유럽연합(EU)의 사이버 보안 지침인 NIS2(Network and Information Systems 2)의 세부 요구사항이 공개되는 2024년 10월까지 관련 기업들의 대응 마련이 시급한 것으로 나타났다. 이번 호에서는 EU의 새로운 사이버 보안 지침인 NIS2에 대해 살펴보고, 기업들의 대응 방안에 대해 살펴보려 한다.
Q1. EU NIS2는 무엇이고 어떻게 대응해야 하나요?
유럽연합(EU)은 2017년 국민의 일상적인 생활을 위한 사회기반서비스의 가용성과 안정성을 위해서, 이를 EU 내에서 제공하는 공공 및 민간서비스 제공자를 대상으로 사이버보안 관련 사고대응과 복원력 강화를 위한 ‘네트워크 및 정보시스템지침 (NIS: Network and Information Systems Directive)’를 발표했습니다. EU 내에서 운영되는 전력, 석유화학, 가스, 항공, 철도, 수상, 도로교통, 금융, 보건, 수자원 등의 산업을 대상으로 사이버보안 요구사항 미충족 시 과징금을 부과하는 내용이었으며, 2023년 올해 1월 NIS의 개정된 NIS2를 발효했습니다. 이에 따라 회원국별 NIS2 지침을 이행하기 위한 입법 제정과 세부 내용이 공개되는 2024년 10월까지 관련 기업들의 대응 마련이 시급한 것으로 나타났습니다. 이번 호에서는 EU의 새로운 사이버 보안 지침인 NIS2에 대해 살펴보고, 기업들의 대응 방안에 대해 살펴보려 합니다.
Q2. 새로운 EU의 사이버 보안 지침(NIS2)은 기존과 어떻게 다른가요?
지난해 12월 EU는 개정된 NIS2 지침을 공표했습니다. 초기 NIS 지침은 주목할 만한 성과에도 불구하고, 분명한 한계점이 있었습니다. 코로나19 팬데믹의 결과로 인한 디지털 혁신의 가속화는 사이버 위협 환경을 높였고, 사고 대응 및 복구가 늦어지는 결과로 이어져 법률적 지침의 개정이 불가피하게 됐습니다.
새 NIS 규정에는 핵심 산업 인프라 공급망에 필수적인 기업 외에도 새로운 산업군들을 포함하는 등 범위가 넓어졌습니다. 또한, 기존 NIS 지침은 7개의 핵심 분야를 다룬 반면, 새 지침에서는 안전 및 효율, 사회에 중요한 것으로 간주되는 부문까지 관점을 확장해 9개의 부문이 추가됐으며, 이에 해당하는 기업이 중기업인 50인 이상 연간매출 1000만 유로 이상으로 확대됐습니다.
NIS2는 기존 NIS 지침의 요구사항에 비해 자율적이지 않으며, 주어진 기간 내에 NIS2 지침을 준수하지 않는 조직에 대해 EU는GDPR 법안과 유사한 재정적 페널티가 부과됩니다. 또한 세부 요구사항의 내용들은 비즈니스의 IT에만 집중되는 것이 아니라, 기업의 산업 시설이 안전하게 운영하고 있는지에 대한 다양한 기술적 내용도 포함될 예정입니다.NIS2 지침을 준수하지 않는 조직의 C-level 임원에 대한 처벌 가능성도 있으며, 임원진에 포함된 조직의 개인들에게도 제한을 가할 수 있습니다.
Q3. 기업의 대응 전략은 어떤 것이 있을까요?
대응 전략으로 ▲최고경영진의 인식 촉구 ▲표준 및 프레임워크 구현 ▲긴급 개선 (Fix-it) 프로그램 수립과 실행 ▲거버넌스 책임 확대 등 4가지를 제시할 수 있습니다.
먼저, NIS2가 발효되기까지 준비 기한이 짧은 만큼 최고경영진의 관심 아래 새로운 사이버 보안 법률 의무를 준비해야 합니다. 규정을 준수하지 못할 경우 C레벨이 법적 책임을 지게 되며, 기업에는 징벌적 과징금이 부과됩니다. 이에, 최고경영진은 NIS2가 가져오는 영향에 대해 IT 및 OT(Operational Technology·산업운영 기술) 측면에서 자원과 조직을 갖추고 대응 전략을 고민해야 합니다.
두 번째로, NIS2는 사이버 리스크 관리를 의무화해 기업의 회복력과 연속성을 보장하면서 사이버 보안 요구사항을 준수하는 것을 목표로 하고 있습니다. 따라서 조직 내 인프라 취약점을 식별하고 신속하게 해결하는 것이 중요합니다. 그러나 NIS2에서 요구하는 사항이 아직은 모호하기 때문에 IEC 62443과 같은 OT 산업 보안 관련 국제 표준을 따를 것을 권장하고 있습니다.
세 번째는, 현재 기업이 가지고 있는 심각한 보안 취약점을 파악하는 ‘Fix-it 프로그램’을 수립하는 것입니다. 개선을 위한 활동인 보안 아키텍처 구현부터 조직개편 등을 지원해 조직에서 파악된 사이버 보안 문제점을 기한 내 즉시 경감시켜야 합니다.
마지막으로, NIS2 새 규정에 따라 사이버 보안이 경영 이사회의 필수 안건이 될 것으로 기대되는 가운데, 경영진은 사이버 보안 리스크를 식별하고 관리하는 데 필요한 지식과 기술을 갖춰야 합니다.
경영진은 NIS2 영향에 대해 교육받아야 할 뿐만 아니라 직원들도 정기적으로 사이버 보안 교육을 받도록 권장해야 합니다. 또한, 실제로 사이버 공격이 발생한 경우 이사회는 조직 내 검증된 사이버 보안 프로그램이 있음을 입증할 수 있어야 하기에, 관련 프로그램 구축도 반드시 필요합니다.
NIS2는 EU 내 기업들에게 다양한 사이버 보안 규정을 요구하고 있어, 관련 기업들은 안전한 디지털 신기술 도입과 디지털 리스크를 최소화할 수 있는 융합보안 거버넌스 체계를 수립해야 합니다. 자산의 수명주기관리와 사고대응 복구시스템 구축을 통해 기업의 사업전략 방향과 디지털 혁신 속도에 맞춘 현실적인 대응책을 마련하는 것도 중요합니다.
Digital 최민화 상무