NIS 2

유럽연합의 사이버 보안 표준을 설정하기 위해, 다양한 분야의 기업은 보안 전략을 문서화해야 합니다. 카운트다운이 시작되었고 이제 우리가 함께 준비할 시간입니다!
보안 잠금 장치가 있는 네트워크화된 지구본

새로운 EU 사이버 보안 지침인 NIS 2가 2024년 10월 18일부터 의무화됩니다. 구속력이 있는 이 규정은 유럽연합 전체의 사이버 보안에 대한 표준을 설정하고 다양한 부문의 기업이 보안 전략을 문서화하도록 강제합니다.

카운트다운이 시작되었고 기업은 행동에 나서야 합니다.
함께 준비합시다!

NIS 2란 무엇입니까?

EU는 회원국에 대해 NIS 2 네트워크 및 정보 보안 지침 형태의 엄격한 사이버 보안 규정을 도입했습니다. NIS 2는 2016년에 발효된 NIS 지침의 후속 버전입니다. 따라서 전체적인 보안 전략의 구현은 더 이상 사이버 공격으로부터 보호하기 위해서만 필요한 것이 아니라 법적 요구 사항이기도 합니다.

회원국은 2024년 10월 17일까지 NIS 2 지침을 준수하기 위해 필요한 조치를 채택해야 하며, 2024년 10월 18일부터 이러한 조치를 적용해야 합니다.

NIS 1과 NIS 2의 차이점

NIS 1은 NIS 2와 어떻게 다릅니까?

NIS 2는 EU의 네트워크 및 정보 시스템에 대한 높은 수준의 보안을 보장하기 위해 고안된 2016년 NIS 지침의 개선된 버전이지만 그럼에도 불구하고 몇 가지 단점이 있습니다.

NIS 1과 NIS 2의 주요 차이점은 다음과 같습니다.

  • 새로운 버전에는 에너지, 의료, 운송, 디지털 인프라 등과 같은 사회와 경제에 필수적인 분야와 기업이 더 많이 포함됩니다.

  • NIS 2는 영향을 받는 회사와 조직이 효과적인 위험 관리 시스템을 운영하고 심각하거나 중대한 사이버 사고를 이후 필요한 조치를 취할 수 있도록 책임 있는 국가 당국에 보고하도록 요구합니다. NIS 1은 보안 조치 및 사고 보고에 대한 일반 사양만 제공했습니다.

  • 새로운 보안 지침에서는 회원국에 대해 보다 엄격한 제재를 규정합니다. 이에 따라 영향을 받은 회사 및 조직이 필요한 보안 조치를 구현하지 않거나 심각하거나 상당한 사이버 사고를 관련 국가 당국에 보고하지 않을 경우 최대 2천만 유로 또는 전 세계 매출의 4%에 달하는 금액을 배상해야 할 수 있습니다. NIS 1은 제재의 정의를 회원국에 맡겼기 때문에 제재가 일관적으로 적용되지 않았습니다.

  • NIS 2는 사이버 보안 관리의 개인 책임을 강조하고 최고 경영자들이 법적 규정을 준수하지 못할 경우 개인 자산에 대한 책임을 져야 한다고 최초로 규정했습니다.

NIS 2의 대상 그룹

이는 누구에게 영향을 미칩니까?

2024년 10월 17일 – 이는 모든 27개 EU 회원국이 NIS 2 사이버 보안 규정을 자국 법률에 원활하게 통합해야 하는 기한입니다. 그러나 긴급한 질문가 여전히 남아 있습니다. 어떤 회사가 NIS 2 지침을 구현해야 합니까?

필수 기업: 중요 인프라 분야에서 활동하는 조직이 해당됩니다. 여기에는 에너지, 운송, 물 관리, 의료 또는 은행이 포함됩니다.

중요 기업: 이 범주에는 식품 및 화학 산업의 선두 기업뿐만 아니라 전기 장비, 기계 및 차량 제조를 담당하는 기업도 포함됩니다.

또한 회원국은 NIS 2의 영향을 받는 대상 그룹의 범위를 확장할 수 있는 옵션을 가지고 있습니다. 국가 목록에 추가 기관을 포함하여 지방 당국, 교육 기관 등이 지침을 구현하도록 요구할 수 있습니다.

NIS 2에 대한 알림

어떤 처벌을 받을 수 있습니까?

NIS 2 지침은 보고 의무를 이행하지 않거나 준수하지 않을 경우 높은 벌금을 부과하는 등 엄격하게 시행됩니다. 부과되는 벌금의 범위는 개별 회사의 분류에 따라 다릅니다.

