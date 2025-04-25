GDPR과 마찬가지로 NIS2 미준수하면 상당한 벌금이 부과됩니다. 예를 들어, NIS2 지침 제34조는 다음과 같이 규정 미준수 시 처벌을 규정하고 있습니다.
EE(Essential Entity): 최소 1천만 유로 또는 전 세계 연간 매출의 2%
IE(Important Entity): 최소 7백만 유로 또는 전 세계 연간 매출의 1.4%
NIS2 지침은 사이버 보안과 관련하여 EU 전 지역을 아우르는 법안을 제공합니다. NIS2는 이전 NIS(Network and Information Security) 지침에 대한 업데이트입니다. 이 지침의 목표는 유럽 연합 회원국 전체에 공통의 사이버 보안 수준을 구축하는 것입니다. NIS2는 GDPR(General Data Protection Regulation)과 마찬가지로 디지털 인프라를 보호하기 위한 EU 회원국 전반의 조치와 접근 방식, 즉 증가하는 사이버 공격에 대처하기 위한 모범 사례를 조율하는 데 중점을 두고 있습니다.
랜섬웨어와 데이터 유출 같은 사이버 공격이 EU 전역의 기업과 비즈니스에 점점 더 큰 영향을 미치고 있습니다. ENISA(European Union Agency for Cybersecurity) 는 위협 환경에 대한 보고서를 발표하고, 새로운 형태의 피싱과 제로데이 악용이 실질적으로 EU 전역의 기업을 공격하는 데 사용되고 있다고 경고했습니다. 애플리케이션의 범위가 넓어지면서 NIS2는 에너지, 리테일, 운송, 은행, 보건, 공공 행정 등과 같은 중요 부문에서 '필수적이고 중요한 기관'의 사이버 보안을 개선하는 것을 목표로 합니다. 이 지침은 국경을 넘는 공급망과 서비스 벤더사의 보안도 다룹니다.
NIS2는 2023년 1월 16일에 발효되었고, EU 회원국은 2024년 10월 17일까지 NIS2를 국내법으로 전환해야 합니다.
NIS2는 시스템과 데이터에 대한 리스크를 줄이고 사이버 보안 피해를 방지하기 위해 총체적이고 엄격한 보안 제어를 시행하도록 하고 있습니다. 해당 요건은 랜섬웨어, 피싱, 무단 접속으로부터 IT 환경을 보호하는 등 다양한 IT 시스템과 리소스에 적용됩니다.
Akamai 보안 솔루션은 인텔리전스와 엔드투엔드 보호 기능을 제공함으로써 중요 인프라 OT(Operational Technology) 및 IT 시스템과 데이터를 유출, 보안 인시던트, 멀웨어 감염, 우발적인 데이터 유출로부터 보호합니다. Akamai 보안 플랫폼은 제로 트러스트 원칙을 기업 전반의 데이터 보호에 적용하는 데 필요한 동적 보안을 제공합니다.
Akamai는 기존의 엔드포인트 탐지를 넘어 데이터 보안과 데이터 개인정보 보호를 위한 강력한 제로 트러스트 솔루션을 제공하여 보안 팀의 보안 투자 효과와 ROI를 극대화할 수 있도록 지원합니다.
Akamai는 다음을 제공합니다.
NIS2 지침 제21조는 대상 기관이 ‘적절하고 비례적인 기술 및 조직적 조치’를 사용해 사이버 리스크를 관리해야 한다고 강조합니다. 조치에는 다음이 포함됩니다.
NIS2는 ‘경제와 사회 전반에서 중요한 기능을 수행하는 내부 시장의 모든 공공 및 민간 단체’를 포함하여 ‘적절한 사이버 보안 조치를 취해야 하는’ EU 내 모든 기업에 적용됩니다.
NIS2 지침은 ‘대상 단체’를 EE(Essential Entity)과 IE(Important Entity)의 두 종류로 나눕니다. 이중 EE에 해당하는 단체에는 컴플라이언스와 관련하여 정보 시스템 전반의 컴플라이언스 모니터링, 인시던트 보고 의무, 시행 조치에 대해 더 엄격한 규제 요건이 적용됩니다. 각 단체의 예는 다음과 같습니다.
다음 부문에서 활동하는 기업은 필수 기업(EE)으로 간주될 수 있습니다.
다음 부문에서 활동하는 기업은 중요 기업(IE)으로 간주될 수 있습니다.
NIS2의 영향을 받는 세 가지 부문의 예는 다음과 같습니다.
