한국인터넷진흥원

<해외 인터넷 정보보호 법제동향 (2026년 3월) >

o EU 집행위원회는 영세(micro)·중소(small and medium-sized)기업 등 경제 주체의 「사이버복원력법」(’24.10. 제정, ’27.12 전부 시행) 준수를 돕기 위하여 동 법 제26조에 따라
   지침(guidance) 초안을 마련하고 대중의 의견을 수렴 (’26.3.3 ~ 3.31)
 - 동 지침은 「사이버복원력법」의 전체 범위를 다루는 것이 아니라, 특정 핵심 조항과 실제 적용 방안에 대한 예시 등 구체적 설명을 제공하는 비(非)구속적 성격의 안내서

o EU 「사이버복원력법」은 연합 내 디지털 요소가 있는 제품의 사이버보안 향상과 사이버 위협 대응을 위하여 디지털 요소 제품의 필수 사이버보안 요구사항 및 적합성 평가절차를 규정하고
   제조·수입·유통업자 등 경제 사업자에게 사이버보안 위험평가 및 제품 취약점 보고의무 등을 부과하고 있음
 - 동 법에 따른 적합성 평가기관 통지 내용(제4장)은 ’26년 6월 11일, 제조업체의 악용된 취약점 및 심각한 사고보고 의무(제14조)는 ’26년 9월 11일, 전부 시행은 ’27년 12월 11일에 예정

o 최근 EU 집행위원회는 동 법의 적용대상인 디지털 요소 제품의 중요·핵심 제품 범주에 대한 기술적 설명을 제공하는 이행규정((EU) 2025/2392)을 채택하고, 「사이버복원력법」 시행에 대비하여
  이해관계자의 주요 질의 및 답변자료(FAQs on the Cyber Resilience Act)를 발표한 바 있음 (’25.12) 

o 동 지침은 「사이버복원력법」상 ▲적용범위, ▲프리·오픈소스 소프트웨어(FOSS), ▲실질적 변경(Substantial modification), ▲지원기간, ▲중요·핵심 제품, ▲사이버보안 위험평가, ▲보고의무 등에 관한 설명을 제공