정책동향유럽(EU)
ETSI, EU Cybersecurity Act 개정안(CSA2) 제100조 4항(a)에 공식 반대 의견 표명
보도일: 2026년 4월 16일|수집일: 2026년 4월 18일
요약
유럽통신표준협회(ETSI)가 EU Cybersecurity Act 개정안(CSA2)의 핵심 조항인 제100조 4항(a)에 대해 공식 반대 의견을 제출했다. 해당 조항은 EU 사이버보안 인증 스킴의 표준 개발 체계를 근본적으로 변경하는 내용을 담고 있다.
본문
2026년 4월 16일 Help Net Security에 따르면, ETSI(유럽통신표준협회)가 현재 유럽의회에서 논의 중인 EU Cybersecurity Act 개정안(CSA2) 제100조 4항(a)에 대해 공식적으로 반대 입장을 표명했다. CSA2는 2019년 발효된 EU Cybersecurity Act(Regulation 2019/881)의 개정안으로, EU 사이버보안 인증 체계(EUCC, EUCS 등)의 거버넌스와 표준 개발 프로세스를 재편하는 내용을 담고 있다. 문제가 된 제100조 4항(a)는 ENISA에게 사이버보안 인증 스킴의 기술 표준 결정에 대한 확대된 권한을 부여하는 조항으로, ETSI는 이것이 기존의 민간 주도 표준 개발 체계(ESO: European Standardisation Organisations)를 약화시키고, 산업계의 기술적 전문성이 정책 결정에 반영되지 못하게 할 수 있다고 우려했다. 이는 자동차 분야의 EUCC 인증(Common Criteria 기반)에도 영향을 미칠 수 있어 업계의 관심이 집중되고 있다.
시사점
EU CSA2 개정 논의는 향후 유럽 시장에서의 자동차 사이버보안 인증 체계에 직접적인 영향을 미칠 수 있다. 특히 UN R155 CSMS 인증과 별도로 EU가 자체적인 사이버보안 인증 스킴(EUCC)을 강화할 경우, 유럽 수출 OEM은 이중 인증 부담을 질 수 있다. 국내 OEM과 부품사는 CSA2 입법 진행 상황을 주시하면서, EUCC와 UN R155/ISO 21434 간의 연계·차별점을 파악해 선제적으로 대비할 필요가 있다.