NIS2 탐색: 변경 사항, 요구 사항, 준비

네트워크 및 정보 시스템(NIS) 지침이 다시 한번 유럽의 업계에 큰 영향을 미치고 있습니다. 가혹한 잠재적 제재 조치와 더욱 엄격한 요구 사항이 적용되면서 규정 준수를 다루기란 그 어느 때보다 복잡해졌습니다.

NIS2와 이로 인해 조직이 받는 영향에 대해 알아야 할 모든 사항을 분석하고 설명해 보겠습니다.

NIS2는 네트워크 및 정보 시스템 지침의 두 번째 버전입니다. 이 획기적인 사이버 보안 법안의 목표는 유럽 연합(EU) 전체의 조직, 특히 중요 인프라 및 필수 서비스 운영 사업체 사이에서 더 높은 수준의 사이버 복원력을 확립하는 것입니다.

특히 법안의 정확한 이름은 'NIS2'입니다. 그러나 공식 문서에서 'NIS2 규정 준수' 또는 'NIS2 지침'으로 언급되는 경우도 있습니다. 둘 다 허용되지만, 전자가 유럽 연합 공식 저널에 게재되어 있습니다.

EU 전체 규정에 따라 각 회원국은 2024년 10월 17일까지 NIS 지침을 해당 국가 입법 체계에 반영해야 하며, 이 시점에서 모든 해당 엔터티는 보안 요구 사항을 준수할 법적 의무가 있습니다. 더 간단히 말하면 모든 EU 국가가 해당 규정을 시행할 수 있도록 자국에서 법적 구속력을 발휘하는 규정을 만들어야 한다는 의미입니다.

국가 차원에서 NIS2는 다음을 통한 전반적인 사이버 보안의 강화를 목표로 합니다.

1. 각 EU 회원국이 컴퓨터 보안 사고 대응 팀(CSIRT)과 유능한 국가 네트워크 및 정보 시스템 기관을 통해 최종적인 사이버 위협에 대비하도록 요구합니다.
2. 정보 교환을 위한 협력 그룹을 만들어 회원국 간의 협력을 강화합니다. 
3. 정보통신기술(ICT)에 크게 의존하는 주요 인프라 부문 전반에 걸쳐 사이버 보안 문화를 조성합니다.

간단히 말해 NIS2는 EU 전체의 관련 엔터티가 적절한 보안 조치, 위협 인텔리전스, 모범 사례를 통해 위협을 완화할 준비를 하도록 고안되었습니다.

NIS2는 기존의 NIS 지침을 크게 개선했습니다. 역사적으로 볼 때 NIS 1은 유럽 최초의 사이버 보안 법안이었으며 지역 전체의 사이버 복원력을 향상시키는 것이 목표였습니다. 

NIS 1은 사고방식의 변화를 성공적으로 촉발하고 데이터 보호를 개선했지만 과제에도 직면했습니다. 구현 직후 유럽 연합 전역에서 다양한 수준으로 채택이 이루어졌습니다. 일부 국가에서는 회사가 필수로 갖춰야 했던 반면, 필수로 요구하지 않는 국가도 있었습니다. 이러한 비일관성으로 인해 규정 준수 환경은 복잡해지고 단편화되었습니다. 

동시에, 2016년 이후 위험 환경은 비약적으로 진화했습니다. 전 세계적으로 사이버 범죄가 너무 빠르게 증가하여 국가 단위로 측정하면 경제 규모가 세계 3위에 달할 정도입니다. 새롭게 점점 더 정교해지는 공격 벡터는 AI(인공 지능)의 사용을 포함하여 이전에는 볼 수 없었던 방식으로 조직에 도전 과제를 안기고 있습니다. 

예를 들어, AI 기반 피싱 사기는 의심하지 않는 사용자를 속이고 로그인 자격증명을 손쉽게 탈취하는 방법을 학습하고 있습니다. 또한 양자 컴퓨팅의 출현으로 인해 해커가 오늘날 사용되는 많은 암호화 알고리즘을 해독할 수 있게 되는 것도 시간문제일 뿐입니다. 

