(누리일보) EU 이사회 의장국 스페인은 13일(목) EU '사이버복원력법(Cyber Resilience Act)'에 대한 수정 타협안을 제안하고, 19일(수) 법안 관련 EU 이사회 입장 확정을 추진한다.. 이하는 스페인 의장국이 제시한 수정 타협안의 주요 내용이다.
유럽의회의 동 법안 주관위원회인 산업위원회(ITRE)도 조만간 법안 관련 의회 입장을 표결 확정할 전망이며, 이후 본회의 표결을 생략하고 EU 이사회, EU 집행위와 9월경 3자협상(Trilogue)을 개시할 예정이다.
보고의무 (Reporting Obligation)
동 법안은 네트워크 연결 장비 제조사에 대해 사이버 보안사고, 또는 취약성 공격 등을 인지할 경우 이를 관계 당국에 보고하도록 의무화한다.
수정 타협안은 관련 대응 권한을 '유럽사이버보안청(ENISA)'에서 각 회원국 '컴퓨터보안사건대응팀(CSIRTs)'에 이관, 회원국에 구체적 보고 요건을 특정할 단일창구 설치를 권고했다.
회원국 CSIRT는 사이버 보안사고 등의 보고가 접수되면 이를 '단일 보고 플랫폼(Single Reporting Platform)을 통해 관계 회원국과 공유해야 한다. 다만, 사건의 민감성 등 일정한 조건에서 공유를 유예할 수 있으며, 회원국 CSIRT 협의체가 관련 조건을 확정할 예정이다.
보고의무 시한과 관련, 제조사가 특정 완화 조치를 개발 중인 경우에 부여되는 보고의무 시한의 '유연성'과 관련한 문구가 삭제됐다.
또한, 제조사는 제품 사용자에 대해 보안사건 또는 취약성 공격을 통보할 의무가 부여되며, 합리적인 시한 내 이를 이용자에 통지하지 않으면 CSIRT가 이에 개입할 수 있다.
고위험 제품 (Highly critical products)
사이버복원력법은 '고위험 제품'의 개념을 도입하여 EU 집행위에 대해 해당 제품과 관련하여 사이버보안 인증제도를 의무화할 권한을 부여했다.
수정 타협안은 이와 관련한 EU 집행위 권한을 축소, EU 이사회가 고위험 제품의 리스트를 우선 선정하고, 이후 집행위가 이를 수정할 수 있도록 규정했다.
또한, EU 집행위는 인증제도를 의무화하기 전 EU 시장의 수요공급 상황 및 각 회원국의 제도 이행 역량 및 준비 수준에 관한 영향 평가를 수행해야 한다.
고위험 제품의 경우 사이버보안법(Cybersecurity Act) 하의 '실질적(substantial)' 또는 '높은(high)' 수준의 보장을 요구하고 있으나, 수정 타협안은 해당 문구를 삭제했다.
제품 생애주기 (Product Life-cycle)
동 법은 제조사에 대해 의무적 보안 업데이트가 보장되는 제품 생애주기 표시를 의무화했다.
수정 타협안은 업데이트가 보장되는 제품의 생애주기 계산 시 고려되어야 할 요소들을 본문 규정에서 법적 구속력이 없는 전문(Preamble)으로 이동하고, 회원국 시장감시 당국의 제조사에 대한 제품 생애주기 계산 정당성 제시 권한을 삭제한다.
책임 부과
네트워크 연결 장비에 실질적 수정을 가한 경제 주체에 대해 동 법을 준수와 관련한 책임이 부여됨. 다만, 제품 고유의 목적을 수정하지 않는 보안패치의 경우 해당 책임이 면제된다.
해당 면책과 관련하여, 수정 타협안은 디지털 요소가 포함된 제품의 기능 또는 성능을 오로지 사이버보안 위험 수준을 낮추기 위해 수정한 경우로 구체적으로 정의했다.
공공기관이 단독으로 사용할 목적으로 디지털 요소가 포함된 제품을 개발 또는 수정하는 경우도 면책 대상에 포함한다.
규정 이행
EU 회원국 시장 감시 당국 간 회의는 각 회원국 단위에서 동 규정의 이행을 조율할 가이드라인을 발표할 예정이다.
스페어 부품
네트워크 연결 장비 제조사가 제품에 포함된 부품의 교체를 위한 목적으로 동일하게 제조한 구성품은 동 규정의 적용 대상에서 제외된다. 다만 이런 스페어 부품은 제품 구성품과 동일한 개발 및 생산 과정을 따라야 한다.