규정 (EU) 2024/2847에 대한 독립 가이드 · 상태: 발효 중
이 페이지는 자동(AI) 번역이며 사람이 검토하지 않았습니다.
CRA 이해 · 신고

CRA 사고 및 취약점 신고

2026년 9월 11일부터 제조자는 제14조에 따라 적극적으로 악용되는 취약점과 심각한 사고를 신고해야 합니다. 신고 대상, 24시간·72시간·14일 기한, 수신 기관에 대한 내용입니다.

약 8분 소요제14조 · 제16조2026년 9월 11일부터 적용

01신고 대상

해당 규정의 제14조 사이버 회복력법 디지털 요소 제품 제조자에게 두 가지 별개의 신고 의무를 부과합니다. 이는 처음 보기보다 범위가 좁습니다: 일상적인 버그와 일반 패치는 신고 대상에 포함되지 않습니다. Art. 14

  • 적극적으로 악용되는 취약점; 공격에 사용되고 있는 제품의 취약점을 의미합니다. 악용되기 전에 발견하여 패치한 취약점은 일반 취약점 처리 프로세스, 이 신고 채널이 아닙니다.
  • 심각한 사고; 제품 보안에 심각한 영향을 미치는 사고, 예를 들어 사용자의 기밀성, 무결성 또는 가용성을 침해하는 사고를 의미합니다.
테스트

제품의 보안 취약점이 적극적으로 악용되고 있거나 보안 사고가 제품에 심각한 영향을 미친 경우 제14조 시한이 시작됩니다. 그 외의 모든 사항은 일상적인 취약점 처리 절차 내에서 처리됩니다.

02세 가지 기한

각 신고는 세 단계로 이루어지며, 귀사가 인지한 시점부터 악용된 취약점 또는 심각한 사고의. 기한이 촉박하기 때문에 실제 당일에는 프로세스보다 사전 준비가 더 중요합니다. Art. 14(2)–(4)

  • 24시간 이내조기 경보. 적극적으로 악용되는 취약점 또는 심각한 사고 발생에 대한 최초 신고로, 불법 또는 악의적 행위로 인한 것으로 의심되는지 여부를 포함합니다.
  • 72시간 이내취약점 / 사고 신고. 초기 평가, 심각도 및 영향, 그리고 가능한 경우 취해진 시정 또는 완화 조치를 포함한 더욱 상세한 보고입니다.
  • 14일 이내최종 보고서. 시정 조치가 가능해진 후: 취약점 또는 사고에 대한 설명, 심각도 및 영향, 적용된 해결책. 사고의 경우 기한은 사고 처리 완료 시점부터 기산됩니다.

03신고 대상 기관

신고 대상 ENISA 및 해당 조정 담당 CSIRT 해당 회원국에 대해. 각 기관에 별도로 연락하지 않아도 됩니다: CRA는 다음을 확립합니다 단일 신고 플랫폼, ENISA가 구축·운영하며, 모든 신고의 공통 창구 역할을 합니다. Art. 14 · 16

플랫폼은 각 신고를 관련 국가 CSIRT 및 필요한 경우 다른 기관으로 전달합니다. 공개가 불균형적인 사이버 보안 위험을 초래하는 경우 등 제한된 상황에서는 규정상 신고를 제한할 수 있으나, 기본적으로는 플랫폼을 통한 완전하고 신속한 신고가 원칙입니다.

현황 · 2026년 중반

단일 신고 플랫폼은 아직 일반적으로 이용 불가. ENISA는 아직 구축 중이며(개발 입찰 및 계약 완료), 사전 등록·온보딩·예비 운영 자료를 공개하고 있습니다. 2026년 9월 11일 시행일 이전에 시험 운영 기간을 두고 정식 운영할 예정으로, 현재 등록 가능한 실제 플랫폼은 없습니다.

04시작 시점

신고 의무는 CRA에서 가장 먼저 발효되는 주요 사항입니다. 대부분의 조항은 2027년 12월 11일부터 적용되지만, 제14조는 다음부터 적용됩니다 2026년 9월 11일; 법령 발효 후 21개월 시점입니다. 단일 신고 플랫폼은 해당 날짜까지 운영될 예정입니다. Art. 71

이것이 첫 번째 중요한 기한인 이유

제품 출시 전 한 번 완료하는 CE 마킹과 달리, 신고는 2026년 9월에 시작되어 이후 언제든지 발동될 수 있는 지속적인 의무입니다. 준비는 일회성 프로젝트가 아닙니다.

