OBL-ART6-01Binding
제품이 필수 사이버보안 요구사항을 충족하는지 확인(부속서 I 제I부)
디지털 요소를 포함한 제품은 올바르게 설치·유지관리되고 의도된 목적으로 사용되며 필요한 보안 업데이트가 설치된다는 조건 하에 부속서 I 제I부에 명시된 필수 사이버보안 요구사항을 충족하는 경우에만 EU 시장에 출시할 수 있습니다.
Art. 6(a)
Manufacturer
의무 라이브러리
규정(EU) 2024/2847에 따른 모든 의무 — 조항까지 추적 가능, 평이한 언어 설명과 증거 안내 포함.
OBL-ART6-02Binding
취약점 처리 프로세스가 필수 요구사항을 충족하는지 확인(부속서 I 제II부)
디지털 요소를 포함한 제품은 제조업자가 마련한 프로세스가 지원 기간 전반에 걸친 취약점의 식별·관리·공개에 관한 부속서 I 제II부의 필수 사이버보안 요구사항을 충족하는 경우에만 EU 시장에 출시할 수 있습니다.
Art. 6(b)
Manufacturer
OBL-ART7-01Binding
제품이 «중요 제품»에 해당하는지 판단하고 올바른 적합성 평가 절차 적용
핵심 기능이 부속서 III의 범주에 해당하는 제품은 «디지털 요소를 포함한 중요 제품» 으로서 더 엄격한 적합성 평가 절차를 따라야 합니다. 클래스 I 중요 제품은 조화 표준 또는 공통 사양을 완전히 적용한 경우에만 모듈 A 자체 평가가 가능합니다; 그렇지 않으면 인증기관이 필요합니다. 클래스 II는 항상 인증기관이 필요합니다.
Art. 7(1)Art. 7(2)Art. 32
Manufacturer
OBL-ART8-01Binding
제품이 «중대 제품»에 해당하는지 판단하고 유럽 사이버보안 인증 취득
핵심 기능이 부속서 IV(보안 박스가 있는 하드웨어 장치, 스마트 미터 게이트웨이, 스마트 카드/보안 요소)에 해당하는 제품은 «디지털 요소를 포함한 중대 제품»입니다. 위원회가 관련 위임 행위를 채택한 후에는 보증 수준 «상당» 이상의 유럽 사이버보안 인증서를 취득해야 합니다. 그 전까지는 모듈 B+C 또는 H에 따른 적합성 평가가 필요합니다.
Art. 8(1)Art. 32(4)
Manufacturer
OBL-ART13-01Binding
제품 전체 수명주기에 걸친 보안 보장 (보안 내재화 설계)
제조업체는 위험에 기반한 적절한 수준의 사이버 보안을 제공할 수 있도록 디지털 요소가 포함된 제품을 설계·개발·생산하여야 합니다. 보안은 설계 단계부터 사용 종료에 이르기까지 제품의 전체 수명주기에 걸쳐 다루어져야 합니다.
Art. 13(1)Art. 13(2)
Manufacturer
OBL-ART13-02Binding
시장 출시 전 사이버 보안 위험 평가 수행
제조업체는 디지털 요소가 포함된 제품을 시장에 출시하기 전에 해당 제품과 관련된 사이버 보안 위험 평가를 수행하여야 합니다. 위험 평가 결과는 제품의 설계·개발·생산에 반영되어야 하며, 기술 문서의 일부로 문서화되어야 합니다.
Art. 13(2)
Manufacturer
OBL-ART13-03Binding
기술 문서 작성 및 유지 (부속서 VII)
제조업체는 제품이 CRA 필수 요건에 적합함을 입증하는 데 필요한 모든 정보를 포함하는 기술 문서를 작성하여야 합니다. 해당 문서는 최신 상태로 유지되어야 하며, 시장 출시일(또는 예상 수명이 더 긴 경우 그 기간)로부터 10년간 보존되어야 합니다.
