정책동향
EU NIS2·PLD·CRA, 자동차 산업에 다층적 사이버보안 규제 부담 가중 — Reed Smith 종합 분석
보도일: 2026년 4월|수집일: 2026년 4월 27일
요약
Reed Smith가 EU의 CRA·NIS2·PLD(제조물책임지침) 3대 규제가 자동차 산업에 미치는 복합적 영향을 종합 분석한 보고서를 발표했다.
본문
국제 법률사무소 Reed Smith가 2026년 EU 사이버보안 규제 환경의 급변이 자동차 산업에 미치는 영향을 종합 분석했다. 첫째, CRA 취약점 보고 의무가 2026년 9월 11일부터 시행되어, 적극 악용 취약점 발견 시 24시간 내 ENISA에 조기 경보를 제출해야 한다. 둘째, NIS2 독일 이행법(NIS2UmsuCG)이 2025년 12월 발효된 후 자동차 제조·부품사의 BSI 등록 의무가 진행 중이나, 3월 마감 기준 의무 대상 기업의 약 1/3만 등록을 완료한 상태이다. 셋째, 신 제조물책임지침(PLD)이 2026년 12월 9일 이행 시한을 앞두고 있으며, 사이버보안 취약점 미패치가 '제품 결함'으로 인정되어 자율주행·ADAS·커넥티드카 제조사에 엄격책임(strict liability)이 적용될 수 있다. 이 세 규제가 동시에 작동하면 자동차 산업에 다층적 규제 대응 부담이 가중된다.
시사점
EU의 CRA·NIS2·PLD 3중 규제는 자동차 공급망 전체에 걸쳐 사이버보안 투자를 강제하는 구조적 변화를 의미한다. 한국 부품사가 EU OEM에 공급하는 경우 이 세 규제를 모두 인지하고 대응해야 하며, 특히 PLD의 사이버보안 결함 엄격책임은 OTA 패치 관리의 중요성을 한층 높인다. 독일 NIS2 BSI 등록률이 1/3에 그친 현실은 업계 전체의 준비 부족을 시사하며, 한국 기업도 선제적 대응이 필요하다.