시장 출시 전 사이버 보안 위험 평가 수행

규정(EU) 2024/2847 제13조 제2항은 디지털 요소가 포함된 제품의 제조업체가 부속서 I 제1부에 규정된 필수 사이버 보안 요건을 고려하여 디지털 요소가 포함된 제품과 관련된 사이버 보안 위험 평가를 수행하도록 의무화합니다.

해당 평가는 사이버 보안 위험의 최소화, 보안 사고 예방 및 사고 영향 최소화를 목적으로 제품의 기획·설계·개발·생산·납품·유지보수 단계에서 고려되어야 합니다.

1. 시장 출시 전 위험 평가 — 제품을 시장에 출시하기 전에 완료
2. 위험 기반 설계 — 평가 결과가 제품 설계 결정에 반영되어야 함
3. 전체 수명주기 범위 — 기획·설계·개발·생산·납품·유지보수 단계 포괄
4. 문서화 — 위험 평가는 부속서 VII에서 요구하는 기술 문서의 일부를 구성
5. 비례성 — 평가의 깊이는 위험 수준에 비례하여야 함

이 의무는 대부분의 제13조 의무 사항의 토대가 됩니다. 위험 평가는 다음 사항을 결정합니다.

• 부속서 I 제1부 요건 중 어느 것이 적용되고 어떻게 적용되는지
• 적절한 적합성 평가 경로 (모듈 A, B+C 또는 H)
• 선언된 지원 기간 (OBL-ART13-08)
• 배포 전 해결해야 할 취약점 (OBL-ART13-05)

• 사이버 보안 위험 평가 문서 (STRIDE, TARA 또는 동등한 방법론 적용)
• 공격 표면 분석이 포함된 위협 모델
• 설계 선택과 연결된 위험 처리 결정 사항
• 제품 변경 시 평가가 업데이트되었음을 보여주는 기록