Art. 13(3)Art. 13(13)
Manufacturer
OBL-ART13-04Binding
해당하는 적합성 평가 절차 수행
제조업체는 제품 등급에 적합한 절차를 사용하여 적합성을 입증하여야 합니다. 기본 제품은 자체 인증(모듈 A)이 가능합니다. 중요 1등급 제품은 조화 표준이 적용되는 경우 자체 인증이 가능하나, 그렇지 않은 경우 인증기관이 관여하여야 합니다. 중요 2등급 및 핵심 제품은 항상 인증기관이 요구됩니다.
Art. 13(4)Art. 32
Manufacturer
OBL-ART13-05Binding
소프트웨어 구성 요소에 대한 적절한 주의 의무 (SBOM 및 공급망)
제품에 포함된 소프트웨어 구성 요소가 제조업체가 개발하지 않은 경우, 제조업체는 해당 구성 요소가 제품의 보안을 침해하지 않도록 적절한 주의를 기울여야 합니다. 소프트웨어 구성 요소 목록(SBOM)은 기술 문서의 일부로 작성되고 유지되어야 합니다.
Art. 13(5)
Manufacturer
OBL-ART13-06Binding
시장 출시 시 알려진 악용 가능한 취약점 부재 보장
제조업체는 디지털 요소가 포함된 제품을 시장에 출시할 때, 해당 제품에 알려진 악용 가능한 취약점이 포함되지 않도록 보장하여야 합니다. 이 의무는 배포 시점 및 이후 출시되는 각 업데이트에도 적용됩니다.
Art. 13(6)
Manufacturer
OBL-ART13-07Binding
조정된 취약점 공개(CVD) 정책 수립 및 공표
제조업체는 조정된 취약점 공개(CVD) 정책을 수립하고 이를 공개적으로 이용 가능하게 하여야 합니다. 해당 정책은 취약점 신고를 위한 연락처를 제공하고, 신고 확인 일정 및 연구자와의 공개 조정 프로세스를 포함하여 제조업체가 신고를 처리하는 방법을 기술하여야 합니다.
Art. 13(7)
Manufacturer
OBL-ART13-08Binding
제품 지원 기간 선언 및 공개
제조업체는 제품의 지원 기간을 선언하고, 구매 전에 사용자가 해당 정보를 이용할 수 있도록 하여야 합니다. 지원 기간은 제품의 예상 사용 기간이 더 짧은 경우를 제외하고 최소 5년이어야 합니다. 지원 기간 종료 날짜는 제품 설명서 및 판매 시점에 명시되어야 합니다.
Art. 13(8)
Manufacturer
OBL-ART13-09Binding
지원 기간 내내 보안 업데이트 제공
제조업체는 최소 5년(또는 예상 사용 기간이 더 짧은 경우 그 기간) 동안 보안 업데이트를 무료로 제공하여야 합니다. 업데이트는 신속하게, 기능 업데이트와 별도로 제공되어야 하며, 지원 기간 종료 날짜가 공개되어야 합니다.
Art. 13(9)Art. 13(8)
Manufacturer
OBL-ART13-10Binding
지원 기간 전반에 걸쳐 취약점 처리 및 수정
제조업체는 전체 지원 기간 동안 제품의 취약점을 식별·분석·해결하는 프로세스를 갖추어야 합니다. 부속서 I 제2부는 CVE 할당, CVSS 점수 산정, 조정된 공개 및 적시 수정을 포함한 세부 요건을 규정합니다.
Art. 13(10)
Manufacturer
OBL-ART13-11Binding
EU 적합성 선언서(EU DoC) 작성
제조업체는 제28조 및 부속서 V에 따라 제품이 모든 CRA 요건을 충족함을 명시하는 EU 적합성 선언서를 작성하여야 합니다. EU 적합성 선언서는 최신 상태로 유지되어야 하며 시장 감시 기관 및 해당하는 경우 사용자가 이용할 수 있도록 하여야 합니다.