"중요"로 분류된 회사는 이전 회계연도에 700만 유로 또는 전 세계 연간 수익의 최대 1.4%에 해당하는 벌금을 납부해야 합니다. "필수 기업"은 최대 1,000만 유로 또는 전 세계 연간 총 수익의 최대 2%에 해당하는 벌금을 지불해야 할 수도 있습니다.

사이버 보안과 관련하여 기업실사는 협상의 대상이 아니며 경영진은 이러한 사이버 보안 조치의 구현 및 모니터링을 감독할 의무가 있습니다.

이것이 실제로 당신에게 무엇을 의미합니까?

NIS 2 지침은 2023년 1월 16일에 발효된 EU 지침으로, 중요 인프라 및 디지털 서비스 제공업체의 사이버 보안과 복원력을 개선하기 위한 것입니다. 지침은 영향을 받는 회사와 조직이 효과적인 위험 관리 시스템을 유지하고 심각하거나 중요한 사이버 사고를 이후 필요한 조치를 취할 수 있도록 책임 있는 국가 당국에 보고하도록 요구합니다. 사용자, 환경, 공공 질서에 대한 잠재적 피해를 최소화하기 위해 보안 취약점을 조기에 식별하고 이에 대한 예방 조치를 취하는 것을 목표로 합니다. 관련된 모든 당사자가 동일한 높은 표준을 준수하도록 하기 위해 회사는 전체 공급망의 보안을 보장하고 요구 사항을 비즈니스 파트너 및 공급업체에 전달해야 하는 책임도 있습니다. 기타 조치는 다음과 같습니다.

  • 데이터 및 서비스의 기밀성, 무결성, 가용성 및 신뢰성을 보장하기 위해 현재 표준 및 모범 사례를 준수하는 적절하고 비례적인 보안 조치를 구현합니다.

  • 사이버 사고 이후 정상적인 운영 조건을 복원할 수 있는 비즈니스 연속성 계획을 수립하고 업데이트합니다.

  • 무단 액세스를 방지하기 위해 네트워크 및 정보 시스템에 대한 액세스에 대해 다단계 인증을 구현해야 합니다.

유럽연합 사이버보안국(ENISA)이 이 법안의 적용을 모니터링하고 지원하는 데 중요한 역할을 하게 될 것입니다.

NIS 2 – 제조업체의 의무
전체 사실 개요
사이버복원력법(CRA)에 대한 종합 가이드

CRA에 대한 모든 중요 정보를 한눈에 보려면 백서 "사이버복원력법 - 디지털 제품을 위한 사이버 보안의 미래"를 요청하십시오. 이 문서에는 EU법에 대한 모든 필수 사실이 포함되어 있으며 피닉스컨택트가 CRA 요구 사항을 충족하는 방법에 대한 통찰력도 제공합니다.

지금 백서 다운로드
보안 잠금 장치가 있는 네트워크화된 세계

NIS 2 일정

NIS 2 지침은 2023년 1월 16일에 발효되었으며 2024년 10월 17일까지 국내법에 통합되어야 합니다. 지침의 이행은 2027년 10월 17일까지 위원회에서 처음 검토될 예정이며 향후 36개월마다 모니터링될 예정입니다.

이제 조치를 취하고 준비해야 할 때입니다.

NIS 2 타임라인

NIS 2는 이미 2023년 1월 16일에 시행되었습니다.

360°보안 주기

포괄적인 360° 보안 개념

360° 보안 – 타협 없는 포괄적인 제품군

역동적인 사이버 보안의 세계에서는 끊임없이 변화가 일어나며, NIS 2 지침의 도입은 이러한 사실을 강조합니다. 지침이 국내법으로 채택될 때까지 기다리는 동안 조치를 취하는 것이 시급하다는 점은 부정할 수 없습니다.

NIS 2의 엄격한 요구 사항을 충족하려면 유럽 및 국제 표준에 대한 근본적인 접근 방식에 기반해야 합니다. 이러한 표준은 보안 제품을 정의할 뿐만 아니라 탄력적인 보안 시스템의 구현을 위한 원칙도 정의합니다. 자동화 보안에 대해 전 세계적으로 인정받는 일련의 표준인 IEC 62443이 좋은 예입니다. 피닉스컨택트의 __포괄적인 360° 보안 개념__에는 해당 IEC 62443 인증을 통해 뒷받침되는 기술 및 조직적 조치가 모두 포함되어 있습니다.