정책동향국제 표준
CRA vs UN R155/R156: 자동차 부품업체, 2개의 사이버보안 프로그램 동시 운영 필요
보도일: 2026년-03-01|수집일: 2026년 5월 18일
요약
EU CRA와 UN R155/R156의 병행 적용으로 자동차 부품업체가 두 개의 별도 사이버보안 프로그램을 운영해야 하는 이중 부담이 발생한다.
본문
EU에서 활동하는 자동차 부품업체들이 형식승인 차량용 UN R155/R156 프로그램과 비차량 디지털 제품(EV 충전기, 애프터마켓 기기, 진단 도구 등)용 EU CRA 프로그램을 별도로 운영해야 하는 이중 규제 부담에 직면하고 있다. 형식승인 차량 자체는 CRA 적용이 면제되지만, 차량과 함께 사용되는 디지털 제품(충전기, 대시캠, OBD 동글 등)은 CRA 적용 대상이다. CRA의 핵심 추가 요구사항은 SBOM(소프트웨어 자재 명세서) 의무화와 ENISA에 대한 24시간 이내 취약점 보고 의무다. 부품업체는 제품 포트폴리오별로 어떤 규제가 적용되는지 매핑하고, 공통 보안 프로세스를 최대한 활용하되 규제별 고유 요구사항을 별도로 관리하는 전략이 필요하다.
시사점
국내 자동차 부품업체의 EU 수출 시 R155뿐 아니라 CRA 요건까지 동시에 대응해야 하는 상황이다. SBOM 관리 체계와 취약점 보고 프로세스를 조기에 구축하여 이중 규제 부담을 최소화하는 전략이 필요하다.