아직 확정 중

정확한 형식 및 절차 신고에 대한 사항은 집행위원회 이행 법령을 통해 추가로 규정될 수 있으며, 해당 조화 표준 취약점 처리를 뒷받침하는 요소는 다음 시기에 확정될 예정입니다 2026년 8월 30일. 두 가지 모두 의무 시행 직전에야 확정될 예정입니다. 실질적 시사점: 최종 플랫폼 운영 방식이나 공개된 신고 양식을 기다리지 말고 지금 즉시 내부 탐지·신고 프로세스를 구축하십시오. 의무는 2026년 9월 11일부터 어떤 경우에도 적용됩니다.

05준비 방법

24시간 기한을 준수하는 것은 서류 작업이 아닌 운영 문제입니다. 이 기한을 달성할 수 있는 제조자는 이미 제품 구성 요소를 파악하고 지속적으로 모니터링하는 업체입니다.

  • 정확한 SBOM 유지; 출하 여부조차 몰랐던 구성 요소에 대해서는 신고할 수 없습니다. 소프트웨어 자재 명세서(SBOM)를 유지·관리하고 릴리스 변경에 따라 최신 상태를 유지하십시오.
  • 지속적으로 모니터링하십시오; 알려진 취약점 데이터베이스와 구성 요소를 대조하여 적극적으로 악용되는 결함이 몇 주가 아닌 몇 시간 내에 발견되도록 합니다.
  • 프로세스를 사전에 정의하십시오; 신고 여부를 결정하는 담당자, 초안 작성자, 제출자를 지금 결정해 두어 내부 보고 절차에 시간을 낭비하지 않도록 하십시오.
  • 기본 요건을 추적하십시오; 해당 적합성 매트릭스 신고를 이를 포함하는 더 광범위한 부속서 I 취약점 처리 의무와 연결합니다.

해당 SBOM 및 취약점 분석기 처음 두 가지를 다룹니다: 자재 명세서를 NVD 및 EU 취약점 데이터베이스(EUVD)와 대조 추적하여 적극적으로 악용되는 구성 요소가 24시간 기한 내에 표시됩니다.

취약점 분석기 열기 →CRA, 설명 →

06자주 묻는 질문

CRA에 따라 무엇을 얼마나 빨리 신고해야 합니까?

제품 보안에 영향을 미치는 적극적으로 악용되는 취약점 및 심각한 사고. 인지 후 24시간 이내에 조기 경보를, 72시간 이내에 상세 신고를, 시정 조치 가능 시점으로부터 14일 이내에 최종 보고서를 제출해야 합니다. Art. 14

신고 의무는 언제 시작됩니까?

2026년 9월 11일; 법령 발효 후 21개월 시점으로, 2027년 12월 11일 전면 적용보다 훨씬 앞선 시기입니다.

누구에게 신고해야 합니까?

ENISA가 제16조에 따라 구축한 단일 신고 플랫폼을 통해 ENISA 및 조정 담당으로 지정된 국가 CSIRT에 신고합니다. 별도로 신고하는 것이 아닌 단일 창구 방식입니다.

모든 버그 또는 취약점을 신고해야 합니까?

아니요. 적극적으로 악용되는 취약점과 심각한 사고만 신고 대상입니다. 악용 전에 발견하여 수정한 취약점은 일반 취약점 처리 프로세스를 통해 관리됩니다.

ENISA의 단일 신고 플랫폼을 현재 이용할 수 있습니까?

아직 없습니다. 2026년 중반 기준으로 제16조에 따라 아직 구축 중이며, ENISA는 사전 등록 및 예비 운영 자료를 공개하고 있으며 플랫폼은 2026년 9월 11일 이전 시험 운영 기간을 거쳐 정식 운영될 예정입니다.

현재 표준 신고 형식 또는 양식이 있습니까?

최종 양식은 아직 없습니다. 집행위원회는 이행 법령을 통해 신고 형식 및 절차를 추가로 규정할 수 있으며, 취약점 처리를 뒷받침하는 조화 표준은 2026년 8월 30일경 확정될 예정입니다. 공개된 절차를 기다리지 말고 지금 내부 프로세스를 준비하십시오. 의무는 2026년 9월 11일부터 어떤 경우에도 적용됩니다.

계속 읽기

관련 참조

§CRA, 설명

적용 범위, 등급, 의무 사항 및 전체 일정을 쉬운 언어로 설명합니다.

§SBOM 및 취약점 분석기

24시간 기한을 준수하기 위해 NVD 및 EUVD를 기준으로 구성 요소를 추적하십시오.

§전체 규정

Regulation (EU) 2024/2847의 구속력 있는 조문인 제14조 및 제16조.

§자주 묻는 질문

이해관계자의 일반적인 질문에 대한 간결한 답변(참고 자료 포함).