필수 사이버보안 요건
제조업체가 CRA 부속서 I에 따라 자사의 디지털 요소가 포함된 제품에 확보해야 하는 의무적인 기술적 특성 및 프로세스 요건. 요건은 제품 특성(제I부)과 취약점 처리 프로세스(제II부)로 구분된다. 이 요건을 충족하는 것이 CE 마킹 획득의 조건이다.
출처 인용
개요
규정(EU) 2024/2847 제6조는 제조업체에게 부속서 I에 규정된 필수 사이버보안 요건 충족을 확보할 의무를 부과한다.
제I부 — 제품 특성
주요 요건:
- 시장 출시 시 알려진 악용 가능한 취약점이 없을 것
- 공장 초기화 기능을 포함한 기본 보안 구성
- 모범 사례에 기반한 인증
- 전송 중·저장 중 데이터 보호
- 공격 면적 최소화
- 개인 데이터의 안전한 삭제
- 구성 요소 검증을 포함한 공급망 보안
제II부 — 취약점 처리 프로세스
프로세스 요건:
- 취약점 관리 프로세스 이행(SBOM, 취약점 추적)
- 취약점 조정 공개(CVD)
- 지원 기간 전반에 걸친 보안 업데이트 제공
- 적극적으로 악용되는 취약점의 ENISA 보고
적합성 평가
제조업체는 제품 카테고리에 따라 부속서 VIII의 적절한 절차를 선택한다.