보건 - 헬스케어 기관은 NIS2가 적용되는 필수 서비스이므로 사이버 리스크를 방어하고 IT 시스템과 데이터의 손상을 방지하는 리스크 관리 조치를 포함한 엄격한 NIS2 규제 요건을 준수해야 합니다. 또한 인시던트 관리, 공급망 사이버 보안, 네트워크 보안, 접속 제어, 데이터 암호화가 필수적으로 요구됩니다. 헬스케어 기업과 같은 필수 서비스는 제로 트러스트 솔루션을 사용해 이러한 엄격한 보안 요구 사항을 준수할 수 있습니다. 제로 트러스트는 확장된 네트워크와 공급망 전반에서 더 적은 리소스로 강력한 보안을 달성함으로써 컴플라이언스 시간을 단축하는 데 도움을 줍니다.
리테일러 - 2022년 Sophos 보고서 리테일 부문 랜섬웨어 현황 은 리테일 부문을 겨냥한 위협의 증가 추세를 파악했으며, 2021년에는 리테일 기업의 77%가 랜섬웨어 공격의 피해를 입은 것으로 나타났습니다. NIS2는 ‘식품 생산, 가공 및 유통’과 ‘온라인 마켓플레이스 공급업체’를" ’중요 서비스’로 명시하고 있습니다. 따라서 많은 리테일 기업이 NIS2 컴플라이언스 범위에 포함될 것입니다. 리테일 기업은 제로 트러스트 보안을 활성화함으로써 IT 환경의 포괄적인 커버리지와 자산, 접속, 네트워크 흐름에 대한 심층적인 가시성을 활용하고 보안 정책을 세밀하게 시행할 수 있습니다. 이러한 포괄적인 접근 방식을 통해 리테일 기업은 NIS2 컴플라이언스를 위한 다양한 요구 사항을 충족할 수 있습니다.
써드파티 공급업체 및 서비스 공급업체 — Gartner는 2025년까지 전 세계 기업의 45%가 소프트웨어 공급망에 대한 공격을 경험할 것으로 예측합니다. 공급망은 기업 내부로 침투하려는 해커들에게 완벽한 표적입니다. NIS2는 주요 정보통신 기술의 공급망에 대한 엄격한 리스크 관리 요건을 통해 이러한 사이버 보안 리스크를 처리합니다. NIS2는 공급업체의 사이버 보안 관행의 품질 평가를 포함해 공급망 리스크 관리에 대한 선제적인 접근 방식을 요구합니다. 써드파티 공급업체는 제로 트러스트 보안 모델을 사용해 최소 권한 접속 등을 보장하는 포괄적인 보안 조치를 시행해야 합니다.
NIS2는 일련의 사이버 보안 조치와 리스크 관리 활동의 시행을 의무화합니다. 이러한 조치에는 접속 제어 및 최소 권한 적용, 강력한 멀티팩터 인증, 랜섬웨어 같은 악성 코드를 억제, 탐지 또는 방지하는 조치가 포함됩니다. Akamai의 솔루션 제품군은 제로 트러스트 보안을 제공해 고객이 랜섬웨어 및 기타 지능형 공격의 확산을 차단할 수 있도록 지원하도록 설계되었습니다. Akamai는 클라우드 컴퓨팅과 분산된 인력으로 인한 리스크 증가를 비롯한 취약점으로부터 기업을 보호합니다.
NIS2는 사이버 보안에 관한 EU 차원의 통일된 법률을 제공하는 EU 지침입니다. NIS2, 즉 NIS(Network and Information Security) 2 지침은 이전의 NIS 지침을 업데이트한 것입니다.
NIS2는 유럽 연합 내 11개 필수 부문과 7개의 중요 부문에서 활동하는 기업에 적용됩니다. NIS2의 적용을 받는 기업은 규정에 따라 사이버 공격으로부터 시스템을 보호하고 강력한 인시던트 대응 계획을 수립해야 합니다. 두 가지 범주에 해당하는 부문에 대한 자세한 내용은 NIS2 지침 전문에서 확인할 수 있습니다.
NIS2 지침 제23조에는 엄격한 사이버 유출 보고 규칙이 명시되어 있습니다. 규정에 따르면 유출 통지는 ‘가능한 한 지체 없이’ 이루어져야 합니다. 중대한 사고를 인지한 후 24시간 이내에 통지(‘조기 경고’)해야 하며, 72시간 이내에 초기 평가를 제공해야 합니다. 이 룰은 개인 데이터가 노출되었다는 징후가 없는 경우에도 적용됩니다.
NIS 23조에는 사이버 공격의 급증, 디지털 혁신, 팬데믹 및 원격 근무로 인한 업무 중단을 고려해 지침을 정기적으로 검토해야 한다는 요구 사항이 포함되어 있으며, 그 결과 업데이트된 지침인 NIS2가 발표되었습니다. 새 버전의 변경 사항에는 적용 대상 기관의 범위 확대, 모든 중견 및 대기업에 적용, 고위험 소규모 기업에 적용이 포함됩니다. NIS2는 비즈니스 연속성 및 위기 관리, 취약점 처리 및 공개, 멀티팩터 인증 같은 영역을 다루는 보안에 대한 리스크 기반 접근 방식에 중점을 두고 있습니다.
