터에게 직접 보고함으로써 제조업체가 공개 전에 패치를 개발·배포할 수 있도록 하는 구조화된 프로세스. CRA는 제조업체에게 CVD 정책을 수립하고 취약점 보고를 위한 연락처를 지정하도록 의무화하고 있다.
- 취약점
- 위협 행위자가 잠재적으로 악용하여 해당 제품 또는 연결된 시스템의 보안을 침해할 수 있는 디지털 요소가 포함된 제품의 약점. CRA는 제조업체에게 지원 기간 전반에 걸쳐 취약점을 식별·처리·공개하는 광범위한 의무를 부과한다.
피
- 피통보 기관
- CRA에 따른 제3자 적합성 평가 절차를 수행하도록 회원국 당국이 지정하고 유럽 위원회에 통보한 독립적인 인증 제3자 기관. 피통보 기관은 EU 시장에서 디지털 요소가 포함된 중요 제품과 핵심 제품에 대한 적합성 평가에 관여한다.
필
- 필수 사이버보안 요건
- 제조업체가 CRA 부속서 I에 따라 자사의 디지털 요소가 포함된 제품에 확보해야 하는 의무적인 기술적 특성 및 프로세스 요건. 요건은 제품 특성(제I부)과 취약점 처리 프로세스(제II부)로 구분된다. 이 요건을 충족하는 것이 CE 마킹 획득의 조건이다.
핵
- 핵심 제품
- 기능 또는 용도로 인해 특히 높은 사이버보안 위험을 야기하는 것으로 간주되어 CRA 부속서 III 클래스 II에 열거된 디지털 요소가 포함된 제품. 핵심 제품은 제3자 기관에 의한 의무적 적합성 평가, 즉 유럽 사이버보안 인증 체계에 의한 인증이 필요하다.