EU, 스마트 기기 보안 계획 공개

유럽연합(EU) 의원들은 '스마트' 세탁기나 연결된 장난감과 같은 인터넷 연결 하드웨어 제조업체가 장치 보안에 충분한 주의를 기울이도록 하기 위해 스마트 장치에 적용할 새로운 제품 규칙 세트를 제안했습니다.

제안된 EU 사이버 탄력성법(EU Cyber ​​Resilience Act)은 블록 전반에 걸쳐 판매되는 "디지털 요소"가 있는 제품에 대해 필수 사이버 보안 요구 사항을 도입하고 수명 주기 전반에 걸쳐 요구 사항을 적용합니다. 즉, 장치 제조업체는 새로운 취약점을 패치하기 위해 지속적인 보안 지원과 업데이트를 제공해야 합니다. - 위원회 오늘 말했다.

또한 초안 규정은 구매자가 구매 시점에 보안 고려 사항을 파악하고 구매 후 기기를 안전하게 설정할 수 있도록 스마트 기기 제조업체가 소비자에게 "충분하고 정확한 정보"를 전달하는 데 중점을 두고 있습니다.

"필수" 사이버 보안 요구 사항을 준수하지 않은 경우 위원회가 제안한 벌금은 최대 1,500만 유로 또는 전 세계 연간 매출액의 2.5%이며, 기타 규정 의무 위반의 경우 최대 1,000만 유로 또는 매출액의 2%까지 제재를 받을 수 있습니다.

EU 집행부는 제안된 규정이 "다른 장치나 네트워크에 직접 또는 간접적으로" 연결된 모든 제품에 적용될 것이라고 밝혔습니다. 단, 의료 기기와 같이 기존 EU 규정에 이미 사이버 보안 요구 사항이 명시되어 있는 제품에는 일부 예외가 있습니다. 항공과 자동차.

2008년에 업데이트된 EU 제품 법률에 대한 입법 체계를 기반으로 제안된 조치 요약에서 위원회는 다음과 같이 규정할 것이라고 말했습니다.

(a) 사이버 보안을 보장하기 위해 디지털 요소가 포함된 제품을 시장에 출시하기 위한 규칙

(b) 디지털 요소가 포함된 제품의 설계, 개발 및 생산에 대한 필수 요구 사항 및 이러한 제품과 관련된 경제 운영자의 의무

(c) 전체 수명 주기 동안 디지털 요소가 포함된 제품의 사이버 보안을 보장하기 위해 제조업체가 마련한 취약성 처리 프로세스에 대한 필수 요구 사항 및 이러한 프로세스와 관련된 경제 운영자의 의무. 제조업체는 또한 적극적으로 악용된 취약점과 사고를 보고해야 합니다.

(d) 시장 감시 및 집행에 관한 규칙.

"새로운 규정은 EU 시장에서 사용할 수 있는 디지털 요소가 포함된 제품의 보안 요구 사항 준수를 보장해야 하는 제조업체에 대한 책임의 균형을 재조정할 것입니다."라고 보도 자료에 썼습니다. "결과적으로 보안 속성의 투명성을 높이고 디지털 요소가 포함된 제품에 대한 신뢰를 증진할 뿐만 아니라 기본권을 더 잘 보호함으로써 디지털 제품을 사용하는 기업뿐만 아니라 소비자와 시민에게도 이익이 될 것입니다. 개인 정보 보호 및 데이터 보호로서."

이 계획에 대한 위원회 Q&A에는 제조업체가 "제품과 관련된 특정 요구 사항이 충족되었는지 여부를 입증하기 위한 적합성 평가 프로세스"를 거치게 될 것이라고 추가로 규정되어 있습니다. 이는 "문제의 제품의 중요성에 따라" 자체 평가 또는 제3자 적합성 평가를 통해 수행될 수 있다고 명시되어 있습니다.

해당 요구 사항에 대한 준수가 입증된 경우 장치 제조업체는 제품 보안 규정에 대한 디지털 요소의 적합성을 나타내는 EU의 CE 마크를 부착할 수 있습니다.

비준수는 집행을 담당하는 회원국이 임명한 시장 감시 당국에 의해 처리되며, 비준수 중단을 명령할 뿐만 아니라 제품 판매를 금지하거나 달리 제한함으로써 "위험을 제거"할 수 있는 권한도 제안됩니다. 시장 가용성. 관할 당국은 침해 제품을 철회하거나 회수하도록 명령할 수도 있습니다. 규제 기관 및 감시 당국에 부정확하거나 불완전하거나 오해의 소지가 있는 정보를 제공하는 경우 최대 500만 유로 또는 매출의 1%에 해당하는 벌금이 부과될 수 있습니다.