NIS2; 기업을 위한 위험과 기회

서론 및 관련 규정

NIS는 “네트워크 및 정보 보안(Network and Information Security)”의 약자입니다.

이 약어를 통해 유럽 공동체는 모든 EU 회원국에서 사이버 보안에 대한 표준화된 접근 방식을 정립하기 위한 입법적 노력을 나타내려 했습니다.

2018년, NIS1(EU 지침 2016/1148)이라 불리는 최초의 유럽 규정이 통과되었으며, 이는 2018년 5월 18일자 제65호 법령에 의해 국내법으로 이행되었습니다.

NIS 법령은 또한 유럽의 CSIRT(컴퓨터 보안 사고 대응팀)와 협력하여 사이버 사고의 예방, 대응 및 모니터링과 관련된 기술적 업무를 수행할 이탈리아 CSIRT를 설립함으로써 ‘국가 사이버 보안 전략’의 채택을 규정하고 있다.

NIS1은 이후 NIS2(EU 지침 2022/2555)로 대체되었으며, 2024년 9월 4일자 제138호 법령에 따라 국내법으로 이행되었다.

NIS 2는 NIS 1의 한계를 극복하는 것을 목표로 한다. NIS 1은 이행 과정에서 회원국들에게 지나치게 많은 재량권을 부여함으로써 조화라는 목표를 달성하지 못했을 뿐만 아니라, 유럽 시장에 미치는 중요성 때문에 규제 대상이 되어야 할 특정 유형의 기관들을 제외해 버렸다.

또한, NIS2는 모든 회원국에서 진행되어 온 디지털화 속도의 증가에 대응하고, 팬데믹으로 인해 가속화된 이러한 추세를 반영하기 위해 도입되었습니다. 이로 인해 보안 시스템이 그만큼 강화되지 않은 채 사이버 공격의 표면적이 확대되었기 때문입니다.

마지막으로, NIS2의 또 다른 목표는 필수 및 중요 서비스 운영자와 디지털 서비스 제공자가 적절한 보안 조치를 마련하도록 의무화하고, 사고 발생 시 관할 당국과 서비스 이용자에게 즉시 보고하도록 하는 것입니다.

새로운 지침은 다음과 같은 다른 유럽의 특정 부문별 규정들과 조화를 이루도록 마련되었습니다:

- 금융 부문의 디지털 운영 복원력에 관한 지침(DORA). 이는 정보의 무결성과 서비스의 사이버 보안을 보장하는 일련의 의무적 보안 조치를 이행함으로써 금융 부문의 복원력과 사이버 보안을 강화하기 위해 2022년 11월 10일에 승인된 규정입니다;

- 핵심 인프라 복원력 지침(CER); 다양한 지침 간의 법적 명확성과 일관성을 확보하기 위한 것이다.

관련 기업들은 다음과 같이 분류되었습니다:

• 핵심 분야 (에너지, 교통, 보건, 상수도, 공공행정, 금융, 우주, 디지털 인프라)
• 주요 분야 (연구; 화학; 식품; 산업 생산; 디지털 서비스 제공업체; 우편 서비스; 폐기물)
• 공공 기관: 중앙 정부 (헌법 기관 및 헌법상 관련 기관; 총리실 및 각 부처; 세무 기관; 독립 행정 기관) | 지방 정부 (지역 및 자치주) | 지방 자치 단체 (광역시; 인구 10만 명 이상의 시; 도청 소재지; 지역 보건 당국) | 기타 공공기관 (경제 규제 기관; 경제 서비스 제공기관; 협회; 복지, 여가 및 문화 서비스 제공기관; 연구 기관 및 단체; 실험 동물방역연구소) | 기타 유형의 기관 (지역 대중교통 서비스를 제공하는 기관; 연구 활동을 수행하는 교육 기관; 문화적 가치를 지닌 활동을 수행하는 기관; 내부 기업; 투자 대상 기업 및 공공 지배 기업)
• 공급업체: NIS2의 적용을 받는 기관에 필수적인 서비스를 제공하는 조직은 의무 적용 대상 분야에 명시적으로 포함되어 있더라도 디지털 보안을 강화해야 합니다.

