급변하는 사이버보안 세계에서 EU가 올해 디지털 회복 탄력성을 강화하기 위한 여러 규제 도입을 준비하고 있다. NIS2 지침의 현지법 전환부터 DORA 규정과 국가 5G 네트워크 및 서비스 보안 체계의 발효에 이르기까지, 기업과 공공 기관 모두 점점 더 엄격해지는 규제 환경에 직면하고 있다. 따라서 새로운 법안이 제시하는 과제와 기회를 이해하고 예측하는 것이 중요하다.
NIS2 지침의 현지법 적용
지침 2022/2555, 일명 NIS2는 사이버보안을 위한 공통 프레임워크를 수립해 모든 EU 회원국에서 높은 수준의 보안을 달성하는 것을 목표로 한다. 스페인에서는 사이버보안 조정 및 거버넌스에 관한 법률 예비초안(AL-LCGC)을 통해 EU 지침을 스페인 법 체계에 통합할 예정이다. 다만 전환 기한이 지난해 10월 17일이었음에도 약간의 지연이 있었다.
지침 2015/1535에 의해 제정된 기술규정정보시스템(TRIS)에 따라 EU 회원국은 정보 제품 및 서비스와 관련된 기술 규정 초안을 위원회에 통보해야 한다. 새로운 규제 문안이 내부 시장의 적절한 기능에 부당한 장애물을 만들지 않도록 하기 위해서다. 통보일로부터 3개월의 유예 기간이 시작되며, 이 기간 동안 유럽 위원회와 회원국은 해당 텍스트를 검토하고 의견을 제시할 수 있다. 이 기간 동안 규제 초안을 통보한 회원국은 이를 승인할 수 없다.
현재 AL-LCGC의 내용은 상당수의 전략 부문을 포괄하며, NIS1에서 고려됐던 회원국들의 개별 식별 기준 도입 가능성을 배제하고 있다. 이런 변화로 인해 대상 기업은 규모와 경제적, 사회적 영향에 따라 ‘필수’ 및 ‘중요’ 범주로 더 엄격하고 통일된 분류를 받게 된다. 기업들은 더 엄격한 보안 요구사항을 준수하고, 위험을 사전에 관리하며, 서드파티 벤더를 철저히 평가하고, 의무적인 사이버보안 조치를 이행해야 한다.
또한 사고 보고 의무도 강화된다. 기업은 더 엄격한 기한을 준수하고 국가 및 전 유럽 차원의 관할 당국에 협조해야 한다. 감독 및 제재에 대한 요구사항도 강화되며, 당국의 정기적인 검사와 의무 감사 가능성이 높아진다.
금융 부문의 디지털 운영 복원력 높이는 DORA 규정
규정 2022/2554인 DORA는 금융 기관의 ‘디지털 운영 복원력’ 증진에 초점을 맞추고 있다. 2022년 12월 14일에 승인됐으며, 기술 리스크와 사이버 위협을 줄이기 위해 금융 부문 기관의 정보 시스템 보안과 견고성을 강화하는 것을 목표로 한다.
DORA는 은행, 투자 서비스 회사, 펀드 매니저, 보험사뿐만 아니라 이들의 중요 ICT 서비스 업체를 포함한 금융 부문의 광범위한 기관에 적용된다. DORA의 단기 의무에는 ICT 관련 리스크의 내부 관리 평가 및 강화, 최고 수준에서 감독되는 디지털 회복력 전략의 공식화, 사이버보안 사고 발생 시 비상 계획 준비 등이 포함된다.
중기적으로 기관들은 정기적인 디지털 회복력 테스트를 실시하고, 필수 기능을 서드파티 기업에 아웃소싱하는 경우 위기 대응 전략을 개발해야 하며, DORA 요구사항을 충족하는 연속성 및 복구 계획을 보장해야 한다. 규정 미준수에 대한 처벌은 벌금뿐만 아니라 요구사항을 준수하지 않는 ICT 서비스 업체와의 계약도 해지해야 할 수 있다.
