유럽연합(EU)의 사이버 보안 규정인 네트워크 및 정보 보안 지침 2(NIS 2)가 최근 시행에 들어갔지만, 많은 회원국들이 이를 제때 국가법에 반영하지 않아 시행 초기부터 혼란을 겪고 있다. NIS 2는 기업들이 내부 사이버 보안 전략 및 운영 관행을 강화하도록 요구하는 강화된 법적 기준을 제시한다. 이 지침은 리스크 관리, 투명성 의무, 사이버 사고 발생 시 비즈니스 연속성 계획 등을 포함하여, 기업이 사이버 공격에 대응하기 위한 체계를 마련하도록 강제한다.
NIS 2는 지난 목요일 공식적으로 회원국이 시행할 수 있는 규칙으로 전환되었다. 그러나 현재까지 대부분의 EU 회원국들이 NIS 2를 자신의 법률로 전환하지 못해 법 집행이 불균형적으로 이루어질 것으로 보인다. 포르투갈과 불가리아는 NIS 2의 이행 과정을 시작조차 하지 않은 것으로 확인되었다. 이는 인터넷 연구 단체인 DNS 연구 연합이 제공하는 추적 도구를 통해 밝혀졌다.
전문가들은 EU 내에서 NIS 2의 이행 상태가 매우 다르다고 지적한다. 플라드게이트의 기술 변호사인 팀 라이트는 이메일을 통해 각국의 시행 여부가 크게 다름을 강조했다. NIS 2는 IT 시스템과 네트워크의 보안을 강화하고, 해커가 기업의 민감한 데이터를 타겟으로 삼는 현상에 대응하기 위해 2020년에 처음 제안된 법이다.
이번 법의 적용대상에는 은행, 에너지 공급자, 의료기관, 인터넷 제공업체, 운송업체, 폐기물 처리 업체 등 일반 소비자에게 필수 서비스를 제공하는 조직이 포함된다. 이 법에 따르면 기업들은 사이버 취약점이나 해킹 사건에 대한 정보를 다른 기업과 공유하고 보고할 의무가 있으며, 사이버 사고 발생 시 24시간 이내에 조기 경고를 제출해야 한다. 이는 GDPR(일반 데이터 보호 규정)에서 요구하는 72시간 보고 기한보다도 더욱 엄격한 기준이다.
NIS 2의 효과적인 시행 여부는 회원국 간 일관된 시행 및 법 집행에 크게 의존한다. 그렇지 않을 경우 사이버 범죄자들은 법적 반응이 느린 국가를 타겟으로 삼거나 취약한 공급망을 통해 더 큰 조직에 접근할 가능성이 높아진다. 기업들은 이 목표에 맞추어 내부 프로세스와 사이버 보안 문화 구축에 많은 노력을 기울여왔다. 하지만 플라드게이트의 라이트는 각국의 로컬 적응으로 인해 발생한 불균형이 특히 자원이 제한적인 작은 조직에 큰 어려움을 초래할 수 있다고 경고한다.
NIS 2 불이행 시 주요 서비스 제공 기업들은 최대 1000만 유로(약 1090만 달러)의 벌금을 부과받거나, 전 세계 연간 수익의 2%에 해당하는 벌금을 물어야 한다. 반면, 식품 기업, 화학 기업 등 ‘중요한’ 기업은 최대 700만 유로 또는 연간 수익의 1.4%의 벌금에 직면할 수 있다. 이외에도 서비스가 정지될 수 있는 위험과 함께 더 엄격한 감독이 이루어질 수 있다.
NIS 2는 사이버 보안 위협에 대한 경각심을 높이기 위해 강력한 규제를 통해 기업이 책임감을 가지고 대응하도록 유도하고 있다. 따라서 기업들은 리스크 관리, 사건 대응, 직원 교육, 리더십 책임 등 다양한 측면에서 사이버 보안의 기준을 준수해야 한다.
NIS 2, EU Cyber Law, Implementation Issues,