NIS2의 내용

NIS2의 내용에 내재된 일반적인 의무는 다음 네 가지 주요 축을 바탕으로 요약할 수 있습니다:

거버넌스: 경영진은 조직이 채택한 위험 관리 조치를 승인하고, 시간이 지남에 따라 그 효과를 평가해야 합니다. 또한 사이버 보안 문제에 관한 정기 교육을 이수하고, 직원들에게도 이와 유사한 교육을 제공해야 합니다.

위험 관리: 조직은 보안 및 네트워크 위험을 평가하고, 서비스 이용자에게 미치는 사고의 영향을 방지하거나 최소화하기 위해 적절하고 비례적인 기술적, 운영적, 조직적 조치를 취해야 한다.

비즈니스 연속성: 조직은 제공되는 서비스의 중단으로 인한 영향을 최소화하기 위해 비즈니스 연속성을 보장하는 솔루션(예: 백업, 재해 복구 계획 및 위기 관리 절차)을 도입해야 합니다.

공급망: 기업은 각 직접 공급업체의 취약점과 공급업체 제품의 전반적인 품질 및 사이버 보안 관행을 평가해야 합니다. 이 평가는 ICT 공급업체와 조직이 NIS2 적용 범위에 포함된 서비스에 차질을 초래할 수 있는 기타 핵심 공급업체를 대상으로 합니다.

따라서 기업들은 다음 사항을 측정하고 보고할 수 있어야 합니다:

• 위험 분석 및 정보 시스템 보안 정책
• 사고 관리 절차
• 비즈니스 연속성 솔루션(백업 및 재해 복구)과 위기 관리 및 커뮤니케이션 절차
• 공급망 보안 정책 (공급업체 및 서비스 제공업체)
• 정보 시스템 및 네트워크 취약점의 확보, 개발, 유지보수 및 관리에 관한 보안

NIS2 일정

기업과 공공기관은 NIS2 지침의 적용 대상인지 여부를 파악하기 위해 평가를 실시해야 합니다.

2024년 12월 1일부터 2025년 2월 28일까지, 기업들은 SPID 인증 정보를 사용하여 ACN(국가사이버보안청) 포털에서 본인 인증을 완료해야 합니다. 이 기간 동안, /Registration Service로 지정된 사용자들은

특히, 기업들은 다음을 이행해야 합니다:

• 해당 법인이 기업 그룹에 속하는지 여부를 명시하고, 해당되는 경우 모회사의 세무 코드를 기재하십시오.
  
• 관련 기업을 나열하고 해당 기업의 세금 코드를 기재하십시오.
  
• 해당 법인의 사업 활동을 나타내는 ATECO 코드를 기재하십시오.
• 관련 유럽연합 부문별 규정을 명시하십시오.
• 회사의 업종을 결정하기 위해 매출액, 대차대조표 및 직원 수를 제출해 주십시오.
• 회사가 속한 조직의 유형을 나열하십시오.

2025년 1월 17일까지, 최상위 도메인 이름 등록 기관 운영자, 도메인 이름 시스템 및 도메인 이름 등록 서비스 제공업체, 클라우드 컴퓨팅 업체, 데이터 센터, 콘텐츠 전송 네트워크(CDN) 제공업체, 관리형 서비스 제공업체(MSP), 관리형 보안 서비스 제공업체(MSSP)는 물론, 온라인 마켓플레이스 제공업체, 온라인 검색 엔진 제공업체 및 소셜 네트워킹 서비스 플랫폼 제공업체는 해당 플랫폼에 등록을 완료해야 합니다.

2025년 3월 31일까지, ACN은 플랫폼을 통해 접수된 등록 정보를 바탕으로 필수 및 중요 기관 목록을 작성했습니다.

2025년 4월 1일부터 2025년 4월 15일까지, ACN은 해당 기관들에 필수 기관 또는 중요 기관 목록에 포함되었는지 여부를 통보했다.

2025년 4월 15일까지, 통지를 받은 기관들은 별도의 법적 절차를 통해 해당 법령의 의무를 이행할 책임이 있는 기관을 지정해야 했다.

