정책동향
EU CSA2(사이버보안법 개정안) 발표 — 주요 부문 사이버보안 인증 의무화, 커넥티드카 공급망 포함
보도일: 2026년 1월 20일|수집일: 2026년 5월 21일
요약
유럽위원회가 2026년 1월 20일 사이버보안법 개정안(CSA2)을 공식 발표했다. 기존 자발적 사이버보안 인증을 주요 부문에서 의무 인증으로 전환하고, ICT 공급망에 대한 EU 수준 리스크 평가 및 집행 가능한 완화 조치를 도입한다.
본문
2026년 1월 20일 유럽위원회가 기존 사이버보안법(EU Cybersecurity Act, 2019/881)의 개정안인 CSA2를 공식 제안했다. 핵심 변화는 세 가지이다. 첫째, 기존의 자발적 사이버보안 인증 제도를 주요 부문에서 의무 인증으로 전환한다. 둘째, ICT 공급망 보안에 대한 EU 수준의 리스크 평가를 도입하고 집행 가능한 완화 조치를 마련한다. 셋째, ENISA의 역할을 자문 기관에서 보다 운영적(operational)인 기관으로 재편한다. 특히 NIS 협력그룹은 이미 커넥티드·자율주행 차량(CAV)을 포함한 ICT 공급망 리스크 평가를 채택한 상태여서, CSA2 하에서 자동차 분야의 사이버보안 인증이 의무화될 가능성이 높다. ETSI는 CSA2 제100조 4항(a)에 대해 공식 반대 의견을 표명한 바 있어, 유럽 표준화 기구와 규제 당국 간의 기술적 이견도 존재한다. 유럽의회와 이사회의 정치적 합의는 2026~2027년에 이루어질 것으로 전망된다.
시사점
CSA2가 확정되면 EU 시장에 커넥티드카를 수출하는 OEM과 부품사는 기존 UN R155/CRA에 더해 EU 사이버보안 인증까지 취득해야 하는 다층적 규제 환경에 놓이게 된다. 특히 ICT 공급망 리스크 평가가 의무화되면 차량용 통신 모듈, 반도체, 소프트웨어 공급업체의 공급망 원산지와 보안 수준이 EU 차원에서 평가받게 된다. 한국 자동차 업계는 R155·CRA·CSA2 간의 요건 중복과 차이를 분석하고, 통합적인 컴플라이언스 전략을 수립해야 한다.