유럽연합의 NIS-2 지침, 사이버 복원력 측면에서의 중요한 이정표

2023년 1월 16일, 유럽 연합의 NIS-2 지침이 새롭게 발효되어 2016년 발효되었던 NIS 지침을 대체하였으며, 이를 통해 EU는 사이버 보안의 강화에 집중하였습니다. NIS는 "Network and Information Security"의 약자로, NIS의 목표는 회원국 내에서의 사이버 보안 수준을 통일하고, 중요 인프라의 사이버 위협에 대한 회복력을 향상시키는 것입니다. 독일에서는 NIS-2는 2024년 10월 17일까지 국내법으로 시행되어야 하며, 2023년 7월부터 NIS-2의 이행 및 사이버 보안 강화법(NIS-2UmsuCG)에 대한 초안이 배포되었습니다.

NIS-2 지침은 어떠한 요구사항을 제시하나요?

NIS-2 지침은 조직 내의 사이버 및 정보 보안에 대한 요구 사항을 확장하고 특정 부문에 대해 더 엄격한 규칙을 도입합니다. 경영진에게는 더 포괄적인 책임 규정이 적용되며, 영향을 받는 조직과 기업은 사이버 위험 관리, 사이버 사건의 감시 및 제어, 공급망 보안, 데이터 암호화, 접근 제한, 당국에 대한 보고 및 비즈니스 연속성 보장과 같은 분야에서 조치를 취해야 합니다.

NIS-2지침은 누구에게 적용되나요?

중요 인프라로 분류된 모든 서비스 운영자들이NIS-2 지침의 영향을 받습니다. 여기에는 예를 들어 에너지, 수자원, IT 및 통신, 교통, 물류, 금융 및 보건 서비스, 우주 및 공공 행정 분야의 조직, 우편 서비스, 폐기물 관리, 식품, 화학 및 연구 기관의 제공업체 등 사회적 및 경제적 기능을 유지하는 데 필수적인 기관들 또한 포함됩니다.

조직과 기업의 중요도에 따라 당국에 의한 감독의 형태와 부과될 수 있는 벌금의 액수는 조직의 중요성에 따라 차이가 날 수 있습니다. 아주 중요한 조직이나 기업의 경우, 최대 천만 유로 또는 연간 매출액의 2%에 해당하는 제재가 부과될 수 있으며, 그보다 중요도가 약간 낮은 조직이나 기업의 경우 최대 칠백만 유로 또는 연간 매출액의 1.4%에 해당하는 제재가 부과될 수 있습니다.

규제 대상은 기본적으로 50명 이상의 직원과 1천만 유로 이상의 연간 매출을 가진 중소기업과 대기업에 해당되며, 이로 인해 독일 내 NIS-2 규정의 적용을 받는 기업의 수가 이전의 NIS 지침에 비해 상당히 증가하게 됩니다.

결론

NIS-2의 요구 사항을 충족하기 위해, 영향을 받는 기업들은 지체 없이 이 지침에 대비하기 위한 준비를 시작해야 합니다. 취약점과 위협을 식별하기 위한 효과적인 분석이 첫 번째 단계입니다. 사이버 보안 컨설턴트와 협력하면 이와 관련하여 귀중한 지원을 얻을 수 있습니다.

NIS-2 지침은 유럽연합이 보다 강력하고 통일된 사이버 복원력을 향해 나아가는 중요한 이정표입니다. 이 지침은 유럽 내 사이버 보안을 크게 변화시킬 것입니다.

EUR Lex에 기재된 NIS-2 지침을 여기에서 다운로드할 수 있습니다.