NIS2 지침이란 무엇인가요?
유럽연합의 네트워크 및 정보 보안 지침(NIS)은 유럽연합 전역의 조직을 대상으로 높은 공통 수준의 사이버보안을 달성하는 것을 목표로 하는 법률입니다. 2016년에 처음 채택된 이 제도는 NIS가 개별 회원국의 재량에 크게 의존하고 책임성이 부족했습니다.
2023년 1월 16일, 디지털화의 증가와 사이버 공격의 급증으로 인한 위협이 증가함에 따라 EU는 보안 요건과 사이버 복원력을 강화하기 위해 NIS2를 채택했습니다. EU의 27개 회원국은 2024년 10월 17일까지 NIS2 지침을 적용 가능한 국내법으로 전환해야 합니다.
NIS2는 기존 NIS 지침을 더 많은 산업 분야로 확대하여 추가적인 위험 관리 조치와 사고 보고 의무를 추가합니다. 또한 더 강력한 시행을 제공합니다. NIS2는 4가지 주요 영역에서 NIS에 추가됩니다.
- 확장된 범위: NIS2는 7개에서 18개로 더 많은 분야로 범위를 확장합니다. 또한 NIS2는 핵심 또는 중요 분야로 분류하여 각기 다른 감독 요건을 적용하고 있습니다.
- 더욱 엄격한 보안 요건: 이 지침은 더 엄격한 사이버보안 조치를 시행합니다. 이러한 요건에는 위험 관리 관행, 기술 및 조직적 조치, 사고 대응 및 복구 계획, 직원 교육, 잦은 업데이트 및 패치가 포함됩니다.
- 특정 기간의 의무적 인시던트 보고: NIS2는 조직의 서비스 제공에 부정적인 영향을 미칠 수 있는 중대한 사이버보안 사고를 보고하도록 요구합니다. 조직은 표준화된 형식과 24시간의 단축된 보고 기간을 사용하여 '조기 경고' 보고서를 제공해야 하며, 사건을 처음 인지한 후 72시간 이내에 사건 알림을, 30일 이내에 최종 보고서를 제출해야 합니다.
- 제재를 통한 시행: NIS2 지침은 규정 미준수 시 재정적 제재를 강화하는 등, 보다 엄격한 제재를 적용합니다.
NIS2는 지침의 적용 범위를 7개 부문에서 18개 부문으로 확대했습니다. 이전 버전의 NIS에서는 의료, 교통, 디지털 인프라, 상수도, 은행, 금융 시장 인프라, 에너지를 핵심 분야로 지정했습니다. NIS2는 디지털 서비스 제공업체, 폐기물 관리, 제약 및 실험실, 우주, 공공 행정을 '핵심' 부문으로 추가합니다. 또한 공공 통신 제공업체, 화학물질, 식품 생산 및 유통업체, 중요 기기 제조업체, 소셜 네트워크 및 온라인 마켓플레이스, 택배 서비스 등 '중요' 부문 카테고리를 추가합니다.
핵심 법인은 감독 요건을 준수해야 하며, 중요 법인은 사후 감독만 받게 됩니다. 사후 감독이란 당국에 규정 위반 증거가 접수된 경우에만 감독 조치가 취해지는 것을 의미합니다.
NIS2 제21조는 "회원국은 필수 기관과 중요한 기관이 해당 기관이 운영 또는 서비스 제공에 사용하는 네트워크 및 정보 시스템의 보안에 제기되는 위험을 관리하고 서비스 수신자 및 기타 서비스에 대한 사고의 영향을 예방하거나 최소화하기 위해 적절하고 비례적인 기술적, 운영적, 조직적 조치를 취하도록 보장해야 합니다."라고 명시하고 있습니다. 제21조의 목표는 네트워크 및 정보 시스템과 해당 시스템의 물리적 환경을 사고로부터 보호하는 것이며, 최소한 다음 요소를 포함해야 합니다.
(a) 위험 분석 및 정보 시스템 보안에 관한 정책
(b) 사고 처리
(c) 백업 관리, 재해 복구 및 위기 관리와 같은 비즈니스 연속성
(d) 각 법인과 직접 공급업체 또는 서비스 제공업체 간의 관계와 관련된 보안 관련 측면을 포함한 공급망 보안
(e) 취약점 처리 및 공개를 포함한 네트워크 및 정보 시스템 획득, 개발 및 유지 관리의 보안
(f) 사이버보안 위험 관리 조치의 효과를 평가하기 위한 정책 및 절차
(g) 기본적인 사이버 위생 관행 및 사이버보안 교육
(h) 암호화 및 적절한 경우 암호화 사용에 관한 정책 및 절차
(i) 인적 자원 보안, 액세스 제어 정책 및 자산 관리
(j) 다중 인증 또는 지속적인 인증 솔루션, 보안 음성, 영상 및 문자 통신, 기업 내 보안 비상 통신 시스템(해당되는 경우) 사용.
