CRA는 액세스 보호, 기밀성 보호, 무결성, 가용성 및 안전한 배송 상태를 포함하여 제품에 대한 명확한 보안 요구 사항을 규정합니다. 안전한 개발 프로세스를 보장하기 위해서는 설계, 개발 및 제조 과정에서 무엇보다도 이러한 측면을 고려해야 합니다.
사이버복원력법(CRA) CRA(사이버복원력법)에서 디지털 제품을 위한 사이버 보안의 미래에 대해 알아보십시오. 더욱 안전한 디지털 시대를 위한 명확한 지침, 높은 기준, 획기적인 전략을 제공합니다.
사이버복원력법(CRA)은 사이버 보안 분야에서 획기적인 발전입니다. 이는 특히 설계에 의한 보안의 구현과 관련하여 디지털 제품 제조업체에 대한 명확한 의무를 정의합니다. CE 마크를 획득하려면 앞으로는 제품들이 최소 보안 요구 사항을 준수해야 합니다. CRA는 전체 개발 프로세스 전반에서 액세스 보호, 기밀성, 무결성 및 가용성과 같은 필수 측면을 다룹니다. 이 기사에서는 CRA가 제조업체에 제시하는 과제와 기회에 대해 살펴보고 이와 관련한 핵심 요소인 IEC 62443 국제 표준이 어떠한 역할을 수행할 수 있는지에 대해 생각합니다.
보다 안전한 디지털 시대를 위한 명확한 지침, 높은 표준 및 획기적인 전략을 규정하는 CRA(사이버 복원력법)에서 디지털 제품을 위한 사이버 보안의 미래에 대해 알아보십시오.
CRA란 무엇입니까?
CRA(사이버복원력법)는 설계에 의한 보안 전략을 추구해야 하는 디지털 제품 제조업체를 위한 명확한 지침을 제시합니다. CE 마크를 획득하려면 앞으로는 CRA 적용 대상 제품이 최소 보안 요구 사항을 충족해야 합니다. 법률 문서에서는 전체 개발 프로세스에 통합되어야 하는 액세스 보호, 기밀성, 무결성 및 가용성과 같은 측면이 특히 강조되어 있습니다. 또한 CRA는 취약성 관리뿐 아니라 제조업체가 보안 업데이트를 제공해야 하는 기간도 관리합니다.
CRA의 목표는 유럽연합의 디지털 인프라에 대한 신뢰를 강화하고 유럽 기업의 경쟁력을 글로벌 수준으로 높이는 것입니다. 이 법안은 EU 법률이므로 국내 시행이 요구되지 않으며 2024년 12월 10일에 EU 전역에서 발효되었습니다.
필수 보안 개발 프로세스와 제품 및 시스템에 대한 모든 기술 요구 사항을 다루는 국제 표준인 IEC 62443은 중요한 역할을 합니다. 이러한 일률적인 적용 범위로 인해 IEC 62443은 조화된 CRA 표준을 위한 기반이 될 수 있습니다. 취약성 관리 요구 사항을 충족하기 위해서는 모든 제품에 표준화된 소프트웨어 자재 명세서(SBOM)가 필요합니다. 모든 소프트웨어 컴포넌트에 대한 포괄적인 개요는 필수 요소입니다. 또한 알려진 취약점은 CVSS(Common Vulnerability Scoring System)와 같은 디지털 형식으로 기록되어야 합니다.
이는 누구에게 영향을 미칩니까?
CRA(Cyber Resilience Act)는 통신 기능이 있는 디지털 부품이 포함된 모든 제품에 적용되는 EU 법률입니다. CRA는 하드웨어와 소프트웨어를 모두 포함하며 New Legislative Framework에 기반합니다. 이 법은 제품을 시장에 출시할 때 충족해야 하는 구속력 있는 요구 사항을 규정합니다. 이러한 규칙을 충족하는 제품에는 CE 마크가 부착됩니다.
반대로, 이는 규정을 준수하지 않는 제품의 시장 출시가 허용되지 않는다는 것을 의미합니다. 또한 공급업체는 사이버 보안 요구 사항을 충족하지 않는 기존의 제품을 시장에서 철수시켜야 합니다.
이는 제조업체에게 무엇을 의미합니까?
