NIS2 지침(NIS2 Directive)은 유럽연합(EU) 전체의 사이버보안 수준을 강화하기 법령으로, 우리에게는 다소 낯설지 몰라도 유럽연합(EU) 시장에 진출했거나 진출할 기업들에게는 이미 충분히 익숙한 법적 조치입니다. 이미 지난해부터 본격 실행됐는데 여전히 낮설거나 아직 정확히 무엇을 준비해야 할 지 모르겠다면 지금부터 주목하시기 바랍니다.
EU의 NIS2 지침은 에너지, 수도, 교통 등 핵심 기반시설을 아우르는 주요 산업에 더욱 엄격한 사이버보안을 요구합니다. 특히 주요 서비스 운영을 뒷받침하는 OT(운영 기술) 시스템은 이 규제에서 결코 자유로울 수 없기에, OT 운영 조직들은 보안 수준을 대폭 강화해야 합니다.
그런데 여기에서 질문! 유럽 각국은 NIS2 지침이 실제로 시행되고 있는 지금, 이 지침을 충실히 이행하고 있을까요? 만약 아직까지 지키지 못하고 있는 기업들이 있다면 아직 골든타임은 남아 있을까요? 지금부터 하나하나 차근차근 살펴보도록 하겠습니다.
NIS2에 대한 유럽 각국의 대응은 ‘현재 진행형’
현재 가장 큰 이슈는 EU 회원국 상당수가 아직 NIS2 지침을 자국 법률로 완전히 이행하지 못하고 있다는 점입니다.
- 전반적인 지연(Widespread Delays): 2025년 1월 기준, 많은 국가들이 여전히 국내법 제정을 마무리하지 못한 상태입니다. 이에 따라 유럽집행위원회(European Commission)는 19개 회원국에 '이유 있는 의견(reasoned opinions)'을 발송하며 신속한 이행을 공식적으로 촉구하고 있습니다.
- 분절적인 진척(Patchwork of Progress): 벨기에, 크로아티아, 이탈리아 등 일부 국가는 이미 국내법 제정을 완료한 반면, 다수 국가는 아직 초안 작성 또는 의회 심의 단계에 머물러 있습니다. 일부 국가는 2025년 하반기까지도 완전한 이행이 어려울 것으로 전망됩니다.
- 상이한 국가별 접근(Diverging National Approaches): NIS2를 이행한 국가들조차 ‘중요(important)’ 및 ‘필수(essential)’ 기관의 정의, 보고 의무, 감시 체계 등에 있어 다르게 해석하고 있어, EU 전역에서 사업을 운영하는 기업들에 혼란을 야기하고 있습니다.
EU 회원국별 이행 현황 요약
| 국가 |
현황 |
비고 |
| 그리스, 루마니아, 리투아니아, 라트비아, 벨기에, 슬로바키아, 크로아티아, 이탈리아, 헝가리 |
NIS2 국내법 제정 완료 |
국내법 효력 발생 |
| 네덜란드, 독일, 덴마크, 룩셈부르크, 몰타, 불가리아, 스웨덴, 슬로베니아, 아일랜드, 오스트리아, 에스토니아, 체코, 키프로스, 포르투갈, 폴란드, 프랑스, 핀란드 |
NIS2 국내법 초안 단계 |
입법 절차 진행 중 |
| 스페인 |
초안 미제출 |
공청회 단계 진행 중 |
출처: DIGITALEUROPE, NIS2 이행 현황 보고서 (2025년 1월)
제재와 집행 ‘눈앞’
NIS2가 시행된 지 얼마 되지 않은 만큼, 실제 벌금 사례는 아직 보고되지 않았습니다. 다만 시간이 지남에 따라 각국 법률 여부에 따라 집행이 본격화될 것으로 예상됩니다.
- 벌금 부과 사례 여부: 현재까지 NIS2 위반으로 인한 공표된 과징금 사례는 없습니다.
- 국가별 법적 효력 여부: 벌금 부과는 각국이 NIS2를 국내법으로 완전히 반영하고 나서야 가능합니다. 아직 많은 국가에서 법률 제정이 완료되지 않아 실제 제재는 지연되고 있는 상황입니다.
- 벌금 리스크 문제: 지침에서는 ‘필수 기관’의 경우 최대 1,000만 유로 또는 글로벌 연매출의 2%, ‘중요 기관’의 경우 최대 700만 유로 또는 연매출의 1.4%에 해당하는 과징금을 부과할 수 있다고 명시돼 있습니다. 특히 경영진 개인에게도 책임을 물을 수 있는 조항이 있어, 이 또한 기업들의 경각심을 높이고 있습니다.
법령 준수를 위한 가이드라인과 자료 ‘풍성’
NIS2의 효과적인 이행을 돕기 위해 유럽 주요 기관들도 다양한 자료를 제공하고 있습니다.
- ENISA의 적극적인 지원: EU 사이버보안 기구인 ENISA는 다음과 같은 주요 자료를 발간했습니다.
- 사이버 스트레스 테스트 핸드북: 기관과 기업이 자사의 사이버 복원력을 진단하는 데 도움을 줍니다.
- EUVD(European Vulnerability Database): 취약점 정보를 중앙에서 관리하는 데이터베이스를 운영 중입니다.
- 활발한 업계 협업: OpenID 재단 등 민간 보안 단체들도 ENISA의 가이드라인과 관련해 인증 및 보안 프로토콜 관련 제안을 제출하며 지침 강화를 지원하고 있습니다.
전문가들이 말하는 대응 전략
NIS2는 단순한 규제 이상의 변화입니다. 특히 OT 및 주요 국가 기반시설 분야에서 보안에 대한 요구 수준이 비약적으로 높아졌으며, 이는 향후 수년간 유럽 기업들의 사이버보안 전략에 근본적인 영향을 줄 것입니다. 아직 많은 국가에서 법적 정비가 진행 중이고 제재는 본격화되지 않았지만, 유럽에 진출했거나 진출할 계획이 있는 기업들이라면 지금부터 대비하고 실행에 나서야 합니다.
이를 위해 전문가들은 크게 5가지의 대응책을 제시합니다.
- 각국의 NIS2 국내법 이행 현황을 수시로 확인하고, 관련 가이드라인을 지속적으로 검토하세요.
- 자산 및 위험 평가를 실시하고 필요한 보안 조치를 단계적으로 적용하세요.
- 사고 대응 체계를 수립하고, 관련 매뉴얼과 프로세스를 정비하세요.
- 정부 기관 및 업계 협의체와 긴밀하게 소통해 대응 방향을 공유하세요.
- 공급망 보안 상태를 점검하고, 외부 공급업체의 보안 수준도 검토하세요.