많은 제조업체들은 사이버 복원력법(CRA)이 주로 시장에 출시되는 제품의 보안을 보장하는 데 초점을 둔다고 생각합니다. 그러나 CRA는 제품의 전 생애주기 동안 제조업체가 보안에 대한 책임을 지도록 요구합니다.
CRA는 특정 제품에 국한되지 않는 여러 요건을 명시합니다. 예를 들어, 취약점 처리, 사고 보고, 장기 지원, 공개 의무 등이 제조업체에 필수적으로 요구되는 활동입니다.
.
CRA는 보안이 정적인 것이 아니며, 준수를 단발성 이벤트로 간주할 수 없음을 분명히 하고 있습니다. 제품이 시장에 출시될 당시 규정을 준수했더라도, 시간이 지나면 미준수 상태가 될 수 있습니다.
규정을 충족하기 위해 제조업체는 다음에 대비해야 합니다.
CRA를 단순히 또 하나의 ‘인증 절차’ 정도로만 여기는 제조업체는 고객에게 실망감을 안기고 규정 준수에도 실패할 위험이 큽니다.
CRA와 직접적으로 정렬된 취약점 처리 관련 EU 공통 표준이 2026년에 발표될 예정입니다.
그러나 현재 일부 요구사항을 충족하는 방법에 대한 실질적인 지침을 제공하는 여러 기존 표준이 존재합니다..
지금부터 시작하면 CRA 의무화 시 원활한 전환을 보장할 뿐 아니라, 고객에게도 제품 보안이 강화되었음을 확신시켜 줍니다.
CRA에서 가장 까다로운 부분은 바로 보고 요건입니다. 예를 들어, 제조업체가 자사 제품에서 실제로 악용되고 있는 취약점을 발견하면, 이를 24시간 이내에 보고해야 합니다. 또한 중대한 사고는 신속히 보고해야 하며, 추가 정보가 수집됨에 따라 후속 업데이트도 제공해야 합니다.
보고 기한 준수는 생각만큼 쉽지 않습니다. 내부 프로세스가 갖춰져 있지 않다면, 필요한 정보를 정해진 시간 안에 준비하지 못할 수 있습니다. 따라서 제조업체는 내부 커뮤니케이션 및 에스컬레이션 체계를 강화해야 합니다.
한편, 이는 고객에게는 좋은 소식입니다. 빠른 보고는 취약점이 더 신속히 해결됨을 의미하며, 투명성은 더 이상 선택 사항이 아닙니다. 은밀한 패치 대신, 사용자는 보다 개방적이고 신속한 사이버보안 대응을 기대할 수 있습니다.
사이버 복원력법의 지속적 요건을 충족하는 일은 쉽지 않습니다. 특히 의무가 초기 제품 출시를 훨씬 넘어 확장됨에 따라 어려울 수 있습니다. Nemko는 규정 준수가 단순한 체크리스트가 아닌, 전문성·경계심·올바른 프로세스를 요구하는 지속적인 여정임을 잘 이해하고 있습니다.
Nemko의 서비스는 다음을 포함합니다.
신뢰할 수 있는 규제 파트너인 Nemko는 여러분이 위험을 줄이고, 규정 준수에 박차를 가하며, 유럽 시장에 자신 있게 진입할 수 있도록 지원합니다.