[Commercial - Cybersecurity] Countdown to the EU’s mandatory cybersecurity Directive – NIS2

NIS 2 (Network and Information Security 2)이 탄생한 배경은 무엇인가요?

사이버 보안과 관련된 사건사고의 증가에 따라 유럽연합(EU)은 사회 인프라에 중대한 영향을 미치는 에너지, 교통,  금융 산업에 적용되는 사이버 보안 규정에 대해 재고하게 되었습니다. 해당 산업군들은 2016년 NIS Directive가 최초로 시행되었을 당시는 관련성이 적은 것으로 여겨졌으나 최근 사이버 보안 관련 중요성이 커지고 있습니다.

NIS2는 EU의 기존 NIS Directive에 대한 업데이트로써 기존 NIS에 현대적인 사이버 보안 규정을 적용합니다. 기업 및 기관들은 2024년 10월 17일까지 NIS2에 의해 부과되는 의무를 이행해야 합니다. NIS2는 다음 방안을 통해 공공 및 사기업의 사이버 보안 사건 대응 능력을 강화하게 됩니다. 

1. Directive가 적용되는 기업 및 기관의 범위를 확대
2. 구체적인 사이버 보안 및 사건 대응에 대한 기준을 확립
3. 의무 기준을 맞추지 못한 기업 및 기관에 대한 처벌
4. C-suite management의 사이버 보안 의무 미준수에 대한 책임 규정 도입
5. 사이버 보안 사건에 대한 보다 강화된 보고 규정의 확립
6. EU 회원국 간 사이버 보안 규정의 통일성 확보

NIS2 미준수에 따른 패널티는 어떻게 되나요?

NIS 2는 기존 NIS Directive가 확립한 규제의 틀을 기반으로 추가적인 의무를 부과합니다. 모든 기업 및 기관들은 250명 이상의 임직원을 고용하고 50 million euro의 연간 매출(annual turnover) 혹은 대차대조표(balance sheet) 상 43 million euro 이상일 경우 자동적으로 “essential” 혹은 “important” entity로 간주됩니다. Essential 및 important entity는 동일한 의무를 부과 받지만, important entities가 상대적으로 약한 집행 및 처벌 기준을 적용받습니다. 의무 위반에 따른 벌금은 다음과 같습니다.

1. Essential entities: 최대 €10m 혹은 연간 global revenue 의 2%
2. Important entities: 최대 €7m 혹은 연간 global revenue의 %1.4

사이버 보안 사건 발생 시, 기업 및 기관의 고위급 임직원들은 법률 위반에 따른 개인적인 책임을 져야 할 수도 있습니다.

어떠한 기업 및 기관들이 NIS2에 대해 관심을 가져야 하나요?

에너지 인프라, 공항, 철도, 보험, 수도 및 은행과 같은 전통적인 산업군이 NIS2의 적용 범위에 해당합니다. 또한 데이터 센터, 우편 서비스, 클라우드 제공자, 공공 네트워크  제공자, 식품 생산, 폐기물 처리, 우주 산업 등과 같은 보다 넓은 범위의 산업군 또한 포함됩니다. NIS2는 중앙 및 지방 정부 단위의 공공 행정 기관에도 적용되지만 국회와 중앙은행은 적용대상에서 제외됩니다.

NIS2에 의해 부과되는 의무에는 어떤 것이 있나요?

NIS2가 부과하는 주된 의무는 다음과 같습니다.

1. 사이버 보안 사건 사고에 대한 대응 및 관리
2. 사이버 보안 장치에 대한 테스트
3. 사이버 보안 규정을 통한 정보 보호
4. 사건 보고 체계 도입
5. 위험성 관리 및 정보 공개 기준 확립

새로운 법안은 모든 산업군에 영향을 미치게 됩니다. 공급망 보안과 관련하여서도, 공급망에 연계된 기업 및 파트너들의 사이버 보안 규정 및 사이버 보안 행위에 대한 심도 있는 조사와 고려가 이루어져야 합니다.

새로운 사이버 보안 보고체계가 도입됩니다. 보고를 해야 하는 ‘significant impact’를 주는 사안은 다음과 같이 정의됩니다: “incidents that have caused or are capable of causing severe operational disruption of the services or financial loss for the entity concerned…or are capable of affecting other natural or legal persons by causing considerable material or non-material damage.” (요약: 심각한 수준의 서비스 장애 및 금전적 손실을 일으키는 사안 혹은 타 법인 및 개인에게 심각한 손실을 일으킬 수 있는 사안). 해당 사안 발생 시 이는 EU 회원국들에 의해 새롭게 신설되는 NIS regulators 혹은 national computer security incident response team에게 보고 되어야 합니다.

사건 사고에 관하여 다음과 같은 단계별 보고체계가 도입됩니다.

1. 불법 및 적대적 행위에 의해 타 국가에도 영향을 미치는 사안이 발생한 것으로 의심되는 인지 시점으로부터 24시간 이내에 조기 경고가 이루어져야 함
2. 조기 경고가 이루어진 사안에 대한 업데이트 및 추가적인 조사에 대한 2차 보고가 지체 없이 72시간 내에 이루어져야 함

NIS2와 관련한 법안은 어떻게 영국 내 기업 및 기관들에 영향을 미치나요?

EU와 영국은 다양한 방면으로 확대되고 있는 사이버 리스크를 효과적으로 관리하고 사이버 및 정보 보안을 재고하기 위해 기존 법안을 수정하고 있습니다. 영국 정부는 2022년 11월 30일 다음과 같은 방향으로 현행 NIS regulation을 개정할 방침을 밝혔습니다.