Art. 13(11)Art. 28
Manufacturer
OBL-ART13-12Binding
제품에 CE 마킹 부착
제조업체는 EU 시장에 제품을 출시하기 전에 제품이 모든 CRA 요건에 적합함을 나타내는 CE 마킹을 부착하여야 합니다. CE 마킹은 가시적이고 판독 가능하며 지워지지 않아야 하며, EU 적합성 선언서가 작성되기 전에는 부착할 수 없습니다.
Art. 13(12)Art. 30
Manufacturer
OBL-ART13-13Binding
제품의 고유 식별 보장 (일련번호 부여)
제조업체는 디지털 요소가 포함된 각 제품에 유형, 배치 번호, 일련번호 또는 식별을 가능하게 하는 기타 요소가 포함되도록 보장하여야 합니다. 소프트웨어 전용 제품의 경우 버전 번호가 이 목적을 위해 사용됩니다.
Art. 13(14)
Manufacturer
OBL-ART13-14Binding
제품에 제조업체 연락처 정보 표시
제조업체는 제품 또는 패키지에 명칭, 등록된 상호 또는 상표, 우편 주소를 표시하여야 합니다. 사용 가능한 경우 전자 연락처 주소(웹사이트 또는 이메일)도 표시되어야 합니다. 이를 통해 시장 감시 기관, 수입업체, 유통업체 및 사용자가 제조업체에 연락할 수 있습니다.
Art. 13(15)
Manufacturer
OBL-ART13-15Binding
사용자에게 지침 및 정보 제공 (부속서 II)
제조업체는 사용자가 쉽게 이해할 수 있는 언어로 부속서 II에 나열된 정보 및 지침을 제품에 동봉하여야 합니다. 여기에는 제품 신원, 보안 기능, 취약점 신고 연락처, 지원 기간 종료 날짜 및 안전한 사용 지침이 포함됩니다.
Art. 13(16)
Manufacturer
OBL-ART13-16Binding
시정 조치 이행 및 시장 감시 기관과의 협력
제조업체가 시장에 출시한 제품이 CRA 요건을 충족하지 않는다고 판단하거나 그러한 이유가 있는 경우, 필요에 따라 회수 또는 리콜을 포함한 시정 조치를 즉시 이행하여야 합니다. 또한 제조업체는 시장 감시 기관과 협력하고 요청된 모든 정보 및 문서를 제공하여야 합니다.
Art. 13(17)Art. 13(18)
Manufacturer
OBL-ART14-01Binding
적극적으로 악용되는 취약점 및 사고를 ENISA에 신고
제조업체는 제품의 적극적으로 악용되는 취약점을 단일 신고 플랫폼을 통해 24시간 이내(조기 경고) 및 72시간 이내(통보)에 ENISA에 신고하여야 합니다. 최종 보고서는 14일 이내에 제출되어야 합니다. 이 의무는 2026년 9월 11일부터 적용됩니다.
Art. 14(1)Art. 14(2)Art. 14(3)
Manufacturer
OBL-ART14-02Binding
72시간 이내에 ENISA에 상세 취약점 통보 제출
제품에서 적극적으로 악용되는 취약점을 인지한 후 72시간 이내에 제조업체는 단일 신고 플랫폼을 통해 ENISA에 상세 취약점 통보를 제출하여야 합니다. 이는 24시간 조기 경고(OBL-ART14-01)에 이어지는 것으로, 영향을 받은 제품과 취약점에 관한 기술적 세부 사항을 포함하여야 합니다.
Art. 14(2)Art. 14(5)
Manufacturer
OBL-ART14-03Binding
14일 이내에 ENISA에 최종 취약점 보고서 제출
적극적으로 악용되는 취약점을 인지한 후 14일 이내에 제조업체는 취약점에 대한 완전한 설명, 취한 시정 조치 및 취약점이 공개적으로 공개되었는지 여부 또는 CVE가 할당되었는지 여부를 포함하는 최종 보고서를 ENISA에 제출하여야 합니다.
