원래의 2016 NIS 지침는 주로 일부 주요 EU 상호 연결 서비스를 보호하기 위한 핵심 사이버 보안 조치를 수립하는 데 중점을 두었습니다. 에너지, 물, 교통, 의료, 은행 등 필수적인 것으로 간주되고 지침에 명시된 기본 보호 조치가 적용되는 인프라에 중점을 두었습니다.
NIS2 지침은 기존 NIS 지침의 범위를 확장하여 추가 분야와 단체를 포괄합니다. 에너지, 운송, 은행 및 금융 시장 인프라, 의료, 상수도, 디지털 인프라(온라인 마켓플레이스, 클라우드 컴퓨팅, 검색 엔진 등)와 같은 분야의 필수 서비스(OES) 운영자와 OES를 지원하는 조직을 대상으로 합니다.
NIS2에 포함된 조직은 2024년 10월 17일까지 이 지침을 준수해야 합니다. 효과적인 사이버 보안 권장 사항을 제공하는 것 외에도 NIS2는 특정 상황에서 이를 준수하지 않는 조직에 대해 전 세계 매출액의 최대 21%에 달하는 벌금을 부과할 수 있기 때문에 이 기한을 지키는 것이 조직에 가장 유리합니다.
그러나 NIS2는 누가 지침을 따라야 하는지, 지침을 준수하지 않을 경우 어떤 처벌을 받는지 명확히 규정하고 있지만, 조직이 어떻게 준비해야 하는지에 대해서는 정의하지 않고 있습니다. 따라서 조직이 규정 준수를 충족하고 새로운 위협으로부터 자신을 방어하기 위해 취해야 할 NIS2 지침과 모범 사례를 검토해 보겠습니다.
포함해야 하는 조직을 더 잘 정의하기 위해 부문과 규모라는 두 가지 기본 기준이 설정되었습니다. 부문과 관련하여 NIS2 부록 1과 2는 "매우 중요한"(일명 필수 기관) 부문과 "중요한"(일명 중요 기관) 부문을 식별합니다. 에너지, 운송, 은행, 수도 서비스, 의료, 디지털 인프라, 정부, 우주 등 주로 국가 경제의 일상적인 운영과 관련된 11개의 매우 중요한 부문이 있습니다. 중요 부문은 식품, 화학물질, 상품의 제조 및 유통, 폐기물 관리, 인터넷 서비스 제공업체(ISP)와 같은 디지털 서비스 제공업체, 연구 등 국가 경제를 지원하는 핵심 서비스와 관련된 부문입니다.
규모에 따라 NIS2에서는 조직을 대기업 또는 중견기업으로 분류합니다. 대규모 조직은 직원 수가 250명 이상이고 매출이 5천만 유로 이상인 조직입니다. 중간 규모의 조직은 직원 수가 250명 미만이고 연간 매출액이 5천만 유로를 초과하지 않는 조직입니다.
협력을 위해 NIS2는 사고 보고를 위한 구조도 마련했습니다. 여기에는 관할 기관, 단일 연락 창구, 컴퓨터 보안 사고 대응팀(CSIRT)과 같은 구성 요소의 구성이 포함됩니다. 제23조에는 보고해야 할 사항과 일정이 명시되어 있습니다.
시행 여부는 조직이 권장 사이버 보안 위험 관리 조치 및 보고 요건을 준수하는지에 따라 결정됩니다. 이러한 기업의 규정 미준수에 대한 벌금은 '매우 중요' 기업의 경우 1,000만 유로(또는 전 세계 매출액의 최대 21조 3,000억 원), '중요' 기업의 경우 700만 유로에 달할 수 있습니다.
회원국은 2024년 10월 17일까지 NIS2 지침을 준수하는 데 필요한 조치를 채택하고 게시해야 합니다. 하지만 이는 영향을 받는 비즈니스에 정확히 어떤 의미일까요?
