NIS2란 무엇인가? EU 사이버보안 지침 설명

NIS2란 무엇인가?

NIS2란 무엇인가? NIS2(Directive (EU) 2022/2555)는 EU 전역에 걸쳐 필수적인 사이버 보안 요구사항을 규정하며, 회원국들이 역량을 강화하고 중요 부문에서 위험 관리 조치를 시행하도록 요구합니다. NIS2 지침은 기존 NIS 지침에서 18개 중요 부문(에너지, 운송, 은행, 의료, 디지털 인프라, 제조, 공공 행정 등)으로 적용 범위를 확대합니다.

이사회에서 NIS2 준비 여부를 물었습니다. 달력을 확인해 보니 2024년 10월 17일 전환 마감일이 이미 지났습니다. 혼자가 아닙니다. 23개 EU 회원국이 해당 마감일을 지키지 못해 위반 절차에 직면했습니다.

최근 공격 사례는 EU NIS2의 중요성을 보여줍니다. 2021년 5월, 아일랜드 보건 서비스 집행기관은 Conti 랜섬웨어 공격을 받아 외래 진료의 80%가 취소되고 복구 비용이 1억 유로를 초과했습니다. 2017년 NotPetya 공격은 Maersk의 글로벌 해운 운영을 중단시켜 45,000대의 PC와 4,000대의 서버가 파괴되고 3억 달러의 피해가 발생했습니다. 2021년 Colonial Pipeline 랜섬웨어 사건은 미국 동부 연안의 연료 공급을 중단시켜 440만 달러의 몸값이 지급되었습니다. EU는 이러한 사고에 대응하여 중요 인프라 전반에 걸쳐 NIS2 사이버 보안 거버넌스를 강화하도록 의무화했습니다.

독일 BSI는 약 29,500개 기관이 NIS2 적용 대상임을 확인했으며, 프랑스는 10,000개 이상을 식별했습니다. 귀하의 조직이 적용 부문에서 운영되고 다음 기준을 충족하면 적용 대상입니다: 직원 50명 이상 또는 연간 매출 1,000만 유로 초과. 직원 50명 미만이면서 연간 매출 1,000만 유로 이하인 소규모 및 초소형 기관은 일반적으로 제외되지만, Critical Entities Resilience(CER) 지침에 따라 중요 기관으로 지정된 경우에는 예외입니다.

NIS2는 규제 부담을 결정하는 이중 분류 체계를 도입합니다. 필수 기관은 에너지, 운송, 은행, 금융 시장 인프라, 보건, 식수, 폐수, 디지털 인프라, ICT 서비스 관리(B2B), 공공 행정, 우주 등 11개 고위험 부문에서 운영됩니다. 중요 기관은 우편 및 택배, 폐기물 관리, 화학, 식품 생산, 제조, 디지털 제공자, 연구 기관 등 7개 기타 중요 부문에서 운영됩니다.

제20조는 경영진이 사이버 보안 조치 승인, 이행 감독, 교육 이수를 직접 책임지도록 규정합니다. 책임을 상위로 위임하거나 기술적 지식 부족을 변명으로 삼을 수 없습니다. 이러한 책임 요건은 기존 지침과 큰 차이를 보입니다.

What Is NIS2 - Featured Image | SentinelOne

NIS2 vs. NIS1: 무엇이 달라졌나

2016년 최초 NIS 지침은 약 7개 부문만을 다루었고, 회원국에 상당한 시행 재량을 허용했습니다. 이 유연성으로 인해 동일한 조직이 운영 국가에 따라 서로 다른 요구사항을 적용받는 단편화된 규제 환경이 조성되었습니다. NIS2 규정은 근본적인 구조적 변화를 통해 이러한 문제를 해결합니다.

적용 범위 확대가 가장 눈에 띄는 변화입니다. NIS2는 NIS1의 제한적 적용과 달리 18개 부문을 포괄하여 제조, 식품 생산, 폐기물 관리, 우편 서비스, 공공 행정까지 의무 요건에 포함시켰습니다. 또한 명확한 규모 기준(직원 50명 이상 또는 매출 1,000만 유로 초과)을 도입해 적용 여부의 모호성을 해소했습니다.

