CRA

CRA 개요

• CRA(Cyber Resilience Act)는 EU 시장에 출시되는 디지털 요소가 포함된 제품의 사이버보안을 의무화하는 EU 규정입니다.
  설계·개발 단계부터 보안 설계(Secure-by-Design), 취약점 관리, 기술문서 작성을 요구하며, CE 인증(적합성)에서 사이버보안 요구사항이 필수로 요구됨.

• 책임주체 : 제조사 – 기본 책임 주체 / 수입자 · 유통자 – 적합성 확인

• 보안 취약 제품으로 인한 해킹 · 사고를 예방하기 위해 설계 단계부터 보안을 내재화하여, 신뢰할 수 있는 EU 디지털 단일시장을 구축이 목적

CRA 적용 시점별 조건 및 리스크

CRA는 2026.09부터 일부 의무가 선 적용 되며, 특히 취약점·사고 보고 의무가 먼저 적용되므로,
해당 시점부터는 사고 발생 시 대응·보고 체계가 준비되어 있어야 합니다.
또한 일부 항목은 법적 의무는 아니더라도, 원활한 대응과 운영을 위해 실무상(운영상) 사실상 필요한 요건으로 준비하는 것이 권장됩니다.
2027.12 이후에는 EU 시장에 제품을 제공하려면 대리인(AR) 및 기술문서(TD) 등 필수 요건을 충족한 경우에만 **‘조건부 판매’**가 가능합니다.

※ Class II는 보안 인프라(가상화·방화벽·IDS/IPS·변조방지 칩) 중심의 중요 제품군으로 분류 되며, Annex IV에 경우 보안요소/계측 인프라 등 파급력이
   큰 ‘핵심 디지털 제품’으로 분류되므로 해당 제품은 기술문서와 취약점·업데이트·보고 체계의 선제 구축이 중요합니다.

※ CRA는 현지대리인 지정이 필수이며, SMG KOREA를 통해 진행하실 경우 대리인 지정 및 인허가·등록 업무는 SMG EUROPE 지사에서 직접 진행하고 있습니다.