물론 지정학은 복잡성만 가중시킵니다. 러시아와 우크라이나의 전쟁으로 인해 정치적 동기를 바탕으로 국가가 지원하는 사이버 공격이 발생했습니다. ENISA(European Union Agency for Cybersecurity)에 따르면 2022년에 이러한 공격의 대부분은 공공 행정 기관, 정부, 디지털 서비스 제공업체, 중요 인프라를 표적으로 삼았습니다. 

해당 문제를 고려하여 유럽 연합 집행위원회는 NIS 지침을 개정하기로 결정했습니다. 두 번째 버전에서는 통합 구현을 다룰 뿐만 아니라 변화하는 사이버 위협 환경에 맞춰 사이버 복원력에 대한 기준을 높였습니다.

업데이트된 NIS 지침은 이전 지침의 결함을 수정하고 적용 규모와 범위를 크게 늘렸습니다. 구체적으로 NIS 1과 비교하면 다음과 같습니다.

• 더 많은 부문을 포함하도록 범위 확장
• 미준수에 대한 더욱 엄격한 제재 부과
• 더욱 엄격한 사이버 보안 요건 요구

1차 및 2차 NIS 지침의 주요 차이점을 자세히 살펴보겠습니다.

확장된 범위

기존 NIS 지침은 '필수 서비스 사업체'(OES) 및 '디지털 서비스 제공업체'(DSP)에 적용되었습니다. 이제 이러한 구별은 더 이상 존재하지 않습니다. 

대신 관련 엔터티를 규모와 유형에 따라 분류합니다. 일반적으로 NIS2는 유럽 연합에 '필수적이거나 중요한 서비스'를 제공하는 모든 조직에 영향을 미칩니다. 이에 따라 지침이 적용되는 부문의 수가 7개에서 15개로 늘어나 EU 사회에서 보다 중요한 측면을 보호할 수 있습니다.

필수 엔터티는 아래에 설명되어 있는 바와 같이 중요한 부문에서 운영되는 대기업으로 분류됩니다. 이 경우 대규모 엔터티는 직원 수 250명 이상, 연간 매출액 5,000만 유로 이상 또는 연간 대차대조표상 4,300만 유로 이상인 기업으로 정의됩니다. NIS2에 따른 필수 서비스는 다음과 같습니다.

• 에너지
• 운송
• 재무
• 공공 행정
• 보건
• 우주
• 상수(음용수 및 하수)
• 디지털 인프라

반면, 중요 엔터티는 필수 서비스 범주에 속하지는 않지만 중요도가 높은 부문에서 운영되는 중견 기업입니다. 이러한 조직은 일반적으로 직원이 50명 이상, 연간 매출액이 1,000만 유로 이상 또는 대차대조표상 1,000만 유로 이상인 조직입니다. NIS2에 따른 중요 엔터티는 다음과 같습니다.

• 우편
• 폐기물 관리
• 화학 약품
• 연구
• 식품
• 제조
• 디지털 제공업체

위의 부문 중 디지털 인프라, 디지털 제공업체와 같은 일부 분야는 중복되는 것처럼 보일 수 있습니다. 전자는 클라우드 서비스, 통신 사업체, 데이터 센터, 신뢰 서비스 등을 의미합니다. 간단히 말해 사회의 중추에 디지털 서비스 키를 제공하는 모든 엔터티를 포함합니다.

디지털 제공업체는 검색 엔진, 온라인 시장, 소셜 네트워크와 같이 보다 구체적인 서비스를 포함합니다. 이는 사람들이 커뮤니케이션하고 트랜잭션하는 방식에 필수적이지만, 사이버 사고로 인해 작동이 불가능해져도 큰 영향을 미치지 않을 수 있습니다.

그러나 EU 외부에 기반을 둔 사업체의 경우 NIS2의 제26조에 따라 필수 엔터티 및 중요 엔터티는 서비스를 제공하는 EU 회원국의 관할권 하에 있는 것으로 간주됩니다. 엔터티가 둘 이상의 회원국에서 서비스를 제공하는 경우 각 회원국의 관할권에 속해야 합니다.

강력한 미준수 조치

NIS2는 다음을 포함하여 미준수에 대한 처벌을 훨씬 더 엄격하게 규정하고 있습니다.