집행 체계도 전면 개편되었습니다. NIS1은 통일된 처벌 기준이 없어 회원국마다 결과가 달랐습니다. NIS2는 필수 기관에 대해 최대 1,000만 유로 또는 전 세계 매출의 2% 중 더 큰 금액의 최소 처벌 기준을 정하고, 감독 당국에 경영진 정지 권한 등 명확한 집행 권한을 부여합니다. 또한 경영진의 개인적 책임 조항을 도입해 NIS1과 차별화됩니다.

사고 보고 기한도 대폭 단축되었습니다. NIS1은 "지체 없이" 통보하도록 했으나 구체적 기한이 없었습니다. NIS2는 24시간 내 조기 경보, 72시간 내 상세 통보, 1개월 내 최종 보고 등 명확한 내용 요건과 함께 단계별 보고를 의무화합니다. 이 NIS2 지침 요약은 더 엄격한 책임성과 신속한 대응으로의 규제 전환을 보여줍니다.

NIS2 준수 대상은 누구인가?

NIS2 준수는 적용 부문에서 운영하며 특정 규모 기준을 충족하는 조직에 의무적입니다. 이 지침은 직원 50명 이상 또는 연간 매출 1,000만 유로 초과 기관으로 정의된 중대형 조직에 적용됩니다. 적용 부문에서 어느 한 기준만 충족해도 NIS2 요구사항이 적용됩니다.

직원 50명 미만이면서 연간 매출 1,000만 유로 이하인 소규모 및 초소형 기관은 일반적으로 면제됩니다. 그러나 일부 기관은 규모와 관계없이 의무적으로 준수해야 합니다. 여기에는 공공 전자 통신망 제공자, 신뢰 서비스 제공자, 최상위 도메인 등록기관, DNS 서비스 제공자, CER 지침에 따라 중요 기관으로 지정된 기관이 포함됩니다.

회원국은 중요도 평가에 따라 추가 기관을 필수 또는 중요 기관으로 지정할 권한을 보유합니다. 귀하의 국가 관할 당국은 공식 기관 목록을 발표하여 관할 구역 내 적용 범위를 명확히 합니다. 독일 BSI, 프랑스 ANSSI 및 기타 회원국의 동등 기관은 등록 포털을 운영하여 귀하의 분류 상태를 확인할 수 있습니다.

다중 관할 조직은 추가적인 복잡성에 직면합니다. 여러 EU 회원국에서 운영하는 경우, 각 관할 구역의 적용 부문에서 서비스를 제공하는 곳마다 NIS2를 준수해야 합니다. 이 지침은 국가 당국 간 협력 메커니즘을 마련하여 국경 간 기관의 감독을 조정합니다.

NIS2 적용 범위 및 대상 부문

NIS2는 적용 부문을 두 가지 범주로 구분하여 감독 강도와 처벌 노출을 결정합니다. 필수 기관은 11개 고위험 부문, 중요 기관은 7개 기타 중요 부문에서 운영됩니다.

필수 기관 부문은 다음과 같습니다:

에너지(전기, 석유, 가스, 수소, 지역 난방 및 냉방)
운송(항공, 철도, 해상, 도로)
은행
금융 시장 인프라
보건(의료 제공자, EU 기준 연구소, 의료기기 제조업체, 제약)
식수 공급 및 분배
폐수 수집, 처리 및 처분
디지털 인프라(인터넷 교환 지점, DNS 제공자, TLD 등록기관, 클라우드 컴퓨팅, 데이터 센터, CDN, 신뢰 서비스, 공공 전자 통신)
ICT 서비스 관리(B2B 관리 서비스 제공자 및 관리 보안 서비스 제공자)
공공 행정(중앙 정부 기관)
우주(우주 기반 서비스 지원 지상 인프라 운영자)

중요 기관 부문은 다음과 같습니다:

우편 및 택배 서비스
폐기물 관리
화학(제조, 생산, 유통)
식품 생산, 가공 및 유통
제조(의료기기, 컴퓨터, 전자, 기계, 자동차, 운송 장비)
디지털 제공자(온라인 마켓플레이스, 검색 엔진, 소셜 네트워킹 플랫폼)
연구 기관

이 부문 기반 접근 방식은 NIS2 사이버 보안 요구사항이 사회적 영향에 따라 확장되도록 하며, 적용 범위 결정에 대한 규제 명확성을 제공합니다.

