개인정보 보호위원회

EU, 사이버 회복력법 시행규칙 관보 게재

EU는 사이버 회복력법 이행을 위해 중요·중대 제품 범주를 기술적으로 정의한 시행규칙을 관보에 게재

- 2025년 12월 1일, EU는 「사이버 회복력법(Cyber Resilience Act, CRA)」의 적용 대상을 기술적으로 정의한 「시행규칙(Commission Implementing Regulation(EU) 2025/2392)」을 관보에 게재하며 디지털 요소를 포함한 제품 전반의 중요·중대 범주를 공식 확정

- 해당 시행규칙은 ID 관리 시스템, 중요 권한 관리 솔루션, VPN 기능 제품, 브라우저, 네트워크 관리 시스템, SIEM(Security Information and Event Management)* 등과 라우터·모뎀·스위치, 스마트홈 보안 제품, 건강 모니터링 웨어러블 등을 CRA 적용이 강화되는 중요(Class I) 제품군으로 구분* SIEM: 다양한 시스템·장비의 로그와 이벤트를 수집·분석해 보안 위협을 탐지·모니터링하는 시스템

- 또한 중대(Class II) 제품에는 침입 탐지·차단 시스템과 변조 방지 기능을 갖춘 마이크로프로세서·마이크로컨트롤러가 포함되며, 이들 제품은 보안 침해 시 사회·산업 전반에 중대한 영향을 미칠 수 있는 고위험군으로 설정됨

- 더불어 시행규칙은 스마트 미터 게이트웨이(Smart Meter Gateway)**와 보안 구역을 갖춘 하드웨어 장치를 별도 중대 제품으로 분류해 강화된 적합성 평가 및 안전 요구사항 적용 필요성을 명확히 함** 스마트 미터 게이트웨이: 전기·가스·열 등 에너지 계량 데이터 처리 및 제3자 간 통신을 보안적으로 중계·통제하는 장치

- CRA 체계는 기능 중심의 위험 기반 접근을 적용해 제품이 수행하는 주요 보안 역할을 기준으로 분류하도록 설계되었으며, 이를 통해 과도한 규제 적용을 방지하고 기술적 특성을 고려한 평가 기준을 마련했다는 점에서 의의가 있음

- 이에 따라 제조업체는 자사 제품이 중요 또는 중대 제품군에 해당하는지를 우선 판단하고, 해당할 경우 CRA가 요구하는 적합성 평가 절차와 보안 요건을 충족하기 위한 기술적·관리적 조치를 정비해야 하는 상황

- 이번 시행규칙은 EU가 디지털 요소 제품 전반에 CRA 기반 사이버 회복력 기준을 정교하게 도입함으로써 시장 전반의 보안 수준을 체계적으로 제고하려는 규제 방향성을 보여주는 결정적 단계로 평가됨