유럽연합, 사이버 보안 인증 기준 개정안 발표
제목: "EU, 사이버 보안 인증 표준 전환 및 관리 규정 개정"
발효일: 2025년 1월 8일
유럽연합(EU)은 사이버 보안 인증 체계(EUCC)에 대한 규정을 개정하여 최신 국제 표준을 반영하고, 인증 및 평가 절차의 명확성을 강화하는 새로운 규정을 발표했습니다. 이 규정은 EU 사이버 보안법(2019/881)을 기반으로 하며, 기술 및 관리 표준 전환에 대한 구체적인 지침을 제시합니다.
주요 내용
1. 국제 표준 업데이트
- 적용 표준 명시: ISO/IEC 15408(공통 평가 기준)과 ISO/IEC 18045(공통 평가 방법론)의 2022년 최신 버전을 공식적으로 채택.
- 과도기 운영: 이전 버전(2009~2012) 기준으로 인증 발급이 가능하나, 2027년 12월 31일까지만 허용.
2. 인증 전환 정책
- 인증서 발급은 보호 프로파일 또는 기술 도메인에서 이전 표준을 사용한 경우에도 인정 가능.
- 초기 인증서 발급 후 2년 이내에 새로운 인증서를 발급하는 경우, 이전 표준 적용 허용.
3. 기술적 변경 및 업데이트
-
기술 도메인 평가 기준 명시:
- 스마트카드, 보안 하드웨어 장치 등의 기술 도메인에 대한 세부 평가 문서 제공.
- 최신 문서 목록은 ENISA(유럽 네트워크 및 정보 보안국) 웹사이트에서 확인 가능.
-
새로운 인증 기준 적용:
- 2025년 7월 8일 이후 발급 또는 갱신되는 인증은 개정된 IT 평가 시설 기준(ITSEFs)을 따라야 함.
- 인증 기관(CBs) 기준도 동일한 날짜에 적용 시작.
-
유지보수 보고서 요구사항 추가:
- 인증 변경 사항이 경미한 경우, 새로운 인증서 대신 유지보수 보고서를 발행해야 함.
- 보고서는 ENISA 웹사이트에 게시.
4. 관리 체계 정비
- 단일화된 인증 절차: 인증 기관의 평가 및 인증은 명확히 정의된 국제 표준 및 EU 법규를 준수해야 함.
- 수정 및 오류 정정: EUCC 관련 기존 규정의 문구와 구조를 명확히 정비.
기대 효과
이번 규정 개정은 EU 사이버 보안 인증 체계의 국제적 일관성을 보장하고, 최신 기술 도입을 위한 과도기적 유연성을 제공하며, 인증 과정에서의 투명성과 신뢰를 강화하는 데 기여할 것으로 기대됩니다.
출처: EU 시행 규정 2024/3144.