NIS2 처벌 및 집행

NIS2 지침은 사이버 보안을 기술적 기능에서 이사회 수준의 거버넌스 의무로 전환하며, 집행 가능한 결과를 수반합니다. 필수 기관은 최대 1,000만 유로 또는 전 세계 연간 매출의 2% 중 더 큰 금액의 행정 벌금이 부과될 수 있습니다. 중요 기관은 최대 700만 유로 또는 매출의 1.4% 중 더 큰 금액이 적용됩니다.

국가 관할 당국은 재정적 처벌을 넘어서는 광범위한 집행 권한을 보유합니다. 제29조에 따르면, 감독 당국은 다음을 수행할 수 있습니다:

비준수에 대한 경고 발령
특정 사이버 보안 조치를 요구하는 구속력 있는 준수 명령 발령
위험 관리 조치 이행에 대한 구속력 있는 지침 발령
기관이 비용을 부담하는 보안 감사 실시 명령
시정 조치 이행 기한 설정

이러한 집행 메커니즘은 조직이 NIS2 의무를 진지하게 받아들이고 필요한 통제를 시행하도록 보장합니다.

NIS2 하의 사고 보고 의무

NIS2는 많은 조직에 상당한 운영적 도전을 야기하는 엄격한 사고 통보 기한을 규정합니다. 이 지침은 적용 기관에 영향을 미치는 중대한 사고에 대해 3단계 보고 절차를 의무화합니다.

1단계는 중대한 사고 인지 후 24시간 이내에 조기 경보를 요구합니다. 이 통보에는 사고가 불법 또는 악의적 행위로 인한 것으로 의심되는지, 국경 간 영향 가능성이 있는지 여부가 포함되어야 합니다. 24시간 카운트는 사고 인지 시점부터 시작되며, 조사가 완료된 시점이 아닙니다.

2단계는 72시간 이내에 상세 통보를 요구합니다. 이 보고에는 초기 영향 평가, 침해 지표, 적용 또는 계획된 대응 조치가 포함되어야 합니다. 조사가 진행되는 동안 새로운 정보가 확인되면 이 통보를 갱신해야 합니다.

3단계는 사고 통보 후 1개월 이내에 최종 보고서를 요구합니다. 이 문서에는 사고의 심각도와 영향, 위협 유형 또는 근본 원인, 적용 및 진행 중인 완화 조치, 국경 간 영향 평가가 포함되어야 합니다.

사고가 중대한 것으로 간주되려면 귀하의 기관에 서비스의 심각한 운영 중단 또는 재정적 손실을 초래했거나 초래할 수 있거나, 다른 자연인 또는 법인에 상당한 물질적 또는 비물질적 피해를 초래했거나 초래할 수 있어야 합니다. 이 이중 기준은 내부 영향이 제한적이더라도 외부 피해가 있다면 고객 대상 사고도 통보가 필요할 수 있음을 의미합니다.

NIS2 거버넌스 및 감독

NIS2 규정은 EU 차원의 조정(ENISA), 국가 관할 당국(독일 BSI, 프랑스 ANSSI 등), 기관 차원의 이행을 통해 운영됩니다. 필수 기관은 제32조에 따라 정기 현장 점검, 비현장 감사, 의무 보안 감사, 침투 테스트 등 지속적 감독을 받습니다. 중요 기관은 제33조에 따라 비준수 증거가 접수될 때 사후 감독을 받습니다.

사고가 중대한 것으로 간주되려면 기관에 서비스의 심각한 운영 중단 또는 재정적 손실을 초래했거나 초래할 수 있거나, 다른 자연인 또는 법인에 상당한 물질적 또는 비물질적 피해를 초래했거나 초래할 수 있어야 합니다.

