사이버 복원력법(CRA · 규칙 (EU) 2024/2847) 제18조 제1항에 따라 제조업체는 서면 위임을 통해 EU 공인대리인을 선임할 수 있습니다. MDR 제11조 또는 RED 제5조와 달리 CRA에서 선임은 임의입니다. 본 페이지에서는 제18조 제3항이 정하는 공인대리인의 업무, 제18조 제2항에 따라 위임할 수 없는 의무, 제19조의 수입업자와의 관계, 그리고 실무상 선임 판단의 핵심을 한국 제조업체를 위해 정리합니다.
CRA 제18조의 EU 공인대리인에 대해 판단 전에 짚어야 할 6가지를 정리합니다.
CRA 제18조 제1항에 따라 공인대리인 선임은 임의입니다. 판단의 기준은 법적 필요 여부가 아니라 EU 역내 연락 창구를 두는 운영상의 이점이 위임 계약 비용을 상회하는지라는 운영 판단입니다. 한국 역외 제조업체를 위한 판단 순서는 다음과 같습니다.
위 어느 단계에서도 공인대리인을 선임하지 않는 것 자체가 CRA 위반이 되지는 않습니다. CRA는 공인대리인 부재에 대한 제재를 두고 있지 않습니다. 위 항목은 실무 판단을 위한 요소이며, 규제 대상 분야의 역외 제조업체 다수는 운영상의 이점이 위임 비용을 상회한다고 판단하여 선임에 이릅니다.
위임의 범위는 제조업체가 서면으로 정하지만, 제18조 제3항은 위임에 포함되어야 할 최소한의 업무로 다음 3가지를 규정합니다. 시장 감시 기관이 가장 먼저 확인하는 것도 이 3가지입니다.
공인대리인은 제28조의 EU 적합성 선언과 제31조의 기술 문서를 제품이 시장에 출시된 후 10년 또는 지원 기간 중 더 긴 기간 동안 시장 감시 기관의 열람에 제공할 의무를 부담합니다.
CRA Evidence에서의 뒷받침: 문서 보관소에 10년 보존 정책(요금제 변경 시에도 삭제되지 않음), Sigstore 키리스 서명에 의한 부인 방지, 부속서 VII의 ZIP 번들 내보내기를 지원합니다.
시장 감시 기관의 합리적 요청(reasoned request)에 대해 제품의 적합성을 입증하는 데 필요한 정보와 문서를 제공합니다. 응답 기한과 응답 방법은 당국의 지정에 따릅니다.
CRA Evidence에서의 뒷받침: 당국 요청 서비스(AUTH-YYYY-NNNN 형식의 번호 관리, 기한 관리, 초과 감지)와 응답 패키지 자동 생성(매니페스트, 제품 정보, SBOM · HBOM · VEX · 인증서를 1클릭으로 ZIP 번들).
공인대리인의 권한 내에서 당국 및 제조업체와 협력하여 제품이 야기하는 위험을 제거하기 위해 취해지는 조치에 협조합니다. 취약점 처리, 시정 조치, 시장 회수 · 리콜 등이 대상입니다.
CRA Evidence에서의 뒷받침: 당국 요청의 라이프사이클 관리(접수 → 확인 → 대응 중 → 응답 완료 → 종결), VEX 자동화(CycloneDX · CSAF · OpenVEX), 시정 조치의 감사 추적. 제14조의 ENISA 신고 워크플로(24시간 · 72시간 · 14일)는 현재 개발 중입니다.
제18조 제2항에 따라 제13조 제1항 ~ 제11항, 제13조 제12항 제1단, 제13조 제14항의 실체적 사이버보안 의무(필수 요건, 취약점 처리 프로세스, 적합성 평가)는 위임 대상에서 명시적으로 제외됩니다. 공인대리인을 선임해도 이러한 본체 의무는 제조업체에 남습니다.
제18조의 공인대리인과 제19조의 수입업자는 별개의 역할이며, 발생 근거와 의무 범위 모두 독립적입니다. 한쪽이 다른 쪽을 대체하지 않습니다. 동일한 EU 역내 법인이 두 역할을 겸하는 것은 가능하지만, 서면 위임은 별도로 필요합니다.
