EU 사이버복원력법(Cyber Resilience Act, CRA)은 2024년 10월 공식 채택되어 2024년 12월 11일 발효되었다. 전체 의무화는 2027년 12월 11일이지만, 2026년에 두 가지 중요한 중간 의무가 단계적으로 발동된다.

2026년 6월 11일부터는 적합성 평가 기관(Conformity Assessment Bodies, CABs) 통보에 관한 법적 규정이 적용된다. 이에 따라 각 회원국은 적합성 평가 기관을 설정하고, 이들 기관의 평가·지정 및 통보를 위한 필요한 절차를 구축해야 한다.

2026년 9월 11일부터는 모든 디지털 요소를 포함한 제품 제조업체가 더욱 강화된 의무를 이행하게 된다. 구체적으로 적극적으로 악용되고 있는 취약점(actively exploited vulnerabilities)을 발견할 경우 24시간 이내에 유럽 네트워크정보보안청(ENISA)에 보고해야 한다. 또한 심각한 사고(severe incidents)를 보고하기 위한 절차와 트리거를 정의해야 한다.

자동차 산업의 경우 완성 차량은 UN R155로 규율되어 CRA 직접 적용 대상에서 제외되지만, 차량에 장착되거나 연결되는 수많은 부품·소프트웨어·IoT 기기는 CRA의 적용을 받는다. 특히 Tier 1·2 공급업체의 전자제어장치(ECU), 인포테인먼트 컴포넌트, 차량간·차량-인프라 연결(V2X) 장치 등이 영향권에 포함될 수 있으며, 자동차 공급망 전반의 CRA 대응이 요구된다. CRA 위반 시 최대 1,500만 유로 또는 전 세계 연간 매출액의 2.5% 중 높은 금액의 과태료가 부과되므로, 자동차 업계의 신속한 준비가 필수적이다.