NIS2 및 관련 EU 규정

이 EU NIS2 규정은 단독으로 운영되지 않습니다. NIS2는 여러 EU 규정과 교차하며, 이러한 관계를 이해하면 준수 격차와 중복 노력을 방지할 수 있습니다.

디지털 운영 복원력법(DORA)는 은행, 보험사, 투자회사 등 금융 부문 기관에 적용됩니다. DORA는 NIS2와 중첩되는 ICT 위험 관리 요구사항을 규정하지만, 서드파티 위험 관리 및 운영 복원력 테스트 등 부문별 조항을 포함합니다. DORA 적용 금융 기관은 lex specialis 원칙에 따라 DORA 준수로 NIS2 위험 관리 요건을 충족합니다.
중요 기관 복원력(CER) 지침은 중요 인프라의 물리적 보안을 다루며, NIS2의 사이버 보안 초점을 보완합니다. CER에 따라 중요 기관으로 지정된 조직은 물리적 복원력 요건과 NIS2 사이버 보안 의무를 동시에 이행해야 합니다.
사이버 복원력법(CRA)는 디지털 요소가 포함된 제품을 대상으로 하며, 제조업체가 제품 수명주기 전반에 걸쳐 보안을 구현하도록 요구합니다. NIS2가 조직의 사이버 보안 관행을 규정하는 반면, CRA는 조직이 구매하는 제품이 기본 보안 기준을 충족하도록 보장합니다.

GDPR은 NIS2의 사이버 보안 요구사항과 별도로 개인정보 보호를 계속 규율합니다. 단일 사고가 두 규정 모두에 따라 통보 의무를 발생시킬 수 있으며, 기한, 수신자, 내용 요건이 다를 수 있습니다.

NIS2 도입의 주요 이점

규제의 복잡성에도 불구하고, NIS2 준수를 달성한 조직은 실질적인 이점을 얻을 수 있습니다.

27개 회원국 전역의 요구사항 조화. 이 지침은 NIS2 사이버 보안 환경 전반에 걸쳐 동등한 기준을 마련합니다. 여러 회원국에서 운영하는 조직은 27개 국가별 사이버 보안 프레임워크를 따르는 대신, 조화된 기본 요구사항의 혜택을 누릴 수 있습니다.
이사회 수준의 책임성이 투자로 이어짐. 이 지침은 사이버 보안 준수에 대한 경영진의 명시적 개인 책임을 규정합니다. CEO와 이사회가 문서화된 교육 및 공식 승인 절차를 통해 사이버 보안 결정에 직접 책임을 지게 되면, 예산 논의가 사전적 투자로 전환됩니다.
공급망 복원력의 연쇄적 확산. 공급망 보안 요구사항은 중요 부문 전반에 걸쳐 연쇄적 복원력을 창출합니다. 각 직접 공급업체의 취약점을 평가해야 하므로, 공급업체도 자체 사이버 보안 태세를 개선해야 하는 압박을 받게 됩니다. 이는 개별 조직을 넘어 생태계 전반의 개선으로 이어집니다.
신속한 정보 공유를 통한 집단 방어. 24시간 사고 통보 요건은 위협 발생 시 신속한 정보 공유를 가능하게 합니다. 이 3단계 보고 절차는 관할 당국과 국가 CSIRT가 신속하게 신규 위협을 파악하고, 더 빠른 사고 분석 및 국경 간 협력을 가능하게 합니다.

NIS2 이행의 과제

이러한 이점에는 상당한 이행 장애물이 따릅니다.