그 후, 이 지침의 적용을 받는 주체들은 다음과 같은 추가 요건을 준수해야 합니다:

• 2026년 1월 1일까지; 사고 보고 의무
• 2026년 10월 1일까지; 행정 기관 및 보안 조치와 관련된 의무를 이행해야 한다

ACN은 매년 관련 기관 목록을 갱신할 예정입니다. 해당 기관에 속한다고 판단되는 기업 및 공공기관은 매년 1월과 2월 사이에 등록할 수 있습니다.

기업에 대한 위험 요소이자 기회

NIS2의 발효 및 관련 사업자의 확인에 따라, 관할 당국은 해당 사업자들이 이 지침을 준수하는지 확인하기 위해 감시 및 불시 점검을 실시할 수 있습니다. 규정 미준수 시, 관련 기업에 대해 제재가 부과될 것입니다.

과태료는 매우 엄격합니다. 대기업의 경우 최대 1,000만 유로 또는 전 세계 매출액의 2%까지, 중소기업의 경우 최대 700만 유로 또는 전 세계 매출액의 1.4%까지 부과됩니다.

규정을 준수하기 위해서는 기업의 적극적인 노력과 투자가 필요하지만, 동시에 해당 규정 자체가 사이버 공격 문제에 대한 실질적인 해결책을 제공하려는 목적을 가지고 있다는 점도 인식해야 한다. 이탈리아 기업들은 여전히 사이버 공격에 매우 취약한 상태이며, 이미지 손상을 우려해 이를 은폐하려는 경향이 잦다. 경제적 측면에서 볼 때, 개별 사이버 공격으로 인한 평균 피해액은 기업의 매출 규모와 무관하게 200만 유로 이상으로 추산된다.

ERA가 NIS2 규정 준수 관리에 어떻게 도움이 될 수 있는지

위에서 언급한 내용들은 기업들이 사이버 보안 문제에 지대한 관심을 갖고 적극적으로 대응하고 있음을 시사할 수 있지만, 특히 중소기업(SME)의 경우 이러한 문제에 대해 거의 또는 전혀 조치를 취하지 않아, 기술적 관점이나 다양한 현행 규정 준수 측면에서 자사가 직면한 위험에 대해 명확한 입장을 정립하지 못하고 있는 경우가 드물지 않습니다.

일부 기업들은 보험 가입을 통해 사이버 보안 문제를 해결하려 합니다. 그러나 보험사들은 사이버 보안 분야에서 구체적인 조치를 취한 적이 없는 기업들에게는 이러한 유형의 보장을 제공하기를 꺼리는 경우가 많습니다. 이는 사이버 공격으로 인한 피해를 정확하게 산정할 수 있는 신뢰할 만한 방법이 없기 때문입니다. 그 결과, 'NIS2 패키지'는 사이버 위험 평가 서비스에 중점을 두지만, 발견된 취약점을 해결하기 위한 필요한 조치는 기업에 맡기고 있습니다. ERA는 매우 경쟁력 있는 조건으로 고도로 자격을 갖춘 공급업체 네트워크를 활용하여 보다 포괄적인 서비스를 제공할 수 있습니다.

구체적으로, ERA의 지원 내용은 다음과 같습니다:

• 사전 정의된 지표를 활용한 자가 평가 설문지를 통해 회사의 조직 및 기술 구조에 대한 평가;
• 인식 제고 및 교육 과정; 전 직원을 대상으로 한 기초 과정과 고위 및 중간 관리자를 위한 심화 모듈을 포함하며; NIS2 지침에 부합하는;
• 취약점 분석, 피싱 대응 및 랜섬웨어 위험 평가에 대한 구체적이고 전문적인 테스트;
• 평가 후 시정 단계에서 전담 컨설턴트의 지원;
• 사이버 보안 분야의 전략적 의사결정을 지원하기 위해 전담 컨설턴트가 제공하는 전문적인 지원.

당사의 솔루션은 NIS2 규정 준수 여부를 분석하는 것을 포함합니다. 이는 분명 가장 시급한 과제이지만, 동시에 고객이 진단 과정에서 확인된 다양한 ‘결함’을 시정해야 하는 단계, 즉 시정 단계의 프로젝트 관리 과정에서도 고객을 지원할 수 있습니다. 이 단계는 내부 역량과 시간 및 자원 확보 측면에서 일부 기업들이 겪는 어려움이 가장 두드러지게 나타나는 시기이기도 합니다.