소개: 새로운 IT 보안 패러다임

‍

2023년 1월 17일(이탈리아에서는 10월 16일)에 발효된 NIS2 지침은 이전 NIS 지침과 크게 달라졌습니다. 이 규제 프레임워크는 모든 EU 회원국을 위한 공통 사이버 전략을 수립하는 것을 목표로 하며, EU 전역의 디지털 서비스 보안 수준을 높이는 것이 주요 목표입니다.

‍

정보 보안 관리에 대한 접근 방식에 큰 변화를 가져올 유럽 NIS2 지침의 시행 시즌이 공식적으로 시작되었습니다.

‍

억압 및 제재 프로세스의 측면을 적극적인 참여 촉진에 후순위로 두는 국가사이버보안청(ACN)의 소통 노력을 높이 평가하지만, 지침의 목표를 이행하는 과정은 흔히 '종이 보안'이라고 불리는 보안 관리 시스템에 대한 형식적인 복종만으로 해결될 수 없으며, 구체적이고 지속 가능한 보안 목표를 정의하는 데 상당한 노력이 필요하다는 것이 분명합니다.

경계의 확장: NIS2에 관여하는 사람

NIS2 지침은 유럽 전역에서 공유되는 사이버 보안과 복원력 강화를 위한 중요한 발걸음입니다. 규정 및 지침과 관련하여 많은 기업은 규정 준수를 최소한의 요건을 충족하여 준수해야 하는 궁극적인 목표로 간주합니다. 하지만 이는 더 높은 수준의 사이버 보안을 달성하기 위한 출발점으로 보아야 합니다.

NIS2 지침은 국정원의 대대적인 개편에서 비롯된 것으로, 보안 사고 발생 시 디지털 서비스의 연속성을 보장하기 위해 회원국들이 적절하게 조율되고 혁신적인 대응을 제공함으로써 유럽 사이버 전략의 완전한 정의를 향한 또 다른 중요한 발걸음을 내딛는 것입니다.

‍

NIS2는 폐기물 관리, 운송, 식품 산업, 식수 공급 및 유통, 디지털 인프라, 공공 행정, 의약품 및 의료 기기 생산, 연구 개발, 우주 분야와 같은 중요한 분야를 포함하여 이전 NIS 지침에 비해 적용 범위가 크게 확대되었습니다.

‍

NIS2 지침을 이탈리아 법률로 전환하는 법령 138/2024에 따르면 해당 조항은 2024년 10월 16일부터 적용된다고 명시되어 있습니다.

‍

이 규정은 해당 기업이 RCE 지침의 의미 내에서 '중요한' 기업, 공공 전자 통신망 제공자, 신탁 서비스 제공자 또는 필수적인 것으로 간주되는 기타 특정 범주에 속하지 않는 한 소규모 기업에는 적용되지 않습니다.

‍

회원국에서 필수 서비스를 제공하는 경우, 해당 서비스가 공공 안전, 보안 또는 보건에 중요한 경우, 필수 또는 중요 기업의 공급망에 속해 있는 경우, 직원 수가 50명 미만인 기업에도 NIS2가 적용됩니다.

‍

기업의 주요 중요 이슈

‍

1. 계층화된 모델의 복잡성 및 분류 문제

이러한 운영상의 복잡성은 이탈리아 입법자가 선택한 '계층형' 모델에 반영되어 있습니다. 첫 번째 계층은 표준 계층, 즉 소규모 기업의 규모 제한을 초과하는 필수 또는 중요 주체의 계층입니다. 두 번째 계층은 규모나 매출액에 관계없이 규정된 특정 범주에 속하는 기업들로 구성됩니다.

‍

중요한 문제는 규모 측면의 실제 측정과 관련된 것으로, 비즈니스 세계에서 '계열사'라는 개념에 대한 참조로 인해 항상 절대적인 비전이 명확하지 않습니다.

‍

두 개 이상의 회사 간의 연결은 이론적으로 실제 공식화된 그룹을 형성하려는 의도와는 무관하며, 개별적으로 고려하더라도 규칙에서 규정하는 규모 제한에 도달하지 못하는 법인을 중소기업 그룹에서 제외하는 결과를 초래합니다.

‍

2. 경제적 및 조직적 부담

프로세스의 이상에서 구체적인 접근 방식으로 내려가면 문제는 다소 달라지는데, 이는 다수의 중소기업으로 기본 구조가 구성된 국가의 경제적 차원과 충돌하기 때문입니다. 이는 NIS2를 구현하는 데 있어 중요한 도전 과제이며, 현실적으로 소규모 기업에게는 과도한 부담이 될 수 있습니다.

‍

유럽연합의 사이버 보안을 개선하기 위한 목적으로 제정된 NIS2 지침의 처벌은 순전히 행정 및 형사 처벌입니다. 필수 사업자는 최대 1,000만 유로 또는 전 세계 총 매출액의 2%에 해당하는 행정 벌금이 부과될 수 있습니다. 반면 주요 사업자는 최대 700만 유로 또는 전 세계 총 매출액의 최대 1.4%에 해당하는 벌금이 부과될 수 있습니다.