1. Managed service providers를 규제 대상에 적용시킴으로써 디지털 공급망의 안전성 확보
2. 규제 기관에 대한 사이버 사건 보고 체계 강화
3. 현행 NIS regulation 집행에 대한 cost recovery system 확립
4. 정부에 NIS regulation 개정에 대한 유연적인 권한 부여
5. UK Information Commissioner가 디지털 서비스 규제에 대해 risk-based approach를 취할 수 있도록 함

NIS2와 이에 따른 영국의 신규 법안 사이의 시너지 효과가 기대되고 있습니다. 영국 관리들에 의하면 핵심  인프라 산업에 대한 사이버 보안 규제 방안 법안과 NIS2간 차이점이 있을 것이라고 하였습니다. 예를 들어 영국 법안에서는 사건 보고의 범위를 직접적으로 서비스 제공에 영향을 미치지 않더라도 서비스 제공자의 보안에 중대한 영향을 미칠 리스크가 있는 사안까지 확대하는 것을 검토하고 있습니다.

NIS2에 직접적으로 해당되지 않는 영국 기업 및 기관들도 공급망에 참여하는 기업이 NIS2의 적용 대상에 해당되면, 실질적으로 규제 대상에 직접적으로 해당되는 것과 같은 수준의 간접적인 영향을 받을 수 있습니다. 이는 EU에 서비스를 제공하지 않지만 공급망에 참여하는 영국 내 기업 및 기관의  경우 해당될 수 있습니다.

기업 및 기관들은 어떻게 대응해야 하나요?

새로운 의무 준수 기한이 2024년 10월 17일로 1년도 남지 않은 상황입니다. 따라서 기업 및 기관들은 다음과 같은 대응책을 도입하는 것을 고려해야 합니다.

1. 각 기업 및 기관에 적용되는 규정에 대한 이해 – 본인의 기업 및 기관이 NIS2에 해당하는지 파악해야 합니다. 해당되는 경우, essential entities 및 important entities에 대한 규제가 적용됩니다.
2. NIS2에 대응할 수 있는 역량 파악 – 본인 기업 및 기관의 NIS2 컴플라이언스 현황을 파악하고 부족한 부분을 파악하여 대응할 수 있는 가이드라인을 확립해야 합니다.
3. 사건 대응 프로세스 및 대응 인력에 대한 테스트 – C-suite executives부터 협력관계에 있는 제3자까지, 본인의 기업 및 기관과 연계된 모든 인원은 사이버 보안 사건에 대한 신속하고 안전한 대응을 위한 본인의 의무를 인지하여야 합니 다. 내부 협력은 효율적인 사이버 사건 대응에 가장 중요한 요소로써 NIS2에 의해 도입되는 새로운 보고 시스템과 미 준수 시 부과되는 페널티에 대한 설명이 내부 인원들에게 이루어져야 합니다.
4. 사이버 위협 및 취약성 관리 프로그램 개발 – 인증받은 사이버 보안 전문가로부터 기업 및 기관의 주요 시스템에 대 한 주기적인 취약성 점검 및 penetration test가 이루어져야 합니다. 기업 내의 사이버 보안에 대한 인식을 재고하기 위 해 점검 결과가 투명하게 공개되어야 합니다.
5. 내부 리스크 관리 정책 및 프로세스 확립 – 이는 Information Systems/Information Technology, cybersecurity, privacy legal, corporate legal, compliance and finance 와 같은 다방면적 분야에서의 리스크 관리를 포함합니다.
6. 현존하는 cyber insurance policy 업데이트 – 본인의 기업 및 기관이 cyber insurance policy를 가지고 있다면, NIS2로 인한 영향이 해당 보험에 의해 보호될 수 있는지 확인해야 합니다. 만약 본인의 기업 및 기관이 global cyber insurance policy 를 가입하지 않았다면 NIS에 초점을 둔 보험을 계약하는 것을 고려해야 합니다.

EU 회원국에 지사를 둔 다국적 기업 및 기관들이 고려해야 할 사항

NIS2 제26항에 따르면 NIS2에 해당되는 기업 및 기관들은 각자 등록된 국가의 법령이 정한 사이버 보안 규정을 적용받게 됩니다. EU 내에 일부라도 소재한 다국적 기업들은 NIS2에 적용될 가능성이 있으며 이에 따른 규제 컴플라이언스를 마쳐야 합니다.

위에서 설명드린 대응책과 관련하여 EU 내에 소재한 자회사에 부과된 벌금이 EU 외에 소재한 모회사에도 부과될 수 있습니다. 따라서 모회사는 전 세계적인 NIS2 컴플라이언스를 확보하고 NIS2로 인해 발생할 수 있는 높은 수준의 벌금 및 이에 따른 경영 리스크에 대비해야 합니다.

EU entity (법인 등) 없이 EU 내에서 활동하고 있는 기업들은 EU 기반의 representative를 임명하는 것을 고려해 볼 수 있습니다. 또한 NIS2 컴플라이언스와 연계된 IT 및 사이버 보안에 수반되는 비용을 사전에 점검할 필요가 있습니다.

How 3CS can help

저희의 기업법 그리고 상법팀 변호사들은 사이버 보안 및 정보 보호에 관련하여 국내, 외의 사안에 대한 풍부한 경험을 지니고 있으며 이를 기반으로 사이버 보안과 연계된 포괄적인 법률 자문을 제공합니다. NIS2와 관련한 구체적인 사항 및 사이버 보안과 관련된 법률 자문이 필요하시다면 다음을 통해 연락 주시기 바랍니다.