NIS2 제2조 23항은 공격이 실제로 해당 기관의 운영에 영향을 미쳤는지 여부와 관계없이 "...서비스 제공에 중대한 영향을 미치는..." 모든 중대한 사이버보안 사고를 보고하도록 규정하고 있습니다. 인시던트 보고와 관련하여 가장 중요한 변화는 NIS2 지침에서 의무화된 다단계 인시던트 보고 프로세스와 반드시 포함해야 하는 내용을 자세히 규정한다는 점입니다.
조기 경고:
24시간 이내. 사이버보안 사고 발생 후 24시간 이내에 관할 기관 또는 국가별 관련 CSIRT에 초기 보고서를 제출해야 합니다. 초기 신고는 국경을 넘나드는 영향이나 악의적인 행위가 있을 수 있는 경우 조기 경고를 제공해야 합니다. 이 첫 번째 알림은 사이버 위협의 잠재적 확산을 제한하기 위한 것입니다.
후속 인시던트 알림:
72시간 이내. 보다 자세한 알림 보고서는 72시간 이내에 전달되어야 합니다. 여기에는 사고의 심각성, 영향, 침해 지표 등 사고에 대한 평가가 포함되어야 합니다. 또한 영향을 받은 단체는 해당 사건이 범죄인 경우 법 집행 기관에 신고해야 합니다.
최종 보고서: 1개월 이내.
최종 보고서는 최초 신고 또는 최초 보고 후 1개월 이내에 제출해야 합니다. 이 최종 보고서에는 다음 사항이 포함되어야 합니다.
- 사건에 대한 자세한 설명
- 그 심각성과 결과
- 인시던트를 유발했을 가능성이 있는 위협 또는 원인 유형
- 모든 적용 및 진행 중인 완화 조치
또한 NIS2 지침에 따라 기업은 중대한 사고를 초래할 수 있는 주요 사이버 위협을 발견할 경우 이를 보고해야 합니다. 위협은 다음과 같은 결과를 초래하는 경우 중대한 것으로 간주됩니다.
- 해당 기업의 중대한 운영 중단 또는 재정적 손실
- 중대한 물질적 또는 비물질적 피해를 유발하여 자연인 또는 법인에 영향을 미칠 수 있는 경우
NIS2 지침을 준수하지 않으면 NIS보다 더 엄격한 처벌을 받게 됩니다. NIS2 지침에 따라 규정 미준수에 대한 처벌은 핵심 기관과 중요 기관에 따라 다릅니다.
- 핵심 기관의 경우, 행정적 과징금은 최대 1,000만 유로 또는 필수 법인이 속한 회사의 직전 회계연도 전 세계 연간 총 매출액의 2% 이상 중 높은 금액이 부과될 수 있습니다.
- 중요 기관의 경우 행정적 과징금은 최대 700만 유로 또는 중요 법인이 속한 회사의 직전 회계연도 전 세계 연간 총 매출액의 1.4% 중 더 높은 금액이 부과될 수 있습니다.
백서
네트워크 및 정보 보안 지침 2(NIS2)
포괄적인 사이버보안 솔루션을 통해 조직이 NIS2 지침을 준수하는 방법을 알아보고 NIS2 요건에 대해 자세히 알아보세요.
탈레스가 NIS2 규정 준수를 지원하는 방법
탈레스와 탈레스의 자회사인 Imperva는 상호 보완적인 애플리케이션 보안, 데이터 보안, 신원 및 액세스 관리 제품으로 구성된 광범위한 포트폴리오를 제공하여 NIS2 요건을 충족하는 데 도움이 되는 포괄적인 솔루션을 제공합니다. 당사는 제21조에 따른 필수 사이버보안 위험 관리 요건을 해결하고 조직이 제23조 요건을 충족하기 위해 완전하고 정확하며 시기적절한 보고서를 작성하도록 지원함으로써 핵심 기관과 중요 기관이 NIS2를 준수할 수 있도록 도울 수 있습니다.
NIS2 규정 준수 솔루션
애플리케이션 보안
클라우드, 온프레미스 또는 하이브리드 모델에서 규모에 맞게 애플리케이션과 API를 보호합니다. 시장을 선도하는 당사의 제품군에는 웹 애플리케이션 방화벽(WAF), 분산 서비스 거부(DDoS) 및 악성 BOT 공격에 대한 보호, API 보안, 안전한 콘텐츠 전송 네트워크(CDN), 런타임 애플리케이션 자가 보호(RASP)가 포함됩니다.