경영진의 참여 확보가 여전히 어려움. 유럽 사이버 보안 기구의 조사에 따르면, 의무적 경영진 책임 요건에도 불구하고 66%의 조직만이 경영진 참여를 보고했습니다. 전환 마감일이 지났음에도 53%는 충분한 경영진 참여 확보에 어려움을 겪고 있습니다.
공급망 복잡성이 연쇄적 위험을 초래. 공급망 취약점은 NIS2 이행 조직이 직면한 가장 중요한 체계적 장애물입니다. MDPI에 게재된 동료 검토 연구는 DEMATEL 방법론을 적용해 인과관계를 분석한 결과, 조직이 서드파티 위험을 통제하지 못해 다른 준수 영역에도 연쇄적 실패가 발생함을 확인했습니다.
24시간 보고는 상시 대응 역량을 요구. 24시간 조기 경보 기한은 24/7 SOC 운영이나 실시간 위협 식별 역량이 없는 조직에 운영상 도전을 야기합니다. 이 요건을 충족하려면 사전 구축된 워크플로우와 자동화된 대응 역량이 필요합니다.
문서화 부담이 인력 부족 팀에 가중. 문서화 요건은 이미 인력이 부족한 팀에 감사 준비 부담을 가중시킵니다. 사이버 보안 정책, 위험 평가 문서, 보안 통제 이행 증거, Article 21의 10가지 필수 조치별 NIS2 체크리스트 준수 증빙을 모두 유지해야 합니다.
자원 제약으로 어려운 선택을 강요. 재정적 자원 제약은 이행 과제를 더욱 복잡하게 만듭니다. 조직은 신규 보안 통제, 준수 문서화 시스템, 직원 교육, 공급업체 평가, 서드파티 보안 감사 등 다양한 항목에 동시에 투자해야 합니다.

NIS2 체크리스트 및 모범 사례

이러한 함정을 피하려면 구조화된 접근이 필요합니다. 다음 NIS2 체크리스트를 이행 지침으로 활용하십시오:

ENISA 가이드라인으로 시작. ENISA 기술 이행 가이드라인을 권위 있는 기술적 기반으로 활용하십시오. 이 170페이지 분량의 비구속 문서는 실질적 이행 조치, 증거 예시, ISO 27001, NIST, IEC 62443과의 매핑을 제공합니다.
경영진 후원을 조기에 확보. 기술적 이행 시작 전 경영진 후원을 확보하십시오. 제29조 6항은 경영진이 NIS2 준수를 직접 책임지도록 규정합니다. 경영진 승인, 교육 이수, 감독 활동을 준수 증거로 문서화하십시오.
기존 프레임워크를 기반으로 구축. ISO 27001 인증을 유지 중이라면 10가지 필수 조치에 대한 갭 분석을 수행하십시오. ENISA 기술 이행 가이드라인은 기존 통제가 NIS2 요구사항을 충족하는지, 추가 조치가 필요한지 명확히 매핑합니다.
자동화된 대응 역량 구현. 24시간 사고 통보가 가능한 중앙 집중형 가시성과 자동화된 대응 역량을 배포하십시오. 로그 관리는 보존 요건을 충족해야 하며, 행동 기반 AI로 신규 위협을 탐지하고, 대응 자동화로 평균 복구 시간을 단축하며, 24/7 모니터링을 확보해야 합니다.
공급업체 평가 개별화. 각 직접 공급업체 및 서비스 제공자별 취약점을 평가하는 개별화된 공급망 보안 평가를 우선시하십시오. 모든 공급업체 계약에 의무사항, 감사 권한, 사고 통보 요건, 준수 검증 절차 등 보안 조항을 포함하십시오.
문서화 및 워크플로우 중앙화. 실시간 증거 수집, 버전 관리 및 승인 체인, 보안 통제 효과성에 대한 KPI가 정의된 디지털 문서화 시스템을 구축하십시오. 사고 분류 기준 및 에스컬레이션 절차가 자동으로 활성화되는 사전 구성된 사고 통보 워크플로우를 마련하십시오.

이 구조화된 접근을 따르는 조직은 NIS2 준수뿐 아니라 전반적인 보안 태세 개선도 달성할 수 있습니다. 준수를 위한 투자는 규제 요구를 넘어서는 운영상의 이점을 제공합니다.

NIS2 준수 일정 및 마감일

NIS2 규정은 지침 채택 및 회원국 전환 요건에 따라 정의된 일정에 따라 운영됩니다. 이러한 마감일을 이해하면 조직이 이행 활동의 우선순위를 정하고 자원을 적절히 배분할 수 있습니다.

이 지침은 2023년 1월 16일 발효되어, 회원국에 21개월 내 국내법 전환을 요구했습니다. 전환 마감일은 2024년 10월 17일이었습니다. 이 날짜 이후 모든 적용 기관은 각국의 NIS2 요건을 준수해야 합니다.

