EU 사이버 복원력법(CRA) 취약점 보고 의무 — 2026-09-11 시행 대비 조사보고서

Mon, 18 May 2026 00:00:00 +0000

이 보고서에 대해

이 보고서는 Claude Code 하네스를 통해 다수의 전문 AI 에이전트가 협업해 생성되었습니다 — 1차 출처 조사부터 배경·동향 보강, 사실 검증까지. 검증 단계에서 위임법 (EU) 2026/881의 CSIRT 통지 지연 조건 기술 오류 1건이 발견·정정됐고, 과징금 근거에 CRA 원문이 1차 출처로 보강됐습니다. 모든 사실 주장은 EU 1차 출처(CRA 원문·유럽위원회·ENISA·표준)에 근거합니다.

요약 EU 사이버 복원력법(Cyber Resilience Act, CRA — Regulation (EU) 2024/2847)은 EU 시장에 출시되는 모든 “디지털 요소를 가진 제품(product with digital elements, PDE)“에 수평적 사이버보안 의무를 부과하는, EU 역사상 첫 포괄적 제품 보안 규정이다. 2024년 12월 10일 발효된 이 규정은 단계적으로 적용되며, 2026년 9월 11일부터는 제14조 보고 의무가 발효되어 제조사·수입사·유통사가 실제 악용 중인 취약점과 중대한 보안 사고를 24시간·72시간·14일 시한 안에 ENISA(유럽 사이버보안청)와 회원국 CSIRT에 통지해야 한다. 이 날짜까지 보고 워크플로우가 가동되지 않으면 최대 1,500만 유로 또는 전 세계 연간 매출 2.5%의 과징금 위험이 발생하며, 한국 기업이라도 EU 시장에 제품을 출시하면 즉시 적용 대상이 된다. A1·B1·E1

Cyber Resilience Act on OpenChain KWG

EU 사이버 복원력법(CRA) 취약점 보고 의무 — 2026-09-11 시행 대비 조사보고서