유럽연합(EU)의 NIS 2(네트워크 및 정보 보안 지침 2)가 2023년 10월 27일부터 회원국들에 의해 시행되기 시작했지만, 많은 국가들이 이 규정을 자국 법제에 채택하는 데 실패하면서 시작이 순조롭지 않은 상황이다. NIS 2는 기업들의 내부 사이버 보안 전략과 관행에 대해 더욱 엄격한 요구사항을 부과하며, 기업이 사이버 공격 및 서비스 중단 사고에 대한 위험 관리를 강화할 것을 규정하고 있다.

NIS 2는 2020년에 제안된 법안으로, 사이버 보안 문제에 대한 새로운 도전과 위협을 다루기 위해 기존 NIS 지침을 업데이트한 것이다. 이 지침은 은행, 에너지 공급업체, 의료 기관, 인터넷 제공업체, 운송 업체, 폐기물 처리 기업과 같은 소비자에게 필수 서비스를 제공하는 조직에 적용된다.

하지만 현재로서는 여러 EU 회원국, 특히 포르투갈과 불가리아가 NIS 2를 자국의 법으로 통합하는 과정에 착수하지 않고 있어, 규정 시행의 일관성이 떨어질 위험이 있다. 이는 사이버 공격에 대한 방어력이 낮은 국가나 기업이 공격자에게 상대적으로 더 매력적인 표적이 될 수 있는 상황을 초래할 수 있다.

업계 전문가들은 이 새로운 규정이 효과를 발휘하기 위해서는 EU 회원국 간에 일관된 이행과 집행이 필수적이라고 강조한다. 또한, NIS 2에 따라 기업들은 사이버 취약점 및 해킹 사건에 대한 정보를 다른 기업들과 공유할 의무가 있으며, 사이버 침해 사고 발생 시 24시간 이내에 관계 당국에 알리도록 요구된다. 이는 EU의 일반 데이터 보호 규정(GDPR)에서 요구하는 72시간 통지 기간보다 훨씬 짧은 기한이다.

기업들이 NIS 2에 적합한 내부 프로세스와 문화로 변화하기 위해 노력해온 것에 비추어, 현재 NIS 2의 불완전한 도입 상황은 특히 자원이 제한된 작은 조직에 대해 과중한 부담을 줄 수 있다. 따라서 기업들은 지역별 규정의 차이에 부담을 느끼기보다는, 준수와 신고 의무 네트워크를 확립함으로써 효과적인 사이버 보안 관리 체계를 갖추는 것이 중요하다고 전문가들은 조언한다.

NIS 2를 위반할 경우, транспорт, 금융, 물 공급업체와 같은 '필수' 기업은 최대 1,000만 유로(약 1,090만 달러) 또는 전체 연간 매출의 2%의 벌금을 받을 수 있다. 한편, 식품, 화학, 폐기물 관리 서비스와 같은 '중요' 기업은 최대 700만 유로 또는 전체 연간 매출의 1.4%의 벌금에 직면할 수 있다.

결국, NIS 2는 기업들이 사이버 보안 위협 및 대응을 진지하게 받아들이도록 유도하는 법적 장치로 자리매김하고 있다. 이는 기업들이 리스크 관리 및 완화 조치에 대한 기준을 설정하고, 직원 교육 및 경영진 책임을 포함한 다양한 사안에 대한 엄격한 기준을 준수하도록 요구하고 있다.


crossorigin="anonymous">