유럽 디지털 신원 프레임워크인 eIDAS2
유럽의 디지털 신원에 대한 규제를 목표로 하는 eIDAS2(규정 2024/1183)가 최근 승인됐다. 이는 전자 신원 확인 및 신뢰 서비스를 출발점으로 삼아 전자 거래에 대한 신뢰를 높이고 EU에서 디지털 신원을 촉진하는 기술을 사용하도록 촉진할 것으로 예상되고 있다.
eIDAS2는 전자 수단을 사용할 때 사기나 신원 도용의 위험을 줄이기 위해 더욱 엄격한 사용자 식별 및 인증 요구 사항을 도입한다. 이를 위해 디지털 신원 지갑(eWallets)과 같은 새로운 신뢰 서비스가 추가되고 전자 타임스탬프 사용과 관련된 측면이 개선된다. eIDAS2의 영향을 받는 기업은 자사의 리스크를 평가하고, 제공하는 서비스가 규제 요구사항을 준수하는지 분석하며, 적절한 이행을 위해 필요한 재정적, 인적 자원을 투입해야 한다.
국가 5G 네트워크 및 서비스 보안 체계
스페인의 왕령 443/2024는 국가 5G 네트워크 및 서비스 보안 체계(ENS5G)를 수립한다. 5G는 의료, 운송, 물류, 에너지와 같은 핵심 부문을 디지털로 변화시킬 수 있는 잠재력을 가진 기술로 주목받고 있다. 하지만 아키텍처의 기술적 복잡성과 수많은 기업 및 공공 기관이 상호 작용하는 대규모 장치 및 서비스의 방대한 연결로 인해 상당한 사이버 보안 리스크가 뒤따른다.
ENS5G의 주목할 만한 특징에는 자체 5G 네트워크를 보유한 사업자, 벤더 및 기업 사용자가 중요한 네트워크 요소를 식별 및 보호하고 벤더를 다양화하며 디지털 혁신부(Ministry for Digital Transformation)에 정기적인 보안 보고서를 제출해야 한다는 점이 있다. 중장기적으로 이행해야 할 조치에는 리스크 분석의 지속적인 업데이트, 서드파티 인증 도입 검토, 정기적인 보안 감사 실시 등이 있다.
2025년 새로운 규제 변화
EU는 지난 1월 사이버보안과 관련된 2가지 새로운 규제를 제정했다. 먼저 규정 2025/37은 MSS(관리형 보안 서비스) 업체에 대한 유럽 사이버보안 인증 프레임워크를 조정해 사이버보안 인증 제도와 관련된 내부 시장의 분열을 방지한다.
두 번째로 유럽 규정 2025/38은 EU 전역에서 중대하거나 대규모 사고의 영향을 받는 이들의 조정과 회복력을 개선하기 위해 유럽 사이버보안 경보 시스템과 사이버보안 비상 메커니즘을 재구성한다.
규제 준수를 통한 유럽 기업의 경쟁력 강화
2025년은 EU 사이버보안에 있어 전환점이 될 가능성이 높다. 따라서 앞서 언급한 규제의 영향을 받는 기업과 공공 기관은 이에 대응하기 위한 경제적 비용을 예산에 반영해야 하며, 기술, 벤더, 인적 자원 등 여러 영역에서 구조적 변화를 이룰 계획을 세워야 한다.
사이버보안은 유럽 기업과 기관의 ‘전략적 우선순위’가 되고 있다. 이런 노력은 높은 수준의 사전 대응력과 다학제적이고 통합적인 방법론으로 접근해야만 확실한 효과를 거둘 수 있다.
점점 더 불안정해지는 지정학적 환경에서 사이버 위협에 효과적으로 대응하려면 EU 기관과 경제 이해관계자 간의 조정과 협력이 필요하다. 궁극적으로 이런 규제 준수가 단순히 법적 의무가 아니라 유럽 기업의 경쟁력을 높이고 시민과 글로벌 금융 투자자들의 신뢰를 얻을 수 있는 요인이라는 점을 이해해야 한다.
* Rafael García del Poyo는 스페인 마드리드에 있는 오스본 클라크 IT/IP 법률 부서의 대표 파트너이자 변호사다. [email protected]
Read More from This Article: 칼럼 | ‘계속되는 사이버보안 규제 수립’··· 올해 EU의 주요 컴플라이언스 과제는?
Source: News