국내외 과학기술 정책에 대한 간략한 정보
단신동향
해외단신
EU 사이버 회복력 법(Cyber Resiliency Act) 개선을 위한 권고안 원문보기 1
- 국가 유럽연합(EU)
- 생성기관 정보기술산업협의회
- 주제분류 핵심R&D분야
- 원문발표일 2023-07-12
- 등록일 2023-07-18
- 권호 244
○ 정보기술산업협의회(ITI)는 EU 사이버 복원력 법(Cyber Resiliency Act, CRA)의 개선을 위한 권고안*을 발표
* Joint Recommendations for a Feasible Cyber Resilience Act
※ CRA는 유럽 연합 내 디지털 제품의 사이버 보안을 강화하고 현재 사이버 보안 규제 격차에 대응하기 위한 것으로, 제조사가 '소프트웨어나 하드웨어 제품, 원격 데이터 솔루션 및 시장에 별도로 출시될 수 있는 그 구성요소'의 제품 수명 주기 전반에서 사이버 위협 등으로부터의 보호를 의무화하는 법안
○ 권고안은 CRA의 범위를 명확히하고, 범위를 좁혀 다른 적용 가능한 법률과의 중복을 피하고, 국제 표준 및 기존 업계 모범 사례와 호환 되도록 할 것을 권장
- CRA의 범위 명확화 및 축소, 특히 "원격 데이터 처리 솔루션" 제외
- 디지털 요소가 포함된 제품의 위험 수준 결정 시 비례적인 위험 기반 접근 방식이 필요
- 심각한 사이버 보안 위험을 초래하는 취약점에 대해서만 CRA를 적용
- "중대한" 사건에 대해서만 관할 기관 등에 보고 의무 적용 등
* Joint Recommendations for a Feasible Cyber Resilience Act
※ CRA는 유럽 연합 내 디지털 제품의 사이버 보안을 강화하고 현재 사이버 보안 규제 격차에 대응하기 위한 것으로, 제조사가 '소프트웨어나 하드웨어 제품, 원격 데이터 솔루션 및 시장에 별도로 출시될 수 있는 그 구성요소'의 제품 수명 주기 전반에서 사이버 위협 등으로부터의 보호를 의무화하는 법안
○ 권고안은 CRA의 범위를 명확히하고, 범위를 좁혀 다른 적용 가능한 법률과의 중복을 피하고, 국제 표준 및 기존 업계 모범 사례와 호환 되도록 할 것을 권장
- CRA의 범위 명확화 및 축소, 특히 "원격 데이터 처리 솔루션" 제외
- 디지털 요소가 포함된 제품의 위험 수준 결정 시 비례적인 위험 기반 접근 방식이 필요
- 심각한 사이버 보안 위험을 초래하는 취약점에 대해서만 CRA를 적용
- "중대한" 사건에 대해서만 관할 기관 등에 보고 의무 적용 등
