EU 사이버 복원력법(CRA) 완벽 가이드! 
 

1. EU CRA(사이버 복원력법)란 무엇인가?

CRA는 유럽 연합(EU) 내에서 유통되는 디지털 요소가 포함된 제품(PDE, Products with Digital Elements)의 하드웨어와 소프트웨어 모두에 대해 설계부터 폐기까지 전 수명 주기에 걸쳐 사이버 보안 요건을 강제하는 법안입니다.
 

2. CRA의 주요 내용 및 핵심 준수 일정

단순한 가이드라인이 아닌 강제 법규로, 위반 시 최대 1,500만 유로 또는 글로벌 매출액의 2.5% 중 높은 금액이 과징금으로 부과될 수 있습니다. [출처: CRA Article 64]

- 보안 설계(Security by Design): 암호화, 최소 권한 원칙 등 필수 보안 요구사항 준수
- SBOM(Software Bill of Materials, 소프트웨어 자재명세서): 사용된 모든 소프트웨어 컴포넌트 목록 작성 및 관리 의무
- 취약점 관리: 제품 수명 주기(최소 5년) 동안 보안 업데이트 제공

[핵심 타임라인]
- 2026년 9월 11일: 취약점 및 사고 보고 의무 시행 (사고 인지 후 24시간 이내 보고 필수) [출처: CRA Article 71]
- 2027년 12월 11일: 전면 시행. 모든 해당 제품은 CE 마크 를 획득해야 유통 가능 [출처: CRA Article 71]

3. 제품 분류: 내 제품은 어디에 해당할까? 

CRA는 제품의 위험도에 따라 크게 세 가지 카테고리로 분류하며, 이에 따라 적합성 평가 방식이 달라집니다.

4. 국내 기업에 미치는 영향: "보안은 시장 진입의 전제 조건"

• 공급망 보안 강화: 완제품 업체는 부품사(S/W 포함)에 SBOM을 요구하게 되며, 이는 전체 공급망의 보안 수준 상향을 의미합니다.
• 유지보수 의무: 판매 후에도 지속적인 취약점 모니터링과 패치 배포 시스템을 갖춰야 합니다.

5. 한국뷰로베리타스가 제공하는 CRA 대응 솔루션

글로벌 인증 및 심사 기관인 한국뷰로베리타스는 유럽 현지 인증기관 네트워크과 전문 심사 인력을 통해 다음과 같은 통합 서비스를 제공합니다. 

- CRA Gap Analysis: 현재 제품과 프로세스가 CRA 요구사항을 얼마나 충족하는지 사전 점검
- 국제 표준 기반 통합 심사: ISO 27001(정보보호) 및 IEC 62443(산업보안) 심사와 연계하여 CRA 적합성 확보 지원
- 기술 문서 검토: CE 마크 획득을 위한 필수 문서 작성 가이드 및 검증