데이터 보안
암호화 토큰화 및 키 관리를 사용하여 하이브리드 IT 전반에서 민감 데이터를 발견·분류하고 저장·전송·사용 중에 어디서나 자동으로 보호합니다. 탈레스 솔루션은 정확한 위험 평가를 위해 잠재적 위험을 식별·평가하고 우선순위를 정하며, 비정상적인 행동을 탐지하고 활동을 모니터링함으로써 규정 준수 여부를 검증하여 조직이 노력을 어디에 투자할지 우선순위를 정할 수 있도록 지원합니다.
ID 및 액세스 관리
고객, 직원, 협력사를 대상으로 애플리케이션과 디지털 서비스에 대한 원활하고 안전하며 신뢰할 수 있는 액세스를 제공합니다. 탈레스 솔루션은 세분화된 액세스 정책, 다중 인증, 피싱 방지 PKI/FIDO 하드웨어 기기를 통해 역할과 상황에 따라 내외부 사용자의 액세스를 제한하여 적절한 사용자가 적절한 리소스에 대한 액세스 권한을 적시에 부여받도록 보장합니다.
주요 NIS2 요건 준수
탈레스의 지원 방식:
- 모든 공개, 비공개, 섀도 API에 대한 잠재적 위험을 발견하고 분류합니다.
- 온프레미스 및 클라우드에서 위험에 처한 정형 및 비정형 중요 데이터를 식별합니다.
- 규정 준수 현황을 파악하고, 부족한 부분을 문서화하며, 완전한 규정 준수를 위한 경로를 제공합니다.
탈레스의 지원 방식:
- ServiceNow 티켓을 자동으로 열고 업데이트하여 인시던트 처리 속도를 높입니다.
탈레스의 지원 방식:
- 클라우드 호스팅 데이터를 보호하는 암호키에 대한 온프레미스 제어를 유지하여 제3자로 인한 위험을 줄입니다.
- 클라우드 제공업체 관리자와 조직 간의 역할을 완전히 분리하고 중요한 데이터에 대한 액세스를 제한하세요.
- 원치 않는 활동으로 인해 공급망 활동이 중단되는 것을 감지 및 방지할 수 있도록 이상 징후를 모니터링하고 경고합니다.
- 공급업체, 파트너 또는 제3자 사용자와의 관계 관리를 활성화하고, 액세스 권한을 명확하게 위임합니다.
- 관계 기반의 세분화된 권한 부여를 사용하여 권한을 최소화합니다.
탈레스의 지원 방식:
- 웹 애플리케이션 방화벽으로 사이버 위협을 탐지하고 예방하여, 원활하게 운영하고 안심할 수 있는 환경을 보장합니다.
- 합법적인 트래픽은 계속 허용하면서, DDoS 공격과 악성 봇으로부터 중요한 네트워크 자산을 보호합니다.
- 데이터 중심 보안은 단순한 센서로도 광범위한 데이터 환경에서 보안과 규정 준수를 제공할 수 있다는 것을 의미합니다.
탈레스의 지원 방식:
- 온프레미스, 클라우드, 빅데이터 또는 컨테이너 환경의 저장 데이터를 암호화합니다.
- 데이터베이스의 민감한 정보를 익명화합니다.
- 클라우드 및 온프레미스 환경에서 키 관리를 간소화합니다.
- FIPS 140-2 레벨 3 환경에서 암호키를 보호합니다.
- 고속 암호화로 이동 중인 데이터를 보호합니다.
탈레스의 지원 방식:
- 정책을 통해 역할과 상황에 따라 내·외부 사용자의 시스템 및 데이터 액세스를 제한합니다.
- 위험 평가에 따라 상황에 맞는 보안 조치를 적용합니다.
- 조건부 액세스 기능을 갖춘 스마트 싱글사인온으로 비밀번호 관리로 인한 피로를 방지합니다.
- 원활하고 안전하며 개인 정보가 보호되는 액세스를 고객에게 제공합니다.
탈레스의 지원 방식:
- 가장 광범위한 하드웨어 및 소프트웨어 수단과 폼 팩터를 통해 다중 인증(MFA)을 사용합니다.
- 데이터/애플리케이션의 민감도에 따라 적응형 인증 정책을 구축 및 배포합니다.
- PKI 및 FIDO 하드웨어 인증기로 피싱 및 중간자 공격으로부터 보호합니다.
탈레스의 지원 방식:
- 1년 분량의 보존 기록을 즉시 액세스하여 상세 검색 및 조사할 수 있습니다. 감사 데이터는 자동으로 보관되지만 쿼리 및 보고 목적으로 몇 초 안에 액세스할 수 있습니다.
