01이것은 무엇인가
규정은 의무를 설정합니다; 위원회 지침은 이를 실제로 적용하는 방법을 설명합니다. 지침은 구속력이 없으며 법을 변경하지 않지만, 시장 감시 당국과 인증 기관은 일관된 해석을 위해 이를 참고하므로, 다음의 자연스러운 동반자입니다 Art. 1 본문.
지침을 그것이 해석하는 조항과 함께 읽으십시오. 지침과 귀하 자신의 해석이 다른 경우, 구속력 있는 기준은 항상 규정의 본문이며 궁극적으로는 법원입니다.
02위원회 FAQ
위원회는 가장 흔한 해석 질문을 통합한 자주 묻는 질문 문서를 유지합니다: 적용 범위의 경계 사례, 예비 부품 및 구성요소의 취급, 그리고 이미 시장에 있는 제품에 일정이 어떻게 적용되는지. 2025년 12월에 처음 발행되었으며, 새로운 질문이 발생함에 따라 업데이트되는 "살아있는 문서"입니다.
CRA 이행에 관한 위원회의 FAQ를 읽으십시오: 사이버 복원력 법 이행: 자주 묻는 질문 ↗
03적용 범위 명확화
지침의 상당 부분은 다음을 다룹니다 적용 범위, 가장 많이 문의되는 단일 영역입니다. 무엇이 "디지털 요소가 포함된 제품"에 해당하는지, 원격 데이터 처리 솔루션이 어떻게 취급되는지, 그리고 분야별 법령과의 경계가 어디에 있는지를 명확히 합니다. Art. 2
- 데이터 연결; 직접 또는 간접적인 논리적 또는 물리적 연결만으로도 제품이 적용 범위에 포함됩니다.
- 제외된 분야; 의료기기, 자동차 및 민간 항공은 자체 체계의 적용을 받습니다.
- SaaS; 독립형 서비스는 일반적으로 CRA의 적용 범위 밖이지만, 제품 작동에 필요한 처리는 제품의 일부로 취급됩니다. Art. 3
04오픈소스 소프트웨어
지침은 오픈소스를 위한 맞춤형의 보다 가벼운 체제를 설명합니다. 상업 활동 외부에서 개발된 비상업적 오픈소스 소프트웨어는 대체로 적용 범위 밖이며; "오픈소스 소프트웨어 관리자"는 정의되고 비례적인 일련의 의무를 가집니다.
계기는 상업 활동입니다. 무료로 공급되었지만 상업 활동 과정에서 공급된 구성요소는 여전히 적용 범위에 속할 수 있습니다.
05지원 기간 및 업데이트
지침은 방어 가능한 다음을 설정하는 방법을 제시합니다 지원 기간: 제품이 합리적으로 사용될 것으로 예상되는 기간을 반영해야 하며, 예상 사용 기간이 더 짧지 않은 한 일반적으로 최소 5년이어야 합니다. 보안 업데이트는 무료여야 하며 기능 업데이트와 별도로 제공되어야 합니다. Art. 13
06보고 및 ENISA
보고는 ENISA가 다음에 따라 구축하고 있는 단일 보고 플랫폼을 통해 이루어집니다 Art. 16. 적극적으로 악용되는 취약점이나 제품 보안에 영향을 미치는 심각한 사고를 인지하게 되면, 제조자는 해당 플랫폼을 통해 24시간 / 72시간 / 14일의 일정에 따라 ENISA와 국가 CSIRT에 통보합니다. 지침은 조기 경보, 통보 및 최종 보고서에 각각 무엇이 포함되어야 하는지를 규정합니다. Art. 14
보고 의무는 2026년 9월 11일에 집행 가능해지며, ENISA의 단일 보고 플랫폼은 그 날짜까지 운영되도록 의도되었습니다.
07조화된 표준
다음의 필수 요구사항 부속서 I 은 결과 측면에서 표현됩니다. 조화된 표준은 일단 관보에 인용되면 이를 따르는 제품에 대해 적합성 추정을 부여합니다.
위원회의 표준화 요청 M/606 은 2025년에 CEN, CENELEC 및 ETSI에 의해 수락되었으며 약 41개의 표준을 다룹니다: 약 15개의 수평(제품 비종속) 표준과 나머지 수직(제품별) 표준. 보안 개발 및 취약점 처리에 관한 두 개의 핵심 수평 표준은 2026년 8월 30일까지; 수직 표준은 2026년 10월 30일까지; 나머지 수평 표준은 전면 적용 약 1년 전인 2027년 10월 30일까지 예상됩니다.
표준이 인용되기 전까지는 부속서 I 요구사항에 직접 대조하여 적합성을 입증해야 합니다. 관련 표준이 인용되면 이를 따르는 것이 적합성 추정에 이르는 가장 간단한 경로입니다.