OBL-ART23-01Binding
공급망 추적성 기록 유지 및 요청 시 제공
모든 경제 운영자는 시장 감시 기관의 요청에 따라 (a) 자신에게 제품을 공급한 모든 경제 운영자, 그리고 (b) 자신이 제품을 공급한 모든 경제 운영자를 식별할 수 있어야 합니다. 기록은 각 거래로부터 10년간 보관해야 합니다.
Art. 23(1)Art. 23(2)
ManufacturerImporterDistributorOpen-source steward
역할
Art. 3(14)오픈 소스 스튜어드
오픈 소스 소프트웨어 스튜어드는 의도된 사용이 상업적으로 예상될 수 있는 무료/오픈 소스 소프트웨어 제품 개발에 체계적인 지원을 제공하는 법인을 말합니다.
주요 사실
- 개인 개발자를 처벌하지 않고 OSS를 다루기 위해 CRA가 도입한 새로운 카테고리
- 제조업체보다 가벼운 의무(CE 마킹 불필요, DoC 불필요)
- 사이버보안 정책을 수립하고 당국과 협력해야 함
- 상업 활동 테스트로 OSS 프로젝트가 적용 범위에 있는지 결정
- 스튜어드 지위는 소프트웨어를 패키징/배포하는 하위 사용자에게는 적용되지 않음
주요 기한
1
2024년 12월 11일 — CRA 발효
규정이 법적으로 유효합니다. 이 날짜부터 시장에 출시된 제품은 적용 날짜가 되면 CRA를 준수해야 합니다.
2026년 9월 11일 — 취약점 보고 의무 적용
제14조에 따른 ENISA에 대한 취약점 및 사고 보고가 의무화됩니다. 이것이 첫 번째 확정 기한입니다. 제조업체는 이 날짜 이전에 보고 프로세스를 갖춰야 합니다.
3
2027년 6월 11일 — 적합성 평가 기관 통보
회원국은 유럽 위원회에 적합성 평가 기관을 통보해야 합니다.
4
2027년 12월 11일 — 전체 규정 적용
모든 CRA 요건이 모든 해당 제품에 적용됩니다. 규정을 준수하지 않는 신제품은 EU 시장에 출시할 수 없습니다.
의무 사항 (5개)
OBL-ART24-01Binding
오픈소스 소프트웨어에 대한 사이버 보안 정책 수립 및 문서화
오픈소스 소프트웨어 관리자는 안전한 제품 개발을 촉진하고 지원하는 오픈소스 소프트웨어 구성 요소의 취약점을 효과적으로 처리할 수 있도록 사이버 보안 정책을 수립하고 문서화하여야 합니다.
Art. 24(1)
Open-source steward
OBL-ART24-02Binding
적극적으로 악용되는 취약점 및 심각한 사고 통보
오픈소스 소프트웨어 관리자는 오픈소스 소프트웨어 구성 요소에 포함된 적극적으로 악용되는 취약점 및 해당 구성 요소의 보안에 영향을 미치는 심각한 사고를 지체 없이 조정자로 지정된 관련 CSIRT에 통보하여야 합니다.
Art. 24(2)
Open-source steward
OBL-ART24-03Binding
시장 감시 기관과의 협력
오픈소스 소프트웨어 관리자는 요청에 따라 시장 감시 기관과 협력하고 규제 업무 수행에 필요한 모든 정보를 제공하여야 합니다.
Art. 24(3)
Open-source steward
OBL-ART24-04Binding
요청에 따른 기술 문서 작성
시장 감시 기관의 요청에 따라 오픈소스 소프트웨어 관리자는 관리하는 오픈소스 소프트웨어 구성 요소에 대한 사이버 보안 준수 평가를 가능하게 하는 기술 문서를 작성하고 최신 상태로 유지하여야 합니다.
Art. 24(4)
Open-source steward