ANNEX I §1 · 필수 요구사항
취약점 회복력으로 설계된 제품
교육은 일반적인 Annex I §1 위반을 예방하는 보안 코딩 패턴 — 기본 거부, 입력 검증, 출력 인코딩, 무결성 보호 — 을 제공하므로, 디지털 요소가 포함된 제품은 패치 주기에서 사후에 보강되는 것이 아니라 설계 단계에서 회복력 있게 출시됩니다.
컴플라이언스 · EU CRA · ANNEX I
다음을 위해 설계된 보안 코딩 교육
EU Cyber Resilience Act — Annex I
CE 마킹 적합성 평가가 기대하는 증거를 — 2027년 후반 마감 전에 — 생성하는 언어별, 실습 중심의 개발자 교육입니다.
15+언어
Annex I매핑됨
적합성 대응증거
· CRA에 매핑하는 방법 ·
모든 조항, 설계 단계에서 충족
CRA는 핵심 요소 — Annex I 필수 사이버 보안 요구사항, 취약점 처리, 적합성 평가, 사고 보고 — 를 명시합니다. 저희 플랫폼은 동영상 라이브러리에 덧붙여진 것이 아니라, 각각을 충족하도록 처음부터 설계되었습니다.
ANNEX I §2 · 취약점 처리
제조사 방식으로 처리하고 공개
Annex I §2는 제조사가 제품 수명 전반에 걸쳐 취약점을 처리하고 공개할 의무를 부과합니다. 교육은 적합성 평가 중에 감사인이 검토하는 SBOM 생성, CVE 분류, 그리고 조율된 공개 워크플로를 다룹니다.
ARTICLE 13 · 적합성 평가
기술 문서로 흘러 들어가는 문서
Article 13은 적합성을 입증하는, 개발 중에 생성된 문서를 요구합니다. 교육 기록, 보안 설계 리뷰 증거, SDLC 산출물은 모두 기술 문서로 흘러 들어가며 — 통보 기관의 검사를 견뎌냅니다.
ARTICLE 14 · 사고 보고
24시간 조기 경보, 72시간 초기 보고, 14일 최종 보고
Article 14는 엄격한 주기를 설정합니다: 24시간 조기 경보, 72시간 초기 평가, 14일 최종 보고서. 교육은 엔지니어링 측면 — 탐지, 분류, 제조사가 각 보고를 방어하기 위해 보존해야 하는 산출물 — 을 다룹니다.
· 증거 패키지 ·
적합성 검토자가 즉시 받을 수 있는 것
CRA 기술 문서 검토를 진행하는 통보 기관 또는 내부 적합성 검토자는 특정 산출물을 찾습니다. 저희 플랫폼은 그 중 일곱 가지를 — 자동으로, 지속적으로, 검토자가 읽는 형식으로 — 생성합니다.
01
개발자별 교육 이수 기록
Annex I §1 필수 사이버 보안 요구사항 및 §2 취약점 처리 통제에 대한 명시적인 상호 참조를 포함한 학습자별 이수 기록을 제공합니다.
02
범위 내 언어에 매핑된 커리큘럼
Annex I §1의 기반이 되는 OWASP 카테고리에 매핑된 언어별 커리큘럼 — 교육 콘텐츠와 규제 간의 연결이 암시적이 아니라 명시적입니다.
03
역량 평가 결과
입증된 역량 — 개발자별, 주제별 — 으로 학습자가 단순히 세션에 참석하는 것이 아니라 Annex I 위반을 인식하고 회피할 수 있음을 증명합니다.
04
보안 설계 리뷰 증거
각 주요 릴리스에 적용된 보안 설계 리뷰 증거 — 적합성 평가자가 기술 문서에서 찾는 Article 13 연결 지점입니다.
05
취약점 처리 워크플로 기록
SBOM, CVE 분류, 조율된 공개를 다루는 교육 기록 — 제조사의 프로세스가 인력으로 운영되고 역량을 갖추고 있음을 증명하는 Annex I §2 연결 지점입니다.