그러나 회원국별 전환 진행 상황은 크게 달랐습니다. 2024년 10월 마감일까지 23개 EU 회원국이 전환 미완료로 위반 절차에 직면했습니다. 이로 인해 국경을 넘나드는 조직은 관할 구역별로 서로 다른 이행 상태에 직면하는 단편화된 준수 환경이 조성되었습니다.

회원국은 2025년 4월 17일까지 필수 및 중요 기관 목록을 마련해야 합니다. 이 등록 마감일 전까지 적용 기관은 분류를 위해 국가 관할 당국에 필요한 정보를 제공해야 합니다. 아직 국가 당국에 등록하지 않았다면, 적절한 분류 및 감독 배정을 위해 이 조치를 우선시하십시오.

유럽연합 집행위원회는 2027년 10월 17일까지, 이후 매 36개월마다 NIS2의 운영을 검토할 예정입니다. 이 검토 결과에 따라 준수 요건에 영향을 미치는 지침 개정이 있을 수 있습니다. 조직은 규제 동향을 모니터링하고, 잠재적 변경에 대응할 수 있도록 준수 프로그램의 유연성을 유지해야 합니다.

아직 준수 프로그램을 구축 중인 조직은 전환 마감일이 지난 만큼 즉각적인 조치가 필요합니다. 위험 평가, 사고 대응 워크플로우 구축, 공급망 보안 평가를 우선시하십시오. 모든 준수 활동을 문서화하여 감독 당국에 성실한 이행 노력을 입증하십시오.

AI 기반 사이버 보안 활용하기

실시간 감지, 머신 속도 대응, 전체 디지털 환경에 대한 종합적인 가시성을 통해 보안 태세를 강화하세요.

데모 신청하기

NIS2 지침 요약 및 주요 시사점

EU NIS2는 18개 중요 부문에 대한 필수 요건을 규정하며, 경영진 책임과 필수 기관에 대해 최대 1,000만 유로 또는 전 세계 매출의 2%에 달하는 처벌을 도입합니다. 이 지침은 10가지 위험 관리 조치, 24시간 조기 경보로 시작하는 3단계 사고 보고, 각 직접 공급업체 및 서비스 제공자에 대한 공급망 보안 평가를 요구합니다.

이행 성공을 위해서는 프로젝트 초기부터 이사회 후원, ENISA의 13개 주제별 프레임워크를 활용한 구조적 갭 분석, 자원 제약에도 불구하고 공격적인 보고 기한을 충족할 수 있는 자동화된 보안 역량이 필요합니다. 기존 NIS 지침에서 전환하는 기관은 공급망 평가와 사고 대응 워크플로우를 우선시해야 하며, 이들이 가장 큰 준수 격차를 나타냅니다.

자주 묻는 질문

NIS2가 무엇인지 이해하려면 공식 명칭부터 살펴봐야 합니다. NIS2(Directive (EU) 2022/2555)는 유럽 연합의 최신 사이버 보안 지침으로, 18개 주요 분야에서 운영되는 조직에 대해 필수 보안 요구 사항을 규정합니다. EU는 2016년 최초 NIS 지침의 한계, 즉 회원국 간 단편적인 이행과 효과적인 집행 메커니즘의 부재를 해결하기 위해 NIS2를 도입했습니다.

HSE 랜섬웨어 사고와 NotPetya가 해운 및 물류에 미친 영향 등 주요 인프라에 대한 고도화된 공격은 보다 강력하고 조화로운 사이버 보안 거버넌스의 필요성을 보여주었습니다. NIS2는 적용 분야를 확대하고, 명확한 경영진 책임을 도입하며, 최소 처벌 기준을 설정하고, 특정 사고 보고 기한을 의무화하여 EU 전역의 집단적 회복력을 강화합니다.

EU NIS2는 2023년 1월 16일에 발효되었으며, 회원국들은 2024년 10월 17일까지 해당 지침을 자국 법률로 전환해야 합니다. 전환 기한 이후 모든 적용 대상 기관은 각국의 NIS2 이행 법률에 따라 요구 사항을 준수해야 합니다.

