유럽연합(EU) 사이버보안 지침 ‘NIS2’ 개정…“거버넌스 책임 확대로 대응해야”

유럽연합(EU)의 사이버보안 지침인 NIS2(Network and Information Systems 2)의 세부 요구사항이 공개되는 2024년 10월까지 관련 기업들의 대응 마련이 시급하다.

지난해 12월 EU는 개정된 NIS2 지침을 공표했다. 새 NIS 규정에는 핵심 산업 인프라 공급망에 필수적인 기업 외에도 새로운 산업군들을 포함하는 등 범위를 넓혔다.

기존 NIS 지침은 7개의 핵심 분야를 다룬 반면 새 지침에서는 안전 및 효율, 사회에 중요한 것으로 간주되는 부문까지 관점을 확장해 9개의 부문이 추가되면서 해당 기업 대상도 확대됐다.

1일 삼정KPMG는 보고서(EU NIS2 대응을 위한 IT와 OT보안 이해하기)를 통해 기업의 비즈니스가 디지털화됨에 따라 기업의 사이버보안 역량을 강화하고 컴플라이언스를 충족시키도록 요구하고 있으며 NIS2가 적용되는 2025년부터는 EU 지역 내 기업의 사이버 보안과 인프라 보호에 대한 역량도 의무적으로 강화해야 한다고 강조했다.

보고서는 NIS2에 대한 기업의 대응 전략으로 ▲최고경영진의 인식 촉구 ▲표준 및 프레임워크 구현 ▲긴급개선 (Fix-it) 프로그램 수립과 실행 ▲거버넌스 책임 확대 등 4가지를 제시했다.

NIS2가 발효되기까지 준비 기한이 짧은 만큼 최고경영진의 관심 아래 새로운 사이버보안 법률 의무를 준비해야 한다. 규정을 준수하지 못할 경우 C-레벨이 법적 책임을 지게 되며 기업에는 징벌적 과징금이 부과된다. 

즉, 최고경영진은 NIS2가 가져오는 영향에 대해 정보기술(IT) 및 운영기술(OT) 측면에서 자원과 조직을 갖추고 대응 전략을 고민해야 한다고 보고서는 조언했다.

NIS2는 사이버 리스크 관리를 의무화해 기업의 회복력과 연속성을 보장하면서 사이버보안 요구사항을 준수하는 것을 목표로 하고 있어 조직 내 인프라 취약점을 식별하고 신속하게 해결하는 것이 중요하다고 보고서는 짚었다.

다만, NIS2에서 요구하는 사항이 아직은 모호하기 때문에 IEC62443과 같은 OT 산업보안 관련 국제표준을 따를 것을 보고서는 권장했다.

현재 기업이 가지고 있는 심각한 보안 취약점을 파악하는 ‘Fix-it 프로그램’을 수립하고, 개선을 위한 활동인 보안 아키텍처 구현부터 조직개편 등을 지원해 조직에서 파악된 사이버보안 문제점을 기한 내 즉시 경감시켜야 한다는 것이다.

NIS2 새 규정에 따라 사이버보안이 경영 이사회의 필수 안건이 될 것으로 기대되는 가운데 경영진은 사이버보안 리스크를 식별하고 관리하는 데 필요한 지식과 기술을 갖출 것이 요구되고 있다. 

보고서는 “경영진은 NIS2 영향에 대해 교육을 받아야 할 뿐만 아니라 직원들도 정기적으로 사이버보안 교육을 받도록 권장해야 한다. 실제로 사이버공격이 발생한 경우 이사회는 조직 내 검증된 사이버보안 프로그램이 있음을 입증할 수 있어야 해 관련 프로그램을 구축해야 한다”고 강조했다.

삼정KPMG OT보안팀 리더 최민화 상무는 “NIS2는 EU 내 기업들에 다양한 사이버보안 규정을 요구하고 있어 관련 기업들은 안전한 디지털 신기술 도입과 핵심 기밀 보호를 위한 산업표준수립 등의 보안 거버넌스 체계를 수립하고 이상 징후 사전탐지, 사고 모니터링, 사고 대응 시스템 구축을 통해 기업의 사업전략 방향과 디지털 혁신 속도에 맞춘 현실적인 대응책을 마련하는 것이 중요하다”고 조언했다.