컴플라이언스 요구사항
EU 지침 2022/2555, 줄여서 NIS 2의 도입으로 기업의 컴플라이언스 요구사항이 증가했습니다. NIS 2는 EU 내의 사이버 공격 위협에 대응하기 위해 마련된 것입니다. 이 지침은 기업 및 기관의 사이버 및 정보 보안을 규제합니다. 사이버 공격은 이제 전 세계 기업에게 가장 큰 사업 위험 중 하나로 간주됩니다.
NIS 2는 EU 지침 2016/1148 (NIS 1)을 대체하며, 유럽 연합의 사이버 보안을 향상시키고 기업을 더 잘 보호하려는 목적으로 도입되었습니다. 따라서 NIS-2 지침의 이행은 많은 기업에서 위험 관리 및 컴플라이언스에 대한 요구사항을 높입니다. 기업이 조치를 적절히 이행하지 않으면 제재를 받을 수 있다고 MTR Legal Rechtsanwälte에서 설명합니다.
EU는 2023년에 NIS-2 지침을 채택했으며, 2025년까지 회원국들은 이를 자국 법률로 이행해야 합니다. 지침의 영향을 받는 기업은 주로 그들의 활동 유형에 따라 달라집니다. 이 지침은 본질적(essential)이고 중요한(important) 것으로 간주되는 추가 기업으로 확대되었습니다. 이는 정보기술 보안국(BSI)에 법적 의무를 이행해야 하는 기업 및 기관이 크게 증가한다는 것을 의미합니다.
중요한 인프라가 영향을 받다
에너지, 교통, 보건, 금융, 수자원 관리 및 디지털 인프라와 같은 NIS-1 지침에 이미 포함된 중요한 인프라 외에도 NIS-2 지침에 따라 추가적인 분야가 영향을 받습니다. 여기에는 공공 전자 서비스, 소셜 플랫폼과 같은 추가적인 디지털 서비스, 하수 및 폐기물 관리, 우편 및 택배 서비스, 공공 행정 또는 주요 제품의 제조업체가 포함됩니다. 독일에서는 약 29,000개의 기업이 NIS-2 지침의 이행에 영향을 받을 것으로 추정됩니다. 주로 중대형 기업들이 사이버 보안을 위한 적절한 조치를 취하고 효율적인 컴플라이언스를 확립해야 합니다. 그들은 또한 중대한 방해나 피해가 발생할 경우 담당 당국에 이를 보고해야 합니다.
NIS-2 지침은 감독, 집행 및 자발적 동료 심사(피어 리뷰)를 위한 규정을 포함하고 있으며, 유럽 연합 전체의 상호 신뢰와 사이버 보안을 강화하기 위한 것입니다. 이는 또한 사이버 보안 위험 관리 조치를 준수하지 않을 경우 경영진이 책임을 져야 한다는 것을 의미합니다.
사이버 보안 공격에 대한 대응
NIS-2 지침을 통해 보안 위협에 대해 정보를 교환하고 사건에 적절히 대응할 수 있는 컴퓨터 보안 사고 대응 팀 네트워크가 구축됩니다. 또한 사이버 위기에 대응하기 위한 유럽 연결 조직 네트워크가 설정됩니다. 이 네트워크는 회원국과 EU 기관 간의 지속적인 정보 교환을 지원하여 대규모 사고 및 위기에 대응할 수 있도록 합니다.
독일에서 NIS 2가 어떻게 자국 법률로 이행될지는 아직 명백하지 않습니다. 이는 조기 연방 선거로 인해 이행이 지연되었기 때문입니다. 그러나 이행과 함께 많은 중소기업에게 사이버 보안이 중요한 주제가 될 것은 분명합니다.
기업은 보안 조치를 구현해야 한다
NIS 2는 데이터를 보호하고 중요한 인프라를 잠재적인 사이버 공격으로부터 보호하기 위한 필수 보안 조치를 구현하는 도전에 직면하게 합니다. 이를 위해 필요한 기술적, 조직적 조치를 취해야 합니다. 기업이 사이버 공격의 피해자가 되면, 즉각적으로 피해를 줄이고 시스템을 복구할 계획이 있어야 합니다. 또한, 이를 관할 당국에 보고해야 합니다. 기업은 또한 정기 테스트를 수행하여 취약점을 발견하고 이를 제거해야 합니다. 사이버 보안은 공급망 내에서도 유지되어야 합니다. 따라서 이곳에서도 위험 대응이 필요합니다.
NIS-2 지침의 이행은 해당 기업들에 효율적인 컴플라이언스에 대한 도전을 의미하며, 필요 보안 조치가 이행되지 않을 경우 책임자 역시 책임을 질 수 있습니다.
MTR Legal Rechtsanwälte는 기업들이 효과적인 컴플라이언스 시스템을 구현하는 것을 지원하며, 이들이 법적 요구사항을 충족하도록 보장합니다. 경제 법률사무소로서 MTR Legal은 컴플라이언스 및 경제 형법의 기타 주제에 대해 조언합니다.
연락 하세요!
