What is the NIS2 Directive?

NIS2는 EU의 네트워크 및 정보 보안(NIS) 지침의 두 번째 버전으로, EU의 주요 사이버 보안 표준입니다. NIS2는 법의 적용을 받는 분야와 요구 사항을 확대하여 NIS를 업데이트합니다. 2024년 10월 17일까지 EU 회원국은 국내법에 NIS2를 이행해야 하므로, NIS2의 영향을 받는 모든 조직은 2024년 4분기까지 컴플라이언스를 완료해야 합니다.

인피니티 Global 서비스 전문가에게 문의하기

What is the NIS2 Directive?

NIS2 지침의 중요성

NIS2는 EU 회원국에 필수적이거나 중요한 서비스를 제공하는 조직을 위한 표준 사이버 보안 요구 사항을 만듭니다. 이를 통해 이러한 조직에 대한 사이버 공격이 EU 시민들에게 심각한 영향을 미칠 수 있는 위험을 줄일 수 있습니다.

NIS2 지침의 영향을 받는 분야

NIS2 지침은 섹터를 필수 및 중요 엔터티로 분류합니다. 필수 엔터티(EE)의 예는 다음과 같습니다:

  • Energy
  • 운송
  • 금융
  • 공공 관리
  • 의료
  • 공간
  • 물 공급
  • 디지털 인프라

NIS2는 다음과 같은 중요 엔터티(IE)에도 영향을 미칩니다:

  • 우편 서비스
  • 폐기물 관리
  • 화학 물질
  • 연구
  • 음식
  • 제조
  • 디지털 제공업체

NIS2 컴플라이언스는 분야 외에도 조직의 규모에 따라 영향을 받습니다. 일반적으로 EE는 직원 수가 250명 이상이고 연간 매출액이 5천만 유로 이상이거나 대차대조표가 4천 3백만 유로 이상이어야 합니다. IE는 일반적으로 직원이 50명 이상이고 연간 매출액 또는 대차 대조표가 1,000만 유로 이상이어야 합니다. 그러나 이러한 규칙은 분야별로 다릅니다. 또한 EU 회원국 내에서 특정 서비스를 단독으로 제공하는 기업은 규모에 관계없이 EE 또는 IE로 분류될 수 있습니다.

NIS2 요구 사항은 무엇인가요?

NIS2는 다음과 같은 네 가지의 높은 수준의 조직 요구 사항을 만듭니다:

  • 위험 관리: 조직은 사고 대응, 공급망 보안, 네트워크 보안, 액세스 제어 및 암호화 사용을 통해 사이버 위험을 관리해야 합니다.
  • 기업의 책임: 기업 경영진은 조직의 보안에 대한 책임이 있으며 사이버 위험 관리에서 정보에 입각한 적극적인 역할을 수행해야 합니다.
  • 보고 의무: NIS2는 24시간 '조기 경보'를 포함하여 중대한 보안 사고에 대한 보고 요건을 정의합니다.
  • 비즈니스 연속성: 영향을 받는 조직은 복구 계획, 비상 절차, 위기 대응 팀을 구성하는 등 비즈니스 연속성 전략을 마련해야 합니다.

또한 다음과 같은 10가지 최소 요구 사항을 명시하고 있습니다:

  1. IT 시스템에 대한 위험 평가를 수행하고 보안 정책을 구현합니다.
  2. 암호화 및 암호화 사용에 대한 정책과 절차를 구현합니다.
  3. 시스템 조달의 취약성 확보 및 관리.
  4. 민감한 데이터에 액세스할 수 있는 사용자를 위한 보안 절차를 구현합니다.
  5. 적절한 경우 다중 인증(MFA), 연속 인증 및 암호화된 통신을 사용합니다.
  6. 적용된 보안 제어의 효과를 평가합니다.
  7. 인시던트 감지 및 대응을 위한 계획.
  8. 직원들에게 기본적인 컴퓨터 위생에 대한 교육을 실시합니다.
  9. 비즈니스 연속성 및 재해 복구(백업, 지속적인 액세스 등)를 위한 계획 수립
  10. 공급망 보안 및 회사가 제3자 관계에서 잠재적인 취약성을 관리하는 방법.

NIS2 위반에 대한 벌칙

NIS2는 규정 미준수에 대해 조직에 부과할 수 있는 다양한 유형의 벌칙을 규정하고 있으며, 여기에는 다음과 같은 내용이 포함됩니다:

  • 비금전적 처벌: 국가 감독 당국은 조직이 규정을 준수하도록 강제하거나, 구속력 있는 지침을 따르거나, 보안 감사를 실시하거나, 잠재적 위협에 대해 고객에게 알릴 수 있습니다.
  • 행정 벌금: 행정 벌금: 행정 벌금은 기업 유형에 따라 다릅니다. EE는 1,000만 유로 또는 전 세계 연간 매출의 2% 중 큰 금액의 벌금을 부과받게 됩니다. IE는 최대 700만 유로 또는 전 세계 연간 매출의 1.4%에 해당하는 벌금을 부과받을 수 있습니다.
  • 형사 제재: 중대한 과실이 있는 경우, NIS2는 보안 사고에 대해 최고 경영진이 개인적으로 책임을 질 수 있도록 허용합니다. 여기에는 컴플라이언스 위반 사항을 공개하고, 어떤 위반 사항이 발생했으며 누가 잘못했는지 공개적으로 밝히도록 명령하고, 해당 개인의 관리 직책 수행을 일시적으로 금지하는 등의 조치가 포함됩니다.

IGS를 통해 비즈니스가 NIS2를 준수하는지 확인하기

NIS2 지침은 EU 내 필수적이고 중요한 기관에 대한 사이버 공격이 EU 시민에게 서비스를 제공하는 능력에 영향을 미칠 수 있는 위험을 제한하기 위해 마련되었습니다. 기존 NIS의 이번 업데이트는 지침의 범위를 확대하고, 업데이트된 요건을 구현하며, 규제 당국이 요건을 준수하지 않는 조직에 대해 보다 엄격한 추가 벌금을 부과할 수 있는 권한을 부여합니다.

2024년 4분기 마감 기한까지 NIS2 지침을 준수하는 것은 모든 해당 조직에 필수적이며, 강력한 사이버 보안 프로그램을 구현해야 합니다. 체크포인트는 인피니티 글로벌 서비스 프로그램을 통해 이러한 목표와 기타 사이버 보안 목표를 달성하려는 기업을 지원합니다.

 

체크포인트의 NIS2/DORA 준비도 평가는 조직의 기존 NIS2 지침 준수 여부에 대한 체크포인트 수석 컨설턴트의 현장 평가로 이루어집니다. 이 평가를 기반으로 체크포인트는 조직이 식별된 보안 격차를 해소하고 표준을 준수할 수 있는 방법에 대한 지침을 제공합니다. 마감일 전에 NIS2 컴플라이언스 목표를 달성하는 방법에 대한 자세한 내용은 문의해 주세요.

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다. 웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.