정책동향EU
EU CRA Article 14 — 2026년 9월 11일 취약점·사고 보고 의무 발효
보도일: 2026년 9월 11일 발효|수집일: 2026년 5월 13일
요약
EU 사이버복원력법(CRA) Article 14에 따라 2026년 9월 11일부터 디지털 요소 포함 제품의 제조사는 적극 악용되는 취약점을 24시간 내 ENISA에 보고해야 한다. 레거시 제품에도 적용되며, 자동차 디지털 제품을 포함한 광범위한 제품군이 대상이다.
본문
EU 사이버복원력법(CRA)의 단계적 적용이 2026년 9월 11일부터 시작된다. 이 날짜부터 디지털 요소가 포함된 모든 제품의 제조사는 적극 악용되는 취약점(actively exploited vulnerability)을 발견 후 24시간 내에 ENISA 및 해당 국가 CSIRT에 조기 경보를 제출해야 한다. 72시간 내 상세 통보, 수정 조치 제공 후 14일 내 후속 보고도 의무화된다. 특히 레거시 제품에도 적용되어, 수년 전에 출시한 제품이라도 여전히 시장에 있고 악용 가능한 취약점이 발견되면 탐지 및 보고 의무가 적용된다. ENISA의 단일 보고 플랫폼(Single Reporting Platform)이 같은 날 가동된다. 자동차 제조사에게는 커넥티드 차량 기술, IVI 시스템, EV 충전 장비 등 디지털 요소 탑재 제품 전반에 적용될 수 있어 기존 UN R155 체계와의 이중 보고 부담이 예상된다.
시사점
EU CRA의 보고 의무는 자동차 산업에도 적용 범위가 확대될 수 있으며, UN R155/R156과의 중복 규제 이슈가 대두된다. 한국도 자동차관리법과 정보통신망법 간 보고 체계 정합성을 검토할 필요가 있다.