사이버복원력법(CRA) · 규정 2024/2847

EU 사이버복원력법(CRA), 한국 제조업체가 지금 알아야 할 것

EU에 디지털 요소를 포함한 제품을 수출한다면 CRA가 적용됩니다. 첫 마감일은 2026년 9월 11일, 전면 적용은 2027년 12월 11일입니다. 본 페이지는 적용 범위, 마감일, 그리고 한국 OEM·ODM 협력사가 받는 흐름다운 의무를 정리합니다.

무료 45분 진단 신청 컨설팅 4단계 보기
CRA란

CRA는 EU 시장에 출시되는 디지털 제품에 부과되는 규제입니다

사이버복원력법은 2024년 12월 발효된 EU 규정 2024/2847로, 디지털 요소를 포함한 모든 제품에 적용됩니다. 두 단계로 시행되며, 위반 시 과징금이 부과됩니다.

제14조 시행
2026년 9월 11일 · 악용 취약점 24시간, 심각 사고 72시간, 최종 보고 14일 신고 의무
전면 시행
2027년 12월 11일 · EU 시장에 신규 출시되는 모든 제품에 부속서 I 요건 적용
위반 시 과징금
최대 1,500만 유로 또는 전 세계 연간 매출의 2.5% 중 높은 금액
수직 의무
제품 라이프사이클 또는 최소 5년간 무상 보안 업데이트 제공

규정의 한국어 번역본은 EUR-Lex(EU 공식 법령 데이터베이스)에서 직접 확인 가능합니다.

적용 대상

자사 제품은 CRA 대상인가?

소프트웨어 또는 펌웨어를 포함하고 EU 시장에 직간접으로 투입되는 제품이 대상입니다. KOTRA 해외시장 뉴스의 EU 진출 정보와 함께 확인하시기 바랍니다.

산업용 PLC·컨트롤러
IoT 센서·접속 기기
네트워크 장비·라우터
펌웨어 탑재 가전·스마트 TV
소프트웨어 포함 의료기기 (일부)
EU 바이어 납품 임베디드 소프트웨어

적용 여부가 불확실하다면 CRA 적용 여부 확인 도구로 점검하십시오.

EU 측 실무

EU 현지에서만 가능한 세 가지 역할

한국 사내 조직만으로 처리하기 어려운 EU 측 작업을 분담합니다. 공인대리인 역할 자체는 직접 수행하지 않고 선정만 지원합니다(상세는 서비스 페이지 §대상 외).

  • EU 공인대리인 선정 지원 (CRA 제18조)

    EU 사업장이 없는 한국 제조업체가 임명해야 하는 공인대리인의 후보 비교, 계약서 검토, 24시간 응답 가능성 평가를 정리합니다.

  • EU 가맹국 공용어 기술 문서 번역

    보안 리스크 평가, EU 적합성 선언, 사용자용 보안 정보는 제품이 판매되는 EU 가맹국의 공용어로 제공되어야 합니다.

  • 시장 감시 기관 문의 대응

    EU 가맹국 시장 감시 기관이 제조업체에 직접 보내는 기술 문의에 대해, KISA ISMS-P의 사고 대응 자료를 출발점으로 답변을 정리합니다.

4단계 컨설팅 흐름과 산출물
진단 → 워크플로 통합 → 기술 문서화 → 지속 운영의 단계별 산출물은 서비스 페이지에 정리되어 있습니다.
기존 인증에서 CRA까지의 갭
ISMS-P · IEC 62443 · ISO 27001 · KCMVP · CC가 CRA 부속서 I과 어디까지 겹치는지는 서비스 페이지의 매핑 표에 정리되어 있습니다.
한국 시장 특수 쟁점

삼성·LG·현대 1차 협력사가 받는 CRA 흐름다운

자사 브랜드로 EU에 직수출하지 않더라도, 완성품을 EU에 수출하는 삼성·LG·현대 등 OEM에 납품하는 한국 협력사에는 CRA 의무가 계약을 통해 흘러내립니다.

EU 시장에서 CRA상 "제조업체"는 EU 시장에 자기 이름·상표로 제품을 출시하는 주체입니다(규정 제3조). 즉, 삼성전자가 EU에 가전·스마트폰을 출시한다면 CRA상 제조업체는 삼성전자이며, 한국의 1·2차 협력사는 직접적인 CRA 의무 주체가 아닙니다.

