[해외DS] EU, 제조업체 상대로 디지털 제품 사이버 보안 탑재 의무화

EU 집행위원회 발표한 사이버탄력성법 초안, 디지털 제품 설계, 개발 및 생산 관련 규칙 정해 다른 장치나 네트워크에 직간접적으로 연결된 유무선 제품 및 소프트웨어 전체가 적용 대상 마르그레테 베스타게르 집행위원, 제품 시장에 내놓는 사람들과 사이버탄력성법이 함께 책임진다 전해

6
pabii research

[해외DS]는 해외 유수의 데이터 사이언스 전문지들에서 전하는 업계 전문가들의 의견을 담았습니다. 저희 데이터 사이언스 경영 연구소(MDSA R&D)에서 영어 원문 공개 조건으로 콘텐츠 제휴가 진행 중입니다.

사진=AI 비즈니스

유럽연합 집행위원회가 전체 수명 주기 중 디지털 요소가 포함된 제품을 대상으로 사이버 보안 요구 사항을 의무화하는 법안을 발표했습니다. 이런 법안은 세계 어떤 곳에서도 발표된 바 없습니다.

법안의 이름은 사이버탄력성법(Cyber ​​Resilience Act, ‘사이버복원법’ 혹은 ‘사이버회복력법’으로도 번역됨)이며, 디지털 제품의 설계, 개발 및 생산에 관련된 규칙이 포함됐습니다. 무선 및 유선 제품뿐 아니라 소프트웨어까지도 법안에서 규정한 디지털 제품의 범주에 들어갑니다.

법안이 통과되면 제조업체는 자사 제품의 취약점 보완 프로세스를 마련할 의무를 지게 됩니다. 아울러 제품에 자주 악용되는 취약점이 있거나 제품과 관련된 사고가 발생했다면 그 내용 역시 보고해야 합니다.

이 법안은 ‘다른 장치나 네트워크에 직간접적으로 연결된’ 모든 제품에 적용됩니다. 단, 의료 기기/항공기/자동차 등 이미 기존의 EU 규칙에 사이버 보안 요구 사항이 존재하는 제품은 적용 대상에서 제외됩니다.

유럽연합 집행위원회의 내수정책 담당 집행위원인 티에리 브레튼(Thierry Breton)은 컴퓨터, 전화, 가전 제품, 가상 지원 장치, 자동차, 장난감 등 수억 개에 이르는 커넥티드 제품은 모두 사이버 공격의 잠재적인 시작점에 해당하지만 현재 대부분의 하드웨어 및 소프트웨어 제품에는 사이버 보안 의무가 적용되지 않는다고 지적했습니다.

또한 유럽연합 집행위원회의 경쟁 분야 담당 집행위원인 마르그레테 베스타게르(Margrethe Vestager)는 “우리는 우리가 구매하는 제품에 대해 안전함을 느낄 자격이 있다”며 “우리가 CE 마크(제품이 유럽연합의 안전/건강/소비자 보호 지침 및 요구 사항을 준수함을 인증하는 마크)가 있는 장난감이나 냉장고를 신뢰할 수 있는 것처럼, 사이버탄력성법은 우리가 구매하는 커넥티드 제품과 소프트웨어가 강력한 사이버 보안 보호 장치를 준수함을 보장할 것”이라고 말했습니다. 즉, 제품을 시장에 내놓는 사람들과 사이버탄력성법이 함께 책임을 지게 된다는 것입니다/

이 법안은 지난해 유럽연합 집행위원장 우르줄라 폰데어라이엔(Ursula von der Leyen)의 국정연설 자리에서 최초 발표된 바 있습니다.

유럽연합 집행위원회는 사이버 보안을 위원회의 최우선 과제로 보고 있다며 최근 몇 년 동안 사이버 공격이 늘어났기 때문에 보호 역시 강화해야 한다고 주장했습니다. 작년에 유럽연합 무선기기지침(Radio Equipment Directive)과 관련해 발표된 영향 평가 보고서에 따르면 (사이버 공격으로 인한) 데이터 유출 때문에 연간 약 100억 달러의 비용이 발생합니다.

한편 법안은 이제 유럽 의회와 이사회의 검토를 받아야 합니다. 법안이 채택되면 2년의 유예 기간을 거쳐 EU 회원국 전체에서 시행되는데, 취약성 보고 규정은 예외적으로 법률 시행 1년 뒤부터 적용됩니다.


The European Commission has unveiled a first-of-its-kind legislation that would mandate cybersecurity requirements for products with digital elements throughout their entire lifecycle.

The Cyber Resilience Act spells out rules covering the design, development and production of digital products — including requiring manufacturers to put in place processes to avoid vulnerabilities.

Digital products would include wireless and wired products, as well as software. Manufacturers would also be obligated to report actively exploited vulnerabilities and incidents.

“Computers, phones, household appliances, virtual assistance devices, cars, toys … each and everyone of these hundreds of millions of connected products is a potential entry point for a cyberattack,” said Thierry Breton, European Commissioner for the Internal Market, in a statement. “And yet, today most of the hardware and software products are not subject to any cyber security obligations.”

The regulation would apply to all products that are “connected either directly or indirectly to another device or network.”

Exceptions include products for which cybersecurity requirements are already set out in existing EU rules, for example, on medical devices, aviation or cars.

“We deserve to feel safe with the products we buy,” said Margrethe Vestager, European Commissioner for Competition. “Just as we can trust a toy or a fridge with a CE marking, the Cyber Resilience Act will ensure the connected objects and software we buy comply with strong cybersecurity safeguards. It will put the responsibility where it belongs, with those that place the products on the market.”

The Act was first announced by Commission president Ursula von der Leyen during her State of the European Union address in 2021.

The Commission considers cybersecurity among its top priorities — citing an increase in cyberattacks during the past few years as a factor in doubling down on protections. An impact assessment report that accompanied the Commission’s Radio Equipment Directive suggested that data breaches cost an estimated $10 billion annually.

Its new cybersecurity legislation will now be examined by both the European Parliament and Council. Should it be adopted, EU member states will have two years to adapt to the new requirements.

The vulnerability reporting rule, however, would apply one year from the date when the legislation enters into force.

Similar Posts