유럽 연합은 2025년 8월 1일까지 CE 마킹의 일부로 사이버 보안 요구 사항의 구현을 연기했습니다. 이 지연으로 제조업체는 새로운 규정에 대비할 수 있는 더 많은 시간을, 입법부는 표준을 위해 작업할 수 있는 더 많은 시간을 가질 수 있습니다. 이 블로그 게시물에서는 이러한 지연이 제조업체에 어떤 의미인지, 제조업체가 사이버 보안 준수 속도를 유지해야 하는 이유, 새로운 규정에 대비할 수 있는 방법을 살펴보겠습니다.
CE마크는 무엇인가요?
CE 마크는 유럽 경제 지역(EEA) 내에서 판매되는 제품이 건강, 안전 및 환경 보호 표준을 준수함을 나타내는 마크입니다. CE 마킹은 기계, 의료 기기, 장난감 및 건축 제품을 포함하여 EEA 내에서 판매되는 많은 제품에 대해 의무 사항입니다. CE 마크는 제품이 관련 EU 지침 및 규정의 필수 요건을 충족함을 보장합니다.
CE 마크에 사이버 보안이 포함된 이유는 무엇입니까?
2024년 8월부터 무선 장비 지침(RED)의 일부로 사이버 보안이 CE 마크에 포함되었습니다. RED는 EU에서 무선 장비의 시장 출시를 규제하고 높은 수준의 건강과 안전 보호는 물론 무선 스펙트럼의 효율적인 사용을 보장하는 것을 목표로 합니다. CE 마크에 사이버 보안 요구 사항을 포함시키는 것은 연결된 장치의 보안을 개선하고 소비자를 사이버 위협으로부터 보호하기 위한 것입니다.
사이버 보안 요구 사항의 구현이 연기된 이유는 무엇입니까?
사이버 보안을 위한 통일화된 표준의 필요성으로 인해 전 세계 제조업체와 연구소 간에 불확실성이 생겼습니다. EU는 이러한 불확실성을 해결하고 표준 개발에 더 많은 시간을 허용하기 위해 RED의 사이버 보안 요구 사항 구현 지연을 승인했습니다. 연장된 기한은 주로 조화된 표준을 완료하는 데 주어졌으며 이 날짜는 이제 제조업체가 규정 준수를 문서화할 충분한 시간을 제공하는 2024년 6월로 설정되었습니다.
제조업체에게 지연은 무엇을 의미합니까?
제조업체의 경우 지연은 이제 새로운 규정에 대비할 시간이 더 많다는 것을 의미합니다. 그러나 아직 프로세스를 시작하지 않았다면 지금 시작해야 합니다.
제조업체는 다음과 같은 몇 가지 이유로 사이버 보안 규정 준수 속도를 유지해야 합니다.
⌛ 시간: 여전히 시간은 본질입니다. 제품을 안전하게 설계하고, 생산에 투입하고, 시장에 출하해야 할 뿐만 아니라 구현 날짜까지 완전히 교체하려면 이전 제품에 시기 적절하게 수행해야 합니다.
🌍 글로벌 사이버 보안 요구 사항: 사이버 보안 요구 사항은 EU에만 국한된 것이 아니며 나머지 국가에서는 여러 이니셔티브를 도입하고 있습니다. 이것은 아시아와 아메리카 모두에 해당되며 영국만큼 EU에 가깝습니다. 더 이상 EU 회원국이 아닌 영국은 2024년 여름에 이미 필수 요구 사항을 도입하고 있습니다. 영국 요구 사항은 ETSI EN 303 645 준수에 포함됩니다.
👾 사이버 위협: 사이버 보안의 필요성은 지침에 의해 통제되지 않으며, 연결된 장치에 대한 위협은 해마다 증가하고 있습니다. 해커는 규제를 기다리지 않으며 사이버 보안 사고로 인한 브랜드 피해는 상당할 수 있습니다.
✔️ 규정 준수 입증: 규정 준수 입증은 필수이며 제조업체는 관련 표준을 준수하여 제품을 문서화해야 합니다. 유럽의 경우 IEC 또는 ETSI 표준일 수 있고 예를 들어 미국의 경우 NIST 표준일 수 있습니다. 이들은 이미 유사하며 미래에 더 통합될 가능성이 있습니다.
제조업체는 새로운 규정에 대비하기 위해 무엇을 할 수 있습니까??
제조업체는 소비자와 브랜드를 모두 보호하기 위해 사이버 보안 규정 준수에 대해 능동적으로 접근해야 합니다. 새로운 규정에 대비하기 위해 취할 수 있는 몇 가지 조치는 다음과 같습니다.
1. 사이버 보안 위험 평가:
제조업체는 자사 제품과 관련된 사이버 보안 위험을 평가하고 잠재적인 취약성을 식별해야 합니다. 또한 사이버 공격이 브랜드 평판과 재무 안정성에 미치는 잠재적 영향도 고려해야 합니다.
2. 안전한 설계 및 개발:
제조업체는 제품의 설계 및 개발에 사이버 보안을 통합해야 합니다. 그들은 제품이 보안을 염두에 두고 설계되고 개발 프로세스 전반에 걸쳐 취약점이 있는지 테스트해야 합니다.
3. 타사 테스트 및 인증:
제조업체는 제3자 연구소와 협력하여 제품이 관련 사이버 보안 표준을 준수하는지 테스트하고 인증하는 것이 좋습니다. 또한 독립적인 보안 연구원이 제품의 취약점을 테스트했는지 확인해야 합니다.
4. 문서 준수:
제조업체는 다른 요구사항을 문서화하는 것과 동일한 방식으로 관련 사이버 보안 표준 및 규정 준수를 문서화해야 합니다. 사이버 보안 테스트 및 인증 프로세스에 대한 상세한 기록을 보관하고 규제 당국에 준수의 증거를 제공할 준비가 되어 있어야 합니다.
5. 지속적인 모니터링 및 유지 관리:
사이버 보안 규정 준수는 진행 중인 프로세스이며 제조업체는 수명 주기 동안 제품의 보안을 계속 모니터링하고 유지해야 합니다. 새로운 위협과 취약성에 대응하고 그에 따라 제품을 업데이트할 준비가 되어 있어야 합니다.
결론
2025년 8월 1일까지 CE 마킹의 일부로 사이버 보안 요구 사항을 연기함으로써 제조업체는 새로운 규정에 대비할 수 있는 더 많은 시간을 가질 수 있습니다. 그러나 현실에 안주해서는 안 되며 사이버 보안 규정 준수 속도를 따라야 합니다. 제조업체는 사이버 보안에 대한 선제적 접근 방식을 취하고 이를 제품의 설계 및 개발에 통합해야 합니다. 그들은 관련 사이버 보안 표준을 준수하는지 제품을 테스트 및 인증하고 규정 준수를 문서화하기 위해 타사 연구소와 협력하는 것이 좋습니다. 이렇게 하면 사이버 보안 요구 사항이 CE 마킹의 일부가 될 때 대부분의 작업이 이미 완료된 것입니다. 그리고 사이버 보안 인증을 받는 것이 소비자가 다른 제품보다 귀하의 제품을 선택하는 이유가 될 수 있음을 잊지 마십시오.
seungyeun SONG
Seungyeun SONG Sales and Marketing in Nemko Korea