정책동향유럽(EU)
EU 집행위원회, ICT 공급망 보안 도구상자 발표 — 커넥티드·자율주행차(CAV) 전용 사이버 위험 평가 포함
보도일: 2026년 2월 13일|수집일: 2026년 4월 6일
요약
EU NIS2 협력 그룹이 ICT 공급망 보안 도구상자를 채택하고, 커넥티드·자율주행차(CAV) 전용 사이버 위험 평가를 포함 발표했다. UN R155/R156의 차량 수준 보안을 넘어 생태계 수준의 공급망 복원력을 요구하는 정책 전환을 신호한다.
본문
2026년 2월 13일, EU NIS2 협력 그룹(EU 회원국, 유럽연합 집행위원회, ENISA)은 ICT 공급망 보안을 강화하기 위한 도구상자(Toolbox)를 공식 채택했다. 이 도구상자에는 커넥티드·자율주행차(CAV)와 국경·세관 탐지 장비에 대한 두 가지 부문별 사이버 위험 평가가 포함되었다. CAV 위험 평가는 차량 제어 시스템, 데이터 처리·의사결정 시스템을 가장 중요한 자산으로 식별하고, 연결성(connectivity)과 클라우드 인프라를 주요 노출 지점으로 지목했다. UN R155와 R156이 차량 수준의 사이버보안 및 소프트웨어 업데이트 관리를 규율하지만, 보다 정교한 공급망 위협에 대응하기 위해 설계된 것은 아니라는 점을 명시했다. 도구상자는 핵심 공급업체 평가 실시, 다중 공급업체 전략 수립, 고위험 공급업체에 대한 의존성 감소를 권고한다. 현재 비구속적(non-binding) 성격이나, 1월 20일 제출된 사이버보안법(Cybersecurity Act) 개정안과 연계하여 향후 법적 구속력을 가질 가능성이 있다. NIS2 협력 그룹은 1년 내 이행 현황을 재검토할 예정이다.
시사점
이 도구상자는 자동차 사이버보안의 범위가 차량 자체(UN R155)에서 전체 공급망 생태계로 확장되고 있음을 보여준다. 한국 OEM과 Tier-1 공급업체가 EU 시장에 진출할 때, 차량 수준의 CSMS 인증뿐 아니라 클라우드 서비스, 통신 모듈, SW 개발 도구 등 공급망 전체의 보안 관리 역량이 평가될 수 있다. 특히 고위험 공급업체 의존성 감소 권고는 중국산 부품·모듈에 대한 EU의 공급망 리스크 관리 기조와 맞닿아 있어, 한국 업계의 글로벌 공급망 전략에 직접적 영향을 줄 수 있다.