Art. 14(3)Art. 14(5)
Manufacturer
OBL-ART14-04Binding
지체 없이 사용자에게 적극적으로 악용되는 취약점 통보
취약점이 적극적으로 악용되고 있는 경우, 제조업체는 영향을 받은 사용자에게 지체 없이 통보하여야 합니다. 통보에는 패치가 출시되기 전에 사용자가 보호 조치를 취할 수 있도록 충분한 정보 및 이용 가능한 완화 조치가 포함되어야 합니다.
Art. 14(4)
Manufacturer
OBL-ART18-01Binding
공인 대리인의 위임장이 법정 최소 업무를 포함하는지 확인
제조업자는 서면 위임장을 통해 공인 대리인(AR)을 지정할 수 있습니다. 위임장은 AR이 최소한 세 가지 법정 최소 업무를 수행할 수 있도록 해야 합니다: EU 적합성 선언서 및 기술 문서를 시장 감시 기관이 이용 가능하도록 최소 10년간 보관하는 것; 요청 시 적합성 정보를 제공하는 것; 시정 조치에 협조하는 것. 설계·생산과 관련된 핵심 의무는 위임할 수 없습니다.
Art. 18(1)Art. 18(2)Art. 18(3)
Manufacturer
OBL-ART19-01Binding
EU 시장 출시 전 제품 적합성 검증
수입업체는 디지털 요소가 포함된 제품을 EU 시장에 출시하기 전에, 제조업체가 적절한 적합성 평가를 수행하고, 기술 문서를 작성하며, CE 마킹을 부착하고, EU 적합성 선언서 또는 성능 선언서를 이용 가능하게 하였는지 확인하여야 합니다.
Art. 19(1)
Importer
OBL-ART19-02Binding
부적합 제품을 시장에 출시하지 않을 의무
수입업체가 디지털 요소가 포함된 제품이 필수 사이버 보안 요건에 적합하지 않다고 판단하거나 그러한 이유가 있는 경우, 적합성이 확보될 때까지 해당 제품을 시장에 출시하지 않아야 합니다.
Art. 19(2)
Importer
OBL-ART19-03Binding
제품에 수입업체 연락처 정보 라벨링
수입업체는 명칭, 등록된 상호 또는 상표, 우편 주소 및 이용 가능한 경우 웹사이트 또는 이메일 주소를 제품 자체, 패키지 또는 제품에 동봉되는 문서에 표시하여야 합니다.
Art. 19(3)
Importer
OBL-ART19-04Binding
안전한 보관 및 운송 조건 보장
디지털 요소가 포함된 제품이 수입업체의 책임하에 있는 동안, 수입업체는 보관 및 운송 조건이 제품의 필수 사이버 보안 요건에 대한 적합성을 해치지 않도록 보장하여야 합니다.
Art. 19(4)
Importer
OBL-ART19-05Binding
시정 조치 이행 및 중대한 사이버 보안 위험 신고
수입업체가 이미 시장에 출시한 제품이 적합하지 않다는 것을 알게 되는 경우, 필요하다면 회수 또는 리콜을 포함한 시정 조치를 즉시 이행하여야 합니다. 제품이 중대한 사이버 보안 위험을 초래하는 경우, 수입업체는 해당 국가 관할 기관에 즉시 통보하여야 합니다.
Art. 19(5)
Importer
OBL-ART19-06Binding
10년간 문서 보존
수입업체는 제품이 시장에 출시된 후 10년간 EU 적합성 선언서 또는 성능 선언서 사본을 보관하여야 하며, 시장 감시 기관의 요청에 따라 기술 문서를 제공할 수 있도록 보장하여야 합니다.
