NIS2 Directive (EU 네트워크 정보보안 지침 2)

NIS2 Directive (EU 네트워크 정보보안 지침 2)

EU의 사이버보안 수준을 강화하기 위해 NIS1(2016)을 대폭 확대·강화한 지침으로, 2023년 발효·2024년 각국 입법 의무

NIS1 대비 강화: 적용 대상 확대(18개 핵심+중요 부문), 사고 보고 의무 강화, 공급망 보안, 경영진 책임, 높은 벌금

핵심(Essential) 부문: 에너지, 교통, 금융, 의료, 식수, 디지털 인프라, 우주, 공공행정 등 11개

중요(Important) 부문: 우편, 폐기물, 화학, 식품, 제조, 디지털 서비스, 연구 등 7개

사고 보고 의무: 24시간 내 초기 경보(Early Warning), 72시간 내 사고 통지(Incident Notification), 1개월 내 최종 보고서

벌금: 핵심 부문 최대 1,000만 유로 또는 전 세계 매출 2% 중 높은 금액, 중요 부문 최대 700만 유로 또는 매출 1.4%

비교: NIS1(제한적 범위/자율적) vs NIS2(확대/의무적/벌금 강화) vs GDPR(개인정보/최대 매출 4%)

연관: GDPR, EU AI Act, 사이버보안, 공급망 보안, DORA, ISMS