부속서 I
CRA의 핵심 기술 요건 목록. 제I부는 제품이 시장 출시 시 충족해야 하는 필수 사이버보안 요건을 규정한다. 제II부는 제조업체가 제품의 지원 기간 전반에 걸쳐 유지해야 하는 취약점 처리 프로세스 요건을 기술한다.
출처 인용
개요
규정(EU) 2024/2847의 부속서 I은 두 부분으로 나뉜다:
제I부 — 필수 사이버보안 요건
제품 요건의 주요 항목:
- 알려진 악용 가능한 취약점이 없는 설계·개발·제조
- 기본 보안 구성 및 공장 초기화 기능
- 저장·전송·처리되는 데이터의 기밀성 및 무결성 보호
- 의도치 않은 네트워크 인터페이스 최소화를 포함한 공격 면적 축소
- DoS 공격에 대한 가용성 복원력
제II부 — 취약점 처리 요건
프로세스 요건의 주요 항목:
- 취약점 식별 및 문서화(SBOM)
- 신속한 취약점 수정 및 공개
- 취약점 조정 공개(CVD) 정책
- 적극적으로 악용되는 취약점의 ENISA 보고
- 보안 업데이트의 안전한 배포