Art. 19(6)
Importer
OBL-ART19-07Binding
시장 감시 기관과의 협력
관할 기관의 합리적인 요청에 따라 수입업체는 디지털 요소가 포함된 제품의 적합성을 입증하는 데 필요한 모든 정보 및 문서를 서면 또는 전자 형태로 제공하여야 합니다. 또한 요구되는 시정 조치에 협력하여야 합니다.
Art. 19(7)
Importer
OBL-ART20-01Binding
시장 제공 전 제품 적합성 검증
유통업체는 시장에 디지털 요소가 포함된 제품을 제공할 때 적절한 주의를 기울여야 하며, 제품에 CE 마킹이 부착되어 있고, 필요한 문서 및 정보가 동봉되어 있으며, 제조업체 및 수입업체(해당하는 경우)가 라벨링 및 식별 의무를 준수하였는지 확인하여야 합니다.
Art. 20(1)
Distributor
OBL-ART20-02Binding
부적합 제품을 시장에 제공하지 않을 의무
유통업체가 제품이 CRA의 필수 요건에 적합하지 않다고 판단하거나 그러한 이유가 있는 경우, 적합성이 확보될 때까지 제품을 시장에 제공하지 않아야 하며 제조업체에 통보하고 해당하는 경우 시장 감시 기관에도 통보하여야 합니다.
Art. 20(2)
Distributor
OBL-ART20-03Binding
안전한 보관 및 운송 조건 보장
유통업체는 디지털 요소가 포함된 제품이 자신의 책임하에 있는 동안 보관 및 운송 조건이 제품의 필수 사이버 보안 요건에 대한 적합성을 해치지 않도록 보장하여야 합니다.
Art. 20(3)
Distributor
OBL-ART20-04Binding
시정 조치 이행 및 중대한 사이버 보안 위험 신고
유통업체가 시장에 제공한 제품이 적합하지 않다는 것을 알게 되는 경우 필요하다면 회수 또는 리콜을 포함한 시정 조치를 즉시 이행하여야 합니다. 제품이 중대한 사이버 보안 위험을 초래하는 경우, 관련 국가 시장 감시 기관에 즉시 통보하여야 합니다.
Art. 20(4)
Distributor
OBL-ART20-05Binding
시장 감시 기관과의 협력
관할 기관의 합리적인 요청에 따라 유통업체는 제품의 적합성을 입증하는 데 필요한 모든 정보 및 문서를 제공하여야 하며, 해당 기관이 요구하는 시정 조치에 협력하여야 합니다.
Art. 20(5)
Distributor
OBL-ART21-01Binding
제품을 재브랜딩하거나 실질적으로 개조하는 수입업자 및 유통업자는 제조업자의 모든 의무를 인수
수입업자 또는 유통업자는 자사 이름 또는 상표로 디지털 요소를 포함한 제품을 시장에 출시하거나 이미 시장에 출시된 제품을 실질적으로 개조하는 경우 제조업자로 간주되어 제13조 및 제14조 전체에 따릅니다.
Art. 21Art. 13Art. 14
ImporterDistributor
OBL-ART22-01Binding
실질적인 개조를 가하고 제품을 시장에 출시하는 자는 제조업자가 됨
원래 제조업자·수입업자·유통업자 이외의 자로서 제품에 실질적인 개조를 가하고 이를 시장에 공급하는 자는 제조업자로 간주됩니다. 그 자는 제13조 및 제14조의 의무를 개조의 영향을 받은 제품 부분에 대해, 또는 개조가 제품 전체의 사이버 보안에 영향을 미치는 경우 제품 전체에 대해 따릅니다.
Art. 22(1)Art. 22(2)Art. 13+1 more
ManufacturerImporterDistributor
OBL-ART23-01Binding
공급망 추적성 기록 유지 및 요청 시 제공
모든 경제 운영자는 시장 감시 기관의 요청에 따라 (a) 자신에게 제품을 공급한 모든 경제 운영자, 그리고 (b) 자신이 제품을 공급한 모든 경제 운영자를 식별할 수 있어야 합니다. 기록은 각 거래로부터 10년간 보관해야 합니다.
Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
OBL-ART24-01Binding
오픈소스 소프트웨어에 대한 사이버 보안 정책 수립 및 문서화
오픈소스 소프트웨어 관리자는 안전한 제품 개발을 촉진하고 지원하는 오픈소스 소프트웨어 구성 요소의 취약점을 효과적으로 처리할 수 있도록 사이버 보안 정책을 수립하고 문서화하여야 합니다.
Art. 24(1)
Open-source steward
OBL-ART24-02Binding
적극적으로 악용되는 취약점 및 심각한 사고 통보
오픈소스 소프트웨어 관리자는 오픈소스 소프트웨어 구성 요소에 포함된 적극적으로 악용되는 취약점 및 해당 구성 요소의 보안에 영향을 미치는 심각한 사고를 지체 없이 조정자로 지정된 관련 CSIRT에 통보하여야 합니다.
Art. 24(2)
Open-source steward
OBL-ART24-03Binding
시장 감시 기관과의 협력
오픈소스 소프트웨어 관리자는 요청에 따라 시장 감시 기관과 협력하고 규제 업무 수행에 필요한 모든 정보를 제공하여야 합니다.
Art. 24(3)
Open-source steward
OBL-ART24-04Binding
요청에 따른 기술 문서 작성
시장 감시 기관의 요청에 따라 오픈소스 소프트웨어 관리자는 관리하는 오픈소스 소프트웨어 구성 요소에 대한 사이버 보안 준수 평가를 가능하게 하는 기술 문서를 작성하고 최신 상태로 유지하여야 합니다.
Art. 24(4)
Open-source steward
OBL-ART28-01Binding
필요한 모든 정보가 담긴 EU 적합성 선언서 작성
제조업자는 부속서 V의 모델 구조에 따라 지정된 모든 요소를 포함하는 EU 적합성 선언서(EU DoC)를 작성해야 합니다. EU DoC는 제품이 적용 가능한 필수 사이버보안 요구사항을 충족함을 선언합니다. 완전한 DoC가 온라인에서 접근 가능한 경우 간략판 (부속서 VI)이 제품에 첨부될 수 있습니다. 관련 변경이 발생할 때마다 DoC를 업데이트 해야 합니다.
Art. 28Art. 13(12)Art. 13(20)
Manufacturer
OBL-ART31-01Binding
부속서 VII의 모든 요소를 포함하는 기술 문서 작성 및 유지관리
제조업자는 제품을 시장에 출시하기 전에 기술 문서를 작성하고 지속적으로 업데이트 해야 합니다(최소한 지원 기간 동안). 문서에는 부속서 VII에 열거된 모든 요소가 포함되어야 하며, 제품과 제조업자의 프로세스가 부속서 I의 필수 사이버보안 요구사항을 충족하는 방법을 입증해야 합니다. 시장 감시 기관이 최소 10년간 또는 지원 기간 동안 접근할 수 있는 상태를 유지해야 합니다.
Art. 31Art. 13(12)Art. 13(13)
Manufacturer
OBL-ART32-01Binding
제품을 시장에 출시하기 전에 올바른 적합성 평가 절차 선택 및 완료
제조업자는 제품을 시장에 출시하기 전에 제품과 제조업자의 프로세스 모두가 부속서 I의 필수 요구사항을 충족함을 입증하는 적합성 평가를 수행해야 합니다. 필요한 절차는 제품 분류에 따라 다릅니다: 표준 제품에는 모듈 A(자체 평가), 특정 상황에서는 중요 제품에 제3자 평가, 클래스 II 중요 제품 및 중대 제품에는 인증기관 참여가 의무화됩니다.
Art. 32(1)Art. 32(2)Art. 32(3)+1 more
Manufacturer