해당 사항이 있습니까?
제품에 소프트웨어 또는 펌웨어가 포함되어 있고 EU 국가에 판매하는 경우 적용 대상일 가능성이 높습니다. 적용 여부 확인 도구를 사용하여 확인하십시오.
CRA가 귀사 제품에 적용되는지 확인하십시오 →귀사의 역할: 제조업자입니까, 수입업자입니까?
EU 유통업자 또는 수입업자를 통해 판매하더라도, 2027년 이후 주문 전에 준수 문서를 계약상 요구받게 됩니다.
CRA가 요구하는 문서
- SBOM(소프트웨어 부품표) — 제품에 포함된 모든 소프트웨어 구성 요소의 완전한 목록
- 취약점 공개 프로세스 및 공개 연락처
- 제품 설계 및 보안 조치를 문서화한 기술 문서
- EU 적합성 선언(EU DoC)
- 제품에 CE 마킹 부착
- 필요한 EU 시장 언어로 된 사용자 설명서
지속적인 의무
- 출하된 구성 요소에 영향을 미치는 새로운 CVE 모니터링
- 제품 수명 기간(최소 5년) 동안 보안 업데이트 제공
- 적극적으로 악용되는 취약점이 발견된 경우 24시간 이내에 ENISA에 통지
- 보안 사고 보고: 24시간 조기 경보, 72시간 전체 통지, 30일 최종 보고서
주요 용어
유용한 무료 도구
- Syft 및 cdxgen — 코드베이스 또는 컨테이너에서 SBOM 생성
- Trivy — 구성 요소에 대한 CVE 스캔
- OSV.dev — 패키지 이름 및 버전으로 CVE 조회