06
적합성 평가 보조 문서
기술 문서의 일부로 패키징된 교육 기록 — Article 13 적합성 평가가 첫 검사에서 찾을 것으로 기대하는 문서 세트입니다.
07
버전 관리된 커리큘럼 업데이트
ENISA 위협 환경 및 최신 Annex I 명확화 사항에 정렬된 커리큘럼 버전 관리를 적합성 검토자가 검사할 수 있는 변경 이력과 함께 제공합니다.
· CRA 적용 가능성 · 2027년 후반 ·
보안 개발 교육이 CE 마킹 장애물이 되지 않도록 하십시오.
30분 통화면 저희가 귀사의 CRA 적합성 일정에 적합한 파트너인지 충분히 파악할 수 있습니다. Annex I를 팀에 안내하고, 저희 프로그램을 귀사의 스택과 제품 포트폴리오에 매핑하며, 적합성 검토자가 이미 수용한 증거 패키지를 보여드립니다.
· 자주 묻는 질문 ·
EU CRA 및 사이버 보안 컴플라이언스에 대한 답변
제조사가 CRA 프로그램 범위를 설정할 때 가장 자주 묻는 질문 — 사이버 보안 컴플라이언스가 Annex I와 어떻게 상호작용하는지, 감사가 무엇을 살펴볼지, 개발자 교육이 어디에 자리잡는지 — 입니다.
EU CRA 하에서 사이버 보안 컴플라이언스란 무엇입니까?
EU Cyber Resilience Act 하에서 사이버 보안 컴플라이언스란 제조사가 — 기술 문서 내 문서화된 증거를 통해 — 디지털 요소가 포함된 제품이 지원 수명 기간 동안 Annex I 필수 사이버 보안 요구사항과 취약점 처리 의무를 충족함을 입증할 수 있음을 의미합니다. 개발자 교육 기록은 해당 증거 패키지 내부에 자리잡으며, 그것이 지원하는 특정 조항에 매핑됩니다.
CRA에 대한 사이버 보안 컴플라이언스 감사는 어떻게 진행됩니까?
대부분의 CRA 범위 제품에서 적합성 평가가 감사에 해당합니다. 통보 기관 또는 내부 검토자가 기술 문서를 검사하고 각 Annex I 조항에 대한 추적 가능한 증거 — 보안 설계 리뷰 기록, SBOM 및 취약점 처리 산출물, 개발자별 교육 이수 기록 — 를 요청합니다. 감사인은 일회성 스냅샷이 아닌 지속성을 찾습니다.
사이버 보안 컴플라이언스는 일반 IT 컴플라이언스와 어떻게 다릅니까?
일반 IT 컴플라이언스 프레임워크는 조직의 통제 — 접근 권한, 로그, 변경 관리 — 에 초점을 둡니다. CRA 하의 사이버 보안 컴플라이언스는 제품 수준입니다: 특정 디지털 요소 포함 제품이 설계 단계에서 회복력이 있는지, 취약점 처리 프로세스가 있는지, 그리고 이를 입증할 수 있는지를 묻습니다. 범위 내 언어에 대한 개발자 역량이 핵심 증거의 일부입니다.
사이버 보안 및 컴플라이언스 프로그램에서 개발자 교육은 어디에 자리잡습니까?
교육은 상위 단계 통제입니다. 입력 검증 및 무결성 보호와 같은 Annex I §1 의무는 어떤 스캐너가 실행되기 훨씬 전에 코드에서 먼저 강제됩니다. CRA 대응 사이버 보안 및 컴플라이언스 프로그램은 언어별 개발자 교육을 체크박스가 아닌 측정된 입력으로 취급하며, 적합성 검토자가 규제로 다시 매핑할 수 있는 이수 기록을 표면화합니다.