자주 묻는 질문

분류는 제품이 포함하는 모든 기능이 아니라 제품의 핵심 기능을 따릅니다. 핵심 기능이 부속서 III에 명시된 카테고리와 일치하면 제품은 '중요'(등급 I 또는 II)이며, 부속서 IV와 일치하면 '핵심'이고, 그렇지 않으면 '기본'입니다. 신원 관리나 VPN과 같은 기능이 단지 하나의 기능으로만 포함된 경우, 그것이 핵심 목적이 아닌 한 제품을 '중요'로 만들지 않습니다. 둘 이상의 카테고리가 적용될 수 있는 경우 더 엄격한 등급이 적용됩니다. Art. 7

상업 활동 외부에서 개발된 비상업적 오픈소스 소프트웨어는 대체로 적용 범위 밖입니다. 오픈소스 소프트웨어 관리자는 보다 가벼운 맞춤형 의무를 가집니다. 상업 활동 과정에서 공급된 오픈소스 구성요소는 적용 범위에 포함될 수 있습니다.

독립형 서비스는 일반적으로 CRA의 적용 범위 밖입니다. 그러나 제품이 기능을 수행하는 데 필요한 원격 데이터 처리 솔루션은 해당 제품의 일부로 취급되며 적용 범위에 포함됩니다. Art. 3(2)

예. CRA는 제조자가 설립된 위치와 관계없이 EU 시장에 출시되는 제품에 적용됩니다. EU 외부의 제조자는 EU 내에 설립된 경제 운영자가 관련 의무를 책임지도록 해야 합니다.

이들은 부속서 I의 두 부분에 해당합니다: 제품이 가져야 하는 보안 속성(기본 보안, 기밀성, 무결성, 가용성, 최소화된 공격 표면, 보안 업데이트) 및 제조자가 운영해야 하는 취약점 처리 프로세스(SBOM, 시정, 조율된 공개). 부속서 I

예. 제조자는 일반적으로 사용되고 기계 판독이 가능한 형식의 소프트웨어 자재 명세서를 작성하는 것을 포함하여 제품에 포함된 구성요소를 식별하고 문서화해야 합니다. 부속서 I · II(1)

지원 기간은 제조자가 보안 업데이트를 제공해야 하는 기간입니다. 이는 제품이 합리적으로 사용될 것으로 예상되는 기간을 반영해야 합니다; 위원회 지침은 예상 사용 기간이 더 짧지 않은 한 일반적으로 최소 5년이어야 함을 제시합니다. Art. 13(8)

제품 보안에 영향을 미치는, 적극적으로 악용되는 취약점과 심각한 사고는 ENISA 및 관련 CSIRT에 통보되어야 합니다. 인지 후 24시간 이내에 조기 경보를 제출하고, 이어서 보다 상세한 통보와 최종 보고서를 제출해야 합니다. Art. 14

본 법은 2024년 12월 10일에 발효되었습니다. 보고 의무는 2026년 9월(21개월 후)부터 적용되며 대부분의 의무는 2027년 12월(36개월 후)부터 적용됩니다. Art. 71

필수 요구사항 또는 제조자 의무 위반은 최대 1,500만 € 또는 전 세계 연간 총 매출액의 2.5% 중 더 높은 금액의 벌금을 부과받을 수 있습니다. 기타 위반 및 부정확한 정보 제공에는 더 낮은 상한이 적용됩니다.

제14조 보고 의무는 2026년 9월 11일에 집행 가능해집니다. ENISA는 제16조에 따라 단일 보고 플랫폼을 구축하고 있으며, 이를 통해 제조자는 적극적으로 악용되는 취약점과 심각한 사고를 ENISA 및 국가 CSIRT에 통보하게 됩니다; 이는 그 날짜까지 운영되도록 의도되었습니다. Art. 14

위원회의 표준화 요청 M/606은 2025년에 CEN, CENELEC 및 ETSI에 의해 수락되었으며, 약 41개의 표준(수평 및 제품별)을 다룹니다. 두 개의 핵심 수평 표준(보안 개발 및 취약점 처리)은 2026년 8월 30일까지, 수직 제품 표준은 2026년 10월 30일까지, 나머지 수평 표준은 2027년 12월 전면 적용에 앞서 2027년 10월 30일까지 제공될 예정입니다. 인용된 조화된 표준을 따르면 적합성 추정이 부여됩니다. 부속서 I

귀하의 제품 등급에 해당하는 적합성 평가 경로를 수행하고, 기술 문서를 편집하며, EU 적합성 선언서를 작성 및 서명한 다음 CE 마킹을 부착하십시오. 기본 제품은 자가 평가가 가능하며, 중요 및 핵심 제품은 보다 엄격한 경로가 필요합니다. Art. 28 · 32

CRA 빠른 점검으로 적용 범위와 등급을 확인하는 것으로 시작하고, 귀하의 역할에 맞게 작성된 가이드를 따르며, 규정 준수 매트릭스를 사용하여 필수 요구사항을 완료까지 추적하십시오.