1. 비금전적 처벌

NIS2는 국가 감독 기관이 다음을 부과할 수 있도록 권한을 부여합니다.

• 규정 준수 명령
• 구속력 있는 지침
• 보안 감사
• 위협 알림 명령

2. 과징금

정확한 벌금은 회원국에 따라 다를 수 있지만 NIS 지침은 최소한의 제재 목록을 규정하고 있습니다. 

• 필수 엔터티의 경우 회원국은 최소 10,000,000 유로 또는 전 세계 연간 수익의 2% 중 더 높은 금액을 최대 벌금으로 부과해야 합니다.
• 중요 엔터티가 지침을 위반하는 경우 회원국은 최대 7,000,000 유로 또는 전 세계 연간 수익의 1.4% 중 더 높은 금액을 최대 벌금으로 부과해야 합니다.

3. 관리 주체에 대한 형사 제재

이 지침에는 NIS2 규정 준수에 대한 모든 부담을 IT 부서에 지우는 것이 아닌, 사이버 보안 사고 이벤트 발생 시 최고 관리 주체가 중과실에 대해 개인적 책임을 부과하는 새로운 제재 조치를 포함합니다. 예를 들어, 관할 기관은 임원의 관리 직책을 일시적으로 직위해제할 수 있습니다. 또한 조직에 규정 준수 위반 사항을 공개하고 사고 책임자를 공개적으로 밝히도록 명령할 수 있습니다.

더욱 엄격한 요구 사항

마지막으로 NIS2는 관련 엔터티에 대한 사이버 보안 요구 사항을 대폭 강화했습니다. 광범위하게는 사고의 조기 보고, 폭넓은 위험 관리, 일련의 최소 보안 조치를 요구합니다.

이 모든 사항이 갖는 의의는 NIS2의 정확한 요구 사항에 대해 자세히 살펴보겠습니다.

새로운 지침은 다음 네 가지 영역에 걸쳐 의무를 도입하여 사이버 복원력을 강화했습니다.

위기 관리

조직은 사이버 보안 위험 관리 조치를 채택하여 다양한 사이버 위협 벡터의 가능성과 영향을 최소화해야 합니다. 보다 구체적으로는, 기술적, 운영적, 조직적 예방 조치의 구현을 통해 네트워크 및 정보 시스템에 영향을 미치는 위험을 완화하여 데이터 보호를 강화해야 합니다. 이는 사고 관리 절차, 더욱 강력한 공급망 보안, 액세스 제어 시스템, 암호화를 포함할 수 있습니다.

기업 거버넌스

관리 주체는 각 조직의 사이버 보안 위험 관리 프로토콜을 감독하고 승인할 책임이 있으며 해당 프로토콜이 효과적으로 구현되도록 보장해야 합니다.

제20조에 따라 회원국은 '필수 엔터티 및 중요 엔터티의 관리 주체 구성원이 교육을 받도록 보장'해야 하며, 구성원을 장려하여 직원에게 유사한 교육 프로그램을 꾸준히 제공하도록 해야 합니다. 각 조직의 모든 사람이 위험을 식별하고 최선을 다해 노출을 최소화하도록 지원하는 것이 목표입니다.

사고 보고

중요 엔터티는 서비스 제공 및/또는 사용자에게 심각한 영향을 미치는 보안 사고를 즉시 보고하는 절차를 수립해야 합니다. NIS2는 '중요한' 보안 사고를 다음과 같이 분류합니다.

• 중요 부문에 심각한 운영 중단을 초래했거나 초래할 수 있음
• 상당한 손해를 초래하여 다른 자연인 또는 법인에 영향을 미쳤거나 영향을 미칠 수 있음

엔터티는 사이버 사고를 인지한 후 24시간 이내에 조기 경고와 함께 회원국의 관할 기관(CSIRT 포함)에 통보해야 합니다. 또한, 최초 문서를 제출한 후 72시간 이내에 전체 보고서를 작성 완료해야 하며, 최종 보고서는 1개월 이내에 작성 완료해야 합니다.

