심각한 사고
디지털 요소가 포함된 제품의 개발, 생산 또는 유지 관리에 사용되는 제조업체의 네트워크 및 정보 시스템 보안에 실제 악영향을 미치는 사고. 심각한 사고는 CSIRT 및 ENISA에 24시간 이내에 의무적으로 신고해야 한다.
출처 인용
법적 근거
규정(EU) 2024/2847 제14조(1)은 다음을 규정한다:
「제조업체는 (…) 해당 제품의 보안에 영향을 미치는 사고 유형을 인지한 경우 (…) 지체 없이 (…) CSIRT (…) 및 ENISA에 통보하여야 한다.」
심각한 사고의 요건
사고가 「심각」으로 분류되려면 다음을 충족해야 한다:
- 실제 악영향 (잠재적 또는 이론적 위험 제외)
- 제조업체의 시스템에 영향 (제조, 개발 또는 유지에 사용되는 시스템)
- 보안에 영향 — 기밀성, 무결성 또는 가용성 침해
신고 일정
| 신고 유형 | 기한 |
|---|---|
| 초기 알림 | 인지 후 24시간 이내 |
| 중간 보고 | 해당되는 경우 72시간 이내 |
| 최종 보고 | 사고 해결 후 1개월 이내 |
수령 기관
- 해당 회원국 CSIRT(사이버보안 침해 대응팀)
- ENISA(EU 사이버보안국)
악용 취약점과의 차이
| 사건 유형 | 신고 요건 |
|---|---|
| 심각한 사고 | CSIRT + ENISA (24시간) |
| 악용 취약점 | CSIRT (악용 인지 시 즉시) |