실무상의 함의: 공인대리인 선임은 누가 제품을 EU 시장에 출시하는가와는 독립된 판단입니다. EU 수입업자가 있다고 해서 제조업체의 사이버보안 의무가 면제되지 않으며, 공인대리인이 있다고 해서 수입업자의 제19조 의무가 면제되지 않습니다. 하나의 EU 역내 주체에 양 역할을 위임하는 경우, 공인대리인으로서의 서면 위임을 상업 계약과 구분하여 체결하고, 양 기능을 보장하는 보험을 확보해야 합니다.
MDR · RED · RoHS 등에서 이미 대리인 사무소와 관계가 있는 경우, 그것을 출발점으로 삼는 것이 합리적입니다. 그 위에 CRA 특유의 확인 사항으로 다음을 짚어야 합니다.
EU 27개 회원국 중 한 곳에 등기된 법인격과 소재지 · 연락 담당자를 보유할 것. 서면 위임의 상대방으로 명확할 것.
CRA 범위 및 부속서 III 분류에 명시적으로 대응한 직업 배상 책임 보험(PI)의 확보. 문서 관리 위험을 보장하는 조항.
MDR · RED 사이버보안 위임행위 · RoHS 등의 실적. CRA 운영에 필요한 당국 대응 경험을 입증할 수 있을 것.
10년 보관 의무에 대응하는 문서 관리 기반(변조 감지가 결합된 감사 추적, 당국 대응 내보내기, 인계 절차)을 보유할 것.
당국에 대한 책임을 부담하는 개인명(자연인)이 명시될 것. 법무팀의 종합 연락처에 그치지 않을 것.
제18조 제3항(c)의 시정 조치 협력을 관계 회원국 당국의 사용 언어로 수행할 수 있는 체제.
제조업체가 문서 보관을 사내에서 수행하는 경우, 외부의 공인대리인에 위임하는 경우, EU 수입업자와 분담하는 경우 어느 쪽이든 운영해야 할 작업은 동일합니다. 즉 기술 문서를 완전한 상태로 유지하고, 당국의 합리적 요청에 제출하며, 시정 조치를 기록하는 3가지입니다. CRA Evidence는 공인대리인의 유무와 관계없이 이러한 운영을 담당하는 플랫폼입니다.
EU 적합성 선언, 부속서 VII 번들, SBOM · VEX · 위험 평가를 10년 보존 정책 아래 관리하고, 변조 감지가 결합된 감사 추적을 유지합니다.
당국 조회에 대해 번호 관리된 사안, 명확한 기한, 1클릭 응답 패키지로 대응합니다. 여러 드라이브를 가로질러 문서를 찾는 사태를 피합니다.
AUTH-YYYY-NNNN 형식으로 번호 관리하고, 기한 · 초과를 감지.취약점 처리, VEX, 시정 조치 기록은 동일한 감사 추적 기반에 기록되므로 누가 무엇을 언제 수행했는지 당국에 제시할 수 있습니다.
공인대리인을 선임하는 경우 위임은 대리인 사무소를 향합니다. 어느 형태이든 증거는 CRA Evidence 위에서 움직입니다. 제18조 운영을 실제 화면에서 확인하려면 무료 진단을 신청해 주십시오.
CRA 본문의 일차 자료를 확인할 수 있는 링크와 제18조 제1항의 영어 원문을 아래에 제시합니다.
제18조 제1항 (영어 원문):
A manufacturer may, by a written mandate, appoint an authorised representative.
출처: EUR-Lex CELEX 32024R2847, 제18조 제1항(영어판)
참고 번역 (CRA Evidence에 의한 한국어 요약. 법적 구속력이 있는 공식 한국어 번역은 존재하지 않습니다):
제조업체는 서면 위임을 통해 공인대리인을 선임할 수 있다.
제18조 전문 보기 (EUR-Lex 영어판) →참고: 제19조(수입업자의 의무)도 동일한 EUR-Lex 페이지에서 참조할 수 있습니다. 제18조 제3항(a)(b)(c)의 업무 및 제18조 제2항의 위임 불가 의무(제13조 제1항 ~ 제11항, 제13조 제12항 제1단, 제13조 제14항)의 본문은 위 영어판에서 확인해 주십시오.
제18조 제3항(a)(b)(c)의 업무(DoC · 기술 문서 10년 보관, 당국 요청 대응, 시정 조치 기록)를 실제 화면에서 보실 수 있습니다. 대리인을 선임하는 경우, 사내에서 운영하는 경우, 수입업자와 분담하는 경우 모두 증거는 CRA Evidence 위에서 움직입니다. 한국 제조업체 대상 무료 진단을 제공합니다.