NIS2는 다중 인증(MFA) 사용, 액세스 제어 정책 및 자산 관리, 기본 사이버 위생 및 교육 등 EU 전역의 부문과 디지털 인프라 조직이 구현해야 하는 주요 조치를 간략하게 설명합니다.
NIS2는 이러한 조치를 충족하는 을 정의하지 않습니다. 대신 제로 트러스트 원칙과 함께 ISO, CIS, NIST 또는 IEC와 같은 다른 표준을 조직이 규정 준수를 위해 따라야 하는 지침으로 참조합니다.
이러한 표준은 신원 보안을 우선시합니다(예 ISO27002 정보 보안, 사이버 보안 및 개인 정보 보호 표준은 액세스 제어, ID 관리, 보안 인증 및 NIS2에 부합하는 기타 기능을 발전시키는 데 유용한 지침을 제공합니다. NIS2는 또한 NIST의 제로 트러스트의 7가지 원칙, 에서도 ID 보안 제어를 강조합니다.
이 두 가지 접근 방식을 따르면 영향을 받는 조직은 NIS2 준수를 달성하고 가장 빈번하고 피해가 큰 사이버 공격으로부터 자신을 방어할 수 있는 철저한 방법론을 갖게 됩니다.
조직은 좋은 위기를 낭비해서는 안 된다는 옛말이 있는데, NIS2는 조직이 보안 프로토콜의 모든 측면을 평가하고 비즈니스에 적용되는 제로 트러스트 원칙과 관련 표준에 집중하도록 강요하는 것이 바로 이 경우에 해당합니다. 이 과정에서 조직은 NIS2를 다음과 같이 접근해서는 안 됩니다. 체크 박스 연습사이버 보안 태세를 평가하는 데 시간을 할애하고 있다면 가장 빈번하고 영향력이 큰 공격을 방어할 수 있는 기능에 투자해야 합니다.
대부분의 경우 신원을 노리는 경향이 있습니다. 2023 Verizon 데이터 침해 조사 보고서에 따르면 "공격자가 조직에 액세스하는 세 가지 주요 방법은 도난된 인증정보, 피싱, 취약점 악용"이라고 합니다. 또한, 작년에 도난당한 인증정보의 사용은 "침해의 가장 인기 있는 진입점이 되었"으며, 보고서에 따르면 전체 데이터 침해 중 49%가 인증정보와 관련된 것으로 나타났습니다.
대부분의 공격에서 신원이 침해되는 영역이라는 점뿐만 아니라 신원 관련 공격이 조직에 가장 큰 비용을 초래하는 경향이 있다는 점에서도 알 수 있습니다. IBM의 데이터 유출 비용 보고서 2023에 따르면 가장 빈번한 초기 공격 벡터는 피싱이었으며, 가장 비용이 많이 드는 공격 중 하나로 평균 $476만 달러의 비용이 조직에 발생했습니다.
모든 보안 영역이 중요하지만, 특히 하이브리드 업무 환경에서는 ID가 조직 보안에 핵심적인 역할을 합니다. 조직은 ID 중심 보안 파트너를 지정하여 NIS2 평가를 수행하고 자동화된 ID 인텔리전스, 인증, 액세스 관리, 거버넌스 및 수명주기 솔루션의 최적의 조합을 추천하여 NIS2 지침에 명시된 모든 리소스, ID 및 환경을 보호할 수 있도록 해야 합니다.
조직은 통합 ID 플랫폼이 완전하고 포괄적인 엔드투엔드 검토를 보장하는 가장 간단한 방법이며 모든 NIS2 요구 사항을 초과하고 비즈니스 및 보안 요구 사항이 진화함에 따라 향후 요구 사항을 충족하도록 확장할 수 있는 솔루션 세트가 구축되어 있다는 것을 알게 될 것입니다.
자세한 내용은 RSA에 문의하여 NIS2 신원 보안 평가를 시작하세요.
