유럽연합(EU)의 사이버 보안 규정인 네트워크 및 정보 보안 지침 2(NIS 2)가 많은 회원국들이 이를 제때 법제화하지 못해 찬란한 출발을 하지 못하고 있다. NIS 2는 기업들이 내부 사이버 보안 전략과 관행을 강화하도록 요구하는 엄격한 요건을 부과하며, 이를 통해 사이버 공격과 관련된 사건에 대한 관리와 방어 체계를 개선하는 것이 목표이다.
NIS 2는 최근 시행 가능일이 도래하였으나, 현재 대부분의 회원국은 이를 자국 법률에 전환하지 못한 상태다. 예를 들어, 포르투갈과 불가리아는 NIS 2 이행을 위한 전환 작업을 시작조차 하지 않았다는 보고가 있다. 유럽 전역에서 법안의 적용과 이행 상태가 크게 다르다는 점에서, 사이버 보안의 효과적인 강화는 불확실한 상황이다.
이와 함께 기업들은 내부 사이버 보안 문화를 개선하기 위해 분투해 왔으며, 준비 기간이 한 해 가까이 걸린 만큼 각 기업들은 사이버 침해와 유출 사고를 심각하게 받아들이고 있다. 새로운 규정은 기업들이 사이버 취약점 및 해킹 정보에 대해 다른 기업과 공유할 의무를 부여하며, 사이버 공격에 당한 경우 24시간 이내에 권한 당국에 알려야 한다는 stricter 의무도 포함되어 있다. 이는 EU의 데이터 보호 법인 GDPR과 비교해도 타이트한 조치라고 할 수 있다.
특히, NIS 2는 은행, 에너지 공급업체, 의료 기관, 인터넷 제공업체, 운송 회사 및 폐기물 처리업체와 같은 필수 서비스를 제공하는 조직들을 대상으로 한다. 이러한 기업들은 사이버 취약점 파악을 위해 기술 공급업체를 하나씩 점검해야 하며, 이는 자원과 시간이 부족한 중소기업에게 더욱 큰 부담이 될 수 있다.
NIS 2의 효과는 각 회원국의 일관된 법 제정과 이행 여부에 달려 있는 만큼, 만약 느린 이행이 지속될 경우 사이버 범죄자들은 상대적으로 느슨한 법적 틀을 활용해 위협을 가할 가능성이 높다. 따라서 기업들은 자국의 법 제정 지연에 대응하여 더욱 긴급한 보안 대책을 마련해야 할 필요성이 대두되고 있다.
규정 위반 시, 필수 기업(transport, finance, etc.)은 최대 1,000만 유로 또는 글로벌 연간 수익의 2% 중 더 높은 금액의 벌금에 처해질 수 있으며, 이는 산업 전반에 걸쳐 사이버 보안에 대한 경각심을 더욱 고조시키고 있다. 이러한 법적 수단은 사이버 보안에 대한 조직 책임을 명확히 하고, 리스크 관리 및 사고 처리, 직원 교육 등의 기준을 설정하는 데 중점을 둔다.
결국, NIS 2는 법적인 책임이 강화되면서 기업들이 사이버 공격에 대응하기 위해 보다 적극적인 조치를 취하길 요구하고 있다. 이제 기업들은 그것이 단순히 법적 의무를 준수하는 것을 넘어, 비즈니스 연속성을 확보하는데 필수적인 자산으로 여기는 태도를 가져야 할 때이다.