‍

3. 관리 책임

입법령은 확실성을 도입합니다. 경영진과 관리 기관의 책임이있을 것입니다. 기업의 관리 기관은 법률을 준수하기 위해 적극적인 역할을 수행해야 하며, 보안 위험 관리 조치의 이행을 승인하고 법률에 명시된 의무의 이행을 감독해야 하며 위반에 대한 책임을 져야 합니다.

4. 인시던트 보고 및 위험 관리

개정 법령은 사고 보고 요건을 강화하여 서비스 제공에 중대한 영향을 미치는 사고는 부당한 지체 없이 CSIRT 이탈리아에 보고해야 한다고 규정하고 있습니다. 신고 절차는 24시간 이내에 사전 신고, 사건 발생 후 72시간 이내에 신고, 사건 발생 후 1개월 이내에 최종 신고라는 엄격한 일정을 규정하고 있습니다.

‍

NIS2 지침은 높은 수준의 사이버 보안을 보장하기 위해 조직이 충족해야 하는 여러 가지 주요 요건을 명시하고 있습니다. 이러한 요건에는 위험 분석 및 정보 시스템 보안 정책, 위험 관리 조치의 효과성을 평가하기 위한 전략, 기본적인 디지털 위생 관행 및 사이버 보안 교육이 포함됩니다.

‍

5. 공급망에 집중

국정원2 지침을 대체하는 입법안은 매우 중요하거나 중요하다고 판단되는 분야에만 초점을 맞추는 것이 아니라 원시안적으로 그 공급업체까지 포함함으로써 시행령의 적용을 받을 수 있는 대상을 상당히 확대하고 있는 것으로 보입니다.

‍

NIS 2 지침은 의무 대상 기업이 정보 시스템 및 네트워크에 제기되는 보안 위험을 관리하기 위해 적절하고 비례적인 기술적, 운영적, 조직적 조치를 취해야 하며, 각 기업과 직접 공급업체 또는 서비스 제공업체 간의 관계에 관한 보안 측면을 포함한 공급망 보안도 고려하도록 규정하고 있습니다.

‍

지켜야 할 주요 마감일

따라서 2026년 10월까지 완료해야 하는 규정 준수를 위한 경쟁이 시작됩니다. 2025년 초까지 NIS2 대상으로 확인된 기업은 IT 보안 관리 시스템과 관리 책임을 포함하여 계획된 모든 조치를 운영해야 합니다. 2025년 5월까지 기업은 기관 플랫폼에서 데이터를 업데이트해야 합니다. 2026년 1월에는 중대한 사고를 적시에 보고해야 하는 공식적인 의무가 시행되며, 2026년 9월까지 기업은 모든 필수 보안 조치를 이행해야 합니다.

‍

2024년 10월 16일부터 새로운 네트워크 및 정보 보안 (NIS) 규정이 시행됩니다. ACN은 NIS 관할 기관이자 단일 연락 창구입니다. 2024년 12월 1일부터 2025년 2월 28일까지 새로운 법안이 적용되는 중견 및 대기업, 경우에 따라 중소기업, 공공 기관은 ACN 서비스 포털에 등록해야 합니다.

‍

결론: 필요하지만 어려운 패러다임의 전환

사회의 상호 연결성과 디지털화가 증가함에 따라 기관, 기업, 시민이 사이버 위협에 점점 더 많이 노출되고 있습니다.

‍

국가 사이버 보안국의 최고 경영진은 이 프로세스를 지속 가능하게 만들겠다고 공개적으로 약속했으며, 이는 증가하는 위협에 대처할 수 있는 국가의 능력에 전환점이 될 수 있습니다. 국가의 생산적 및 행정적 구조가 매우 분명한 문화적 전환점이며 직관적으로 공원에서 산책하거나 '비용 중립적'이 아닌 것에 어떻게 대응할 수 있는지 기다려야 할 것입니다.

‍

따라서 NIS2에 적응하는 것은 표준을 준수하는 문제일 뿐만 아니라 보안 문화와 기술 및 조직 모범 사례를 회사에 도입하여 IT 보안 수준을 크게 높일 수 있는 좋은 기회가 될 수 있습니다. 그러나 회사의 다양한 자산과 인력을 적절한 주기적 교육 주기에 따라 단계적으로 조정하기 위해 즉시 적응 계획을 준비하는 것이 중요합니다.

NIS2 지침을 준수할 의무가 있는 기업이 아니더라도 사이버 위험에 대한 인식 과정을 시작하는 것은 비즈니스의 미래를 보호하기 위해 중요합니다.

‍

따라서 NIS2는 이탈리아 기업에게 복잡하지만 반드시 필요한 과제입니다. 부담스러울 수 있는 새로운 의무와 책임이 부과되지만, IT 보안을 단순한 비용이 아닌 전략적 요소로 다시 생각할 수 있는 기회도 제공합니다.