1월 31일, EU는 공식 홈페이지를 통해 "유럽 최초의 사이버보안 인증 제도"의 도입을 발표했습니다. 내부 시장 위원인 Thierry Breton은 이 제도가 ID 카드 및 라우터와 같은 제품의 사이버 보안을 보장할 것이라고 말했습니다. 이에 EUCC는 무엇이며, 유럽에서 제품의 사이버 보안을 보장하기 위해 이미 진행 중인 다른 제도와 어떻게 부합할 것인지에 대해 알아보겠습니다.
사이버보안법 및 EUCC
사이버보안법(CSA)은 2019년에 유럽의 사이버 보안을 강화하기 위한 야심찬 노력을 도입했으며 '기본, 실질적, 높음'의 3가지 보안 보증 수준을 정의했습니다. 이는 제품, 서비스 및 프로세스를 모두 포함하지만, 이 문서에서는 제품에 대한 사이버 보안에만 중점을 둘 것입니다.
EUCC(EU 공통 기준)는 CSA에 따른 자발적 인증 제도로, 보증 수준이 상당 및 높음인 제품에 대해 적용됩니다. EUCC 제도는 283페이지에 달하는 방대한 문서에 설명되어 있으며, 주로 국제 공통 기준(CC) 인증 제도를 기반으로 합니다.
CC 제도는 국제적으로 상호 인정되는 국제 인증 제도입니다.
국제 CC 체계 내에서 Europa는 이미 SOG-IS라는 내부 승인 계약을 체결했으므로 이 새로운 EUCC는 즉 기존 유럽 SOG-IS를 대체하게 됩니다.
사이버복원력법
사이버 복원력 법(Cyber Resilience Act (CRA)은 저전압 지침 및 EMC 지침과 같은 CE 마크 지침과 매우 유사합니다. 법 자체는 34페이지로 상당히 짧지만 기술 요구 사항에 대한 유럽 조화된 표준을 참조하고 있습니다. 대부분의 다른 EU 지침과 마찬가지로 CRA는 의무 사항이지만 대부분의 제품에 대해 조화 표준을 사용할 경우 자체 신고가 허용됩니다. CRA는 2024년 초부터 시행될 예정이며 2027년 초부터 의무화될 예정입니다.
무선 장비 지침(RED)
RED는 잠자고 있는 사이버 보안 조항을 발효하여 많은 사람들을 놀라게 한 다크호스로, EU의 많은 무선 제품에 대해 사이버 보안을 의무화했습니다. 의무 준수 날짜는 2024년 8월 1일로 설정되었지만 통합된 표준이 제때 발표되지 못함에 따라 2025년 8월 1일로 옮겨졌습니다.
그러나 RED의 사이버 보안 요건은 한시적이며 2027년에 CRA가 의무화되면 사이버 보안에 대한 RED 요건을 대체하여 폐지될 예정입니다.
EUCC - 이제 어떻게 해야 할까요?
이는 대부분의 제품 및 제조업체에 해당합니다. 수많은 제조업체들에게 먼저 주의해야 할 지침은 RED, 그 다음 CRA이며, 내년에 출시될 RED의 경우 매우 시급해지고 있습니다!
EUCC는 유럽에서 앞으로 시행될 새로운 제도이기 때문에 매우 중요할 것입니다. 또한 자발적인 EUCC 준수 여부는 의무적인 CRA 제도에 대한 문서로 인정될 것입니다.
하지만 EUCC의 '문제'는 무엇일까요? 왜 모두가 단순히 EUCC를 사용하여 CRA를 준수할 수 없을까요? 간단히 답하자면 일반적인 공통 기준 프로젝트는 완료하는 데 1년 이상 걸리고 10만 달러 이상의 비용이 드는 반면, CRA와 일치하는 표준을 사용하면 이보다 훨씬 적은 비용으로 완료할 수 있기 때문입니다. 전 세계적으로 활성화된 CC 인증서의 총 개수도 약 1,500개로 매우 적습니다.
결론적으로, 다음과 같은 장비 공급 업체를 위해 CC 인증서가 필요한 경우
- 방위 산업
- 핵심 인프라
- 보안 송금
EUCC는 매우 중요한 변화입니다. 그러나 대부분의 제조업체에게 중요한 것은 CRA입니다.
귀사의 제품이 다가오는 규정을 충족하는 가장 좋은 방법이 무엇인지 여전히 혼란스럽다면 넴코 노르웨이 사이버 보안 전문가와 무료 온라인 미팅을 예약하세요! (노르웨이 현지시각, 영어 화상 미팅)
사이버 보안 전문가와의 무료 온라인 회의를 예약하세요.
영국 - 2024년 4월, 필수 IoT 요구 사항 도입에 대한 웨비나 무료 신청 하기
seungyeun SONG
Seungyeun SONG Sales and Marketing in Nemko Korea