제조업체는 보안 개발 프로세스의 일환으로 제품의 취약점을 적극적으로 조사하고 즉시 수정해야 합니다. 보안 업데이트는 무료로 제공되어야 하며 적용 기간은 5년입니다. CRA는 추가적인 보고 의무도 도입합니다. 제조업체는 다운로드 영역 조작 등을 통해 보안을 위협할 수 있는 제품에 대한 공격이나 적극적으로 악용되는 취약점을 인지한 경우 즉시 ENISA(유럽 연합 사이버 보안청)에 알려야 합니다.
제조업체는 시장 출시 전에 자사 제품이 규정된 표준을 준수하는지 확인해야 합니다. 평가는 중요도에 따른 제품 분류에 기반합니다. 이를 위해서는 유럽 표준을 준수하거나 공인 기관의 테스트가 요구됩니다. 여기서 주목해야 할 점은 산업 분야의 중요 인프라입니다. 이러한 맥락에서 조화된 표준의 적용 및/또는 승인된 기관과의 협력이 필요합니다.
이는 사용자에게 무엇을 의미합니까?
CRA를 통해 사용자는 더 높은 사이버 보안 표준을 충족하고 해커, 보안 취약성 또는 기타 위협으로 인한 위험이 적은 제품의 이점을 누릴 수 있습니다. 이러한 제품에는 새로운 요구 사항에 대한 적합성을 입증하는 CE 마크가 있어야 합니다.
또한 제조업체는 전체 수명 주기 동안 제품을 유지 관리하고 자동 보안 업데이트를 제공해야 합니다. 따라서 사용자는 CE 마크 제품이 보증하는 사이버 보안을 신뢰할 수 있습니다.
더 이상은 선택이 아닌 필수 요소인 사이버보안
제조업체는 안전한 개발 프로세스를 보장하고 시장 출시에 앞서 포괄적인 보안 조치를 구현해야 하는 과제에 직면해 있습니다. 이러한 과제를 해결하기 위해서는 리소스와 생산 시간에 영향을 줄 수 있는 추가 작업이 필요합니다. 새로운 법안은 보안 수준을 높이고 사이버 보안 위험을 크게 최소화함으로써 최종 사용자에게 상당한 이점을 약속합니다. 그러나 제조업체는 추가적인 노력이 필요한 몇 가지 과제에 직면해 있습니다. 그럼에도 불구하고 규정을 준수하지 않을 경우 당국이 제품 개선 또는 리콜을 요구하고 최대 1,500만 유로 또는 글로벌 연간 수익의 2.5%에 해당하는 벌금을 부과할 수 있으므로 이러한 문제에 적극적으로 대응할 가치가 있습니다.
그러나 CRA에서 정의한 기본 요구 사항이 __IEC 62443-4-2에 따른 기능 사양과 함께 IEC 62443-4-1에 따른 보안 개발 프로세스__에 포함된다는 점을 고려한다면 희망은 있습니다. 따라서 IEC 62443 표준을 구현하는 것이 좋습니다.
CRA 일정
시작 신호가 주어졌습니다. 이제는 대책을 세우고 함께 준비할 때입니다. 사이버복원력법(CRA)은 2024년 12월 10일에 공식 발표되었습니다. 모든 제품은 2026년 9월 11일까지 규정을 준수하는 취약성 관리 시스템을 갖춰야 합니다. CRA는 2027년 12월 11일부터 전면 시행되어야 하며, 모든 관련 제품은 CE 마킹을 받기 위해 요구 사항을 충족해야 합니다.
새로운 안전 기준을 충족하고 경쟁력을 확보하기 위한 조치를 취해야 할 때가 되었습니다.
포괄적인 360° 보안 개념
피닉스컨택트는 보안 제품을 핵심 요소로 통합하는 __보안에 대한 포괄적인 360° 접근 방식__을 채택합니다. 보안 제품은 IEC 62443-4-1 표준에 따라 개발되는 동시에 IEC 62443-4-2에 따른 보안 기능 요구 사항도 충족합니다. 제품 보안 사고 대응팀(PSIRT)은 취약점의 효과적인 처리를 담당합니다.
이 전략은 피닉스컨택트가 새로운 법적 요구 사항을 충족할 수 있는 유리한 입장에 있음을 의미합니다. 또한 피닉스컨택트는 고객에게 안전한 애플리케이션 솔루션과 서비스를 제공합니다. TÜV SÜD의 독립적인 인증은 IEC 62443에 따른 사이버 보안 프로세스 준수를 보여줍니다.