비즈니스 연속성

개정된 NIS2는 공격 후에도 비즈니스 연속성을 보장하는 것이 목표입니다. 엔터티는 중단을 신속하게 최소화하는 것을 목표로 신뢰할 수 있는 전략을 수립하여 해당 사고에 대한 대응 및 복구를 자세히 설명할 수 있어야 합니다. 결과적으로 NIS2는 클라우드 백업 솔루션의 채택을 강조합니다.

10가지 기본 사이버 보안 조치

제21조에서는 조직이 네 가지 중요한 영역을 지원하기 위해 구현해야 하는 10가지 기본 보안 조치를 식별합니다. 이는 가장 가능성이 높은 위협 벡터의 완화를 목표로 하는 '모든 위험에 대한 접근 방식'을 기반으로 합니다. 이는 다음 조치를 포함합니다.

1. 위험 분석 및 정보 시스템 보안에 관한 정책
2. 활성 위협 처리를 위한 사고 대응 계획
3. 백업, 재해 복구, 위기 관리 절차 등 비즈니스 연속성 계획
4. 기업과 직접 공급업체 또는 서비스 제공업체 간의 관계를 다루는 조치를 포함하는 공급망 보안
5. 취약성 처리 및 공개를 포함한 네트워크 및 정보 시스템 확보, 개발, 유지관리에서의 보안
6. 사이버 보안 위험 관리 조치의 효과성을 평가하는 정책 및 절차
7. 사이버 보안 인식, 위생, 모범 사례에 대한 교육
8. 암호화 사용에 관한 정책
9. 특히 민감한 데이터에 액세스할 수 있는 직원의 액세스 제어 절차
10. 다중 인증, 지속적인 모니터링, 보안 커뮤니케이션 시스템

EU 사업체는 NIS2와 더불어 다음을 포함한 수많은 기타 규정과 상충할 수 있습니다.

• DORA(The Digital Operational Resilience Act)
• CER(The Critical Entities Resilience) 지침
• CRA(The Cyber Resilience Act)

해당 법안들과는 어떻게 중복되는지 세부사항을 분석해 보겠습니다.

NIS2와 DORA의 차이점

NIS2와 DORA는 모두 사이버 보안 규정이지만 목적이 다소 차이가 있습니다. DORA는 특히 금융 부문에 초점을 맞춘 반면, NIS2는 보다 광범위한 조직을 포괄합니다.

NIS 지침 제4(1)조 및 제4(2)조에 따라 ICT 위험 관리 및 보고, 디지털 운영 복원력 테스트, 정보 공유, 제3자 위험과 관련된 DORA의 조항이 NIS2에 설명된 조항 대신 적용됩니다. 즉, 금융 엔터티는 이러한 영역에서는 DORA를 참조하고 다른 모든 요구 사항에 대해서는 NIS2를 참조해야 합니다.

핵심은 다음과 같습니다. 위의 보안 조치와 관련하여 DORA는 금융 엔터티에 대해 NIS2를 대체합니다.

NIS2와 CER 지침의 차이점

CER 지침은 에너지 및 운송 제공업체와 같은 중요 엔터티에 적용되어 사이버와 관련 없는 위험에 대한 방어를 안내합니다. NIS 2는 사이버 보안에 초점을 맞추고 있지만, 적용되는 엔터티 측면에서 두 지침 간에 중복이 있을 수 있습니다. 이러한 경우 조직은 사이버 및 물리적 복원력을 모두 다루면서 두 지침의 규정을 모두 준수해야 합니다.

중요 엔터티는 사이버 보안과 관련해서는 NIS2, 비사이버 사고와 관련해서는 CER 지침을 준수해야 합니다.

NIS2 및 CRA의 차이점

Cyber Resilience Act는 사물인터넷(IoT) 장치와 같이 디지털 요소가 포함된 하드웨어 및 소프트웨어 제품의 사이버 보안에 초점을 맞춘 법안입니다. NIS2가 기업 자체의 보안 태세 강화에 초점을 맞춘 반면, CRA는 기업이 제조 또는 판매하는 제품의 보안을 우선시하도록 요구합니다. 

일반적으로 CRA는 NIS2를 보완하지만 반드시 NIS2와 중복되거나 NIS2를 대체하지는 않습니다. 따라서 엔터티에는 두 규정이 모두 적용될 수 있습니다.