그러나 협력사가 부담하는 의무는 사라지지 않습니다. CRA 부속서 I 제2부는 제조업체에 공급망 보안과 SBOM 제공 의무를 부과하므로, 삼성·LG·현대는 이를 협력사 계약(품질 협약, 공급계약, 보안 부속서)으로 그대로 이전합니다. 실제로는 SBOM 제출, CVE 통보 SLA, 취약점 공개 정책 일치, 보안 패치 5년 보장 등이 협력사 SOW에 추가되는 형태로 나타납니다.

한국 협력사에 권고하는 우선순위: (1) 자사 제품이 어느 OEM의 어느 EU향 제품 라인에 들어가는지 매핑, (2) 해당 OEM이 보내는 보안 부속서 초안 입수, (3) KISA의 SW 공급망 보안 지원 사업 수혜 가능성 점검(중소기업 SBOM 구축 비용 일부 지원), (4) 에코시스템 흐름다운 가이드로 계약 협상 논점 정리.

한-EU FTA와 CRA의 관계. CRA는 한-EU FTA의 무역 자유화 조항으로 면제되지 않습니다. FTA는 관세·통관을 다루며, CRA는 제품 적합성 규제입니다. EU 시장 진입 자체에 CRA 충족이 별도로 요구됩니다.
더 읽어보기

한국 제조업체가 먼저 확인해야 할 4가지 주제

진단을 신청하기 전에 사내 검토에 활용할 수 있는 주제별 가이드입니다.

개요 및 마감일

한국 제조업체를 위한 EU CRA 완전 가이드

2026년 9월 11일 ENISA 신고 의무, 2027년 12월 11일 전면 적용. 두 마감일의 구분과 우선순위, SBOM·EU DoC·기술 파일 실전 로드맵.

가이드 읽기 제품 분류

CRA 제품 분류 가이드

부속서 III·IV 기준의 일반 제품·중요 제품 Class I/II·핵심 제품 구분. 자체 평가 가능 여부와 제3자 인증 필수 조건.

분류 기준 보기 ISMS-P · CRA 연결

ISMS-P 인증과 CRA의 근본적인 차이

조직 인증(ISMS-P)과 제품 규제(CRA)의 범위 차이. 재활용 가능한 통제와 별도로 준비해야 하는 항목.

매핑 보기 B2B 납품 구조

삼성·LG 에코시스템 협력사의 CRA 대응

EU 수입업체를 경유하는 납품 구조에서 CRA 의무 귀속. OEM·ODM 계약상 SBOM·취약점 정보 제공 의무 실무 쟁점.

공급망 쟁점 보기
CRA Evidence 플랫폼

영문 SaaS 플랫폼도 함께 제공합니다

CRA Evidence는 컨설팅만 제공하는 서비스가 아닙니다. SBOM·HBOM, 취약점 관리, VEX, 부속서 VII 기술 문서, 감사 대응 증적을 한곳에서 관리하는 영문 SaaS 플랫폼도 운영합니다. 한국 제조업체는 먼저 진단에서 제품 분류, EU 수출 구조, 기존 인증과의 격차를 확인한 뒤 컨설팅 중심으로 갈지, 플랫폼을 함께 쓸지 결정하는 편이 안전합니다.

무료 45분 진단 신청 영문 플랫폼 보기
자주 묻는 질문

한국 제조업체에서 자주 받는 세 가지 질문

전체 Q&A는 한국 제조업체 FAQ에 정리되어 있습니다.

한국에 본사가 있어도 CRA가 적용됩니까?

예. 디지털 요소를 포함한 제품을 EU 시장에 투입하는 경우 본사 소재지와 무관하게 CRA가 적용됩니다. EU 역외 기업에 대한 면제 규정은 없습니다.

전체 답변 읽기

EU 수입업체를 경유해 판매해도 CRA가 적용됩니까?

적용될 수 있습니다. EU 고객이 자체 브랜드로 출하하는 OEM 구조에서는 CRA상 제조업체가 EU 고객이 되지만, 한국 제조원은 SBOM과 취약점 정보를 적시에 제공할 계약상 의무를 부담합니다.

전체 답변 읽기

주요 마감일과 위반 시 과징금은?

2026년 9월 11일부터 ENISA에 24시간 조기 경보·72시간 완전 통지 의무. 2027년 12월 11일부터 전면 적용. 위반 시 최대 1,500만 유로 또는 전 세계 연간 매출의 2.5% 중 높은 금액.

전체 답변 읽기

EU 현지 컨설팅 · 본사 Oviedo, 스페인 (Senda Tech Solutions S.L., 2026년 설립). 회사 정보는 소개 페이지에서 확인 가능합니다.

먼저 진단부터 받아보십시오

제품의 CRA 분류와 주요 갭을 45분 만에 파악합니다. 의무 없는 무료 세션입니다.

무료 45분 진단 예약