회원국들은 2025년 4월 17일까지 필수 및 중요 기관 목록을 작성해야 합니다. 적용 대상 산업에 속한 조직은 이미 준수 조치를 시행하고 있어야 하며, NIS2 지침 요약에 따르면 현재 EU 전역에서 집행이 활성화된 상태입니다.

먼저, 귀하의 조직에 NIS2가 적용되는지 확인하기 위해 국가 관할 기관을 통해 분류 상태를 검증하십시오. ENISA의 기술 구현 지침을 권위 있는 프레임워크로 사용하고, 10가지 필수 위험 관리 조치를 구현하기 위한 NIS2 체크리스트를 활용하십시오. Article 21 요구사항에 대한 갭 분석을 수행하며, 사고 대응 워크플로우, 공급망 보안 평가, 문서화 시스템에 중점을 두십시오.

Article 20이 경영진의 개인적 책임을 규정하고 있으므로, 경영진의 조기 후원을 확보하십시오. 24시간 사고 통보가 가능한 자율 대응 기능을 배포하고, 사고 발생 전에 사전 구성된 보고 워크플로우를 구축하십시오.

에너지, 운송, 은행, 의료, 디지털 인프라, 제조 등 18개 적용 분야에서 운영되는 조직은 직원 수 50명 이상 또는 연간 매출 1,000만 유로 초과 기준 중 하나를 충족할 경우 준수해야 합니다.

직원 수 50명 미만이면서 매출이 1,000만 유로 이하인 소규모 및 초소형 기업은 일반적으로 제외됩니다. 귀하의 국가 관할 기관은 해당 관할 구역에 대한 공식 엔터티 목록을 게시하여 최종 적용 범위를 제공합니다.

NIS2 필수 기관에 대한 벌금은 1,000만 유로 또는 전 세계 연간 매출의 2% 중 더 높은 금액에 달합니다. 중요 기관은 700만 유로 또는 매출의 1.4% 중 더 높은 금액이 적용됩니다. GDPR의 최고 등급 벌금은 2,000만 유로 또는 매출의 4%에 달합니다.

NIS2 벌금은 사이버 보안 위험 관리 실패에 대해 제21조 및 사고 보고 위반에 대해 제23조를 근거로 부과되며, GDPR은 데이터 보호 위반을 다룹니다.

사건이 귀 기관에 심각한 운영 중단이나 재정적 손실을 초래했거나 초래할 수 있는 경우, 또는 상당한 물질적 또는 비물질적 피해를 야기하여 다른 사람에게 영향을 미쳤거나 미칠 수 있는 경우 해당 사건은 중대한 것으로 간주됩니다.

귀하는 내부 운영에 대한 영향과 고객 또는 제3자에 대한 파급 효과를 모두 평가해야 합니다. 이 이중 기준에 따라 내부 영향이 제한적이더라도 고객에게 영향을 미치는 사건은 외부 피해에 따라 통지가 필요할 수 있습니다.

ISO 27001은 강력한 기반을 제공하지만 모든 NIS2 요구사항을 자동으로 충족하지는 않습니다. ENISA의 기술 지침은 ISO 27001 통제와 NIS2의 10가지 필수 조치 간의 실질적인 매핑을 제공하여 인증이 일치하는 부분과 격차가 존재하는 부분을 보여줍니다.

ISO 27001 구현 현황을 Article 21과 비교하여 체계적인 격차 분석을 수행하고, 사고 통지 기한, 공급망 보안의 구체성, 경영진 책임 조항에 중점을 두십시오.

통지 기한을 놓치는 것은 제23조 보고 의무 위반에 해당하며, 필수 기관의 경우 최대 €10 million 또는 전 세계 연간 매출의 2%까지 행정 벌금이 부과될 수 있습니다. 국가 관할 당국은 위반의 심각성, 고의 또는 과실 여부, 협조 수준, 이전 위반 이력을 고려하여 처벌을 결정합니다.

당국은 또한 강제 준수 명령을 내리거나 귀하의 비용으로 보안 감사를 명령할 수 있습니다.