블로그

NIS2: 사이버 보안에 대한 새로운 주목

바트 살레츠 썸네일
바트 살라에츠
2023년 9월 29일 게시

새로운 EU 지침은 더 많은 기업이 더 나은 보안, 가시성 및 제어를 필요로 한다는 것을 의미합니다.

엄격한 새로운 요구 사항을 부과하는 개정된 네트워크 및 정보 보안(NIS) 지침은 더 많은 EU 기업이 사이버 보안을 진지하게 받아들이도록 요구할 것입니다. 

1년도 채 안 되어 NIS2(새로운 지침의 명칭)에 따라 다양한 조직에서 내부 시스템을 완벽 하게 보호하고 외부 인터페이스가 공격이나 데이터 유출에 취약하지 않도록 보장하는 것이 법적 요구 사항이 됩니다. 

위험 관리, 보고 및 회수에 큰 중점을 두고 있으며, 불이행 시 벌금은 1,000만 유로 또는 연간 글로벌 매출의 2%(둘 중 더 높은 금액)에 달하도록 설정되어 있습니다. 

하지만 그러한 벌금은 훨씬 더 큰 재정적 빙산의 일각일 수 있습니다.

NIS2는 이전 규정보다 훨씬 더 광범위한 기업 그룹에 적용되므로 그 영향은 공급망 전체에 미칠 것입니다. 사이버보안은 조달 과정에서 우선순위가 되고 어떤 기업이 새로운 계약을 따낼지 결정할 수 있습니다.

불행히도 대부분의 조직은 새로운 지침의 많은 요구 사항을 관리할 수 있는 내부 기술이 없습니다. 특히 시스템이 점점 더 여러 클라우드 환경으로 확장되고 많은 수의 직원이 계속 재택근무를 하고 있기 때문입니다. 

NIS2는 완전한 가시성을 필수로 제공합니다.

직원이 50명 이상이고 연 매출이 1,000만 유로를 초과하는 모든 사업체를 대상으로 하는 NIS2는 통신, 식품, 폐기물 관리, 디지털 플랫폼, 공공 기관 및 배달 서비스에 적용됩니다. 또한 에너지, 의료, 은행, 운송 등 기존 NIS가 포함하는 필수 서비스에도 큰 영향을 미칠 것입니다.

EU 회원국이 NIS2를 시행함에 따라 영향을 받는 기업은 고객 및 공급업체와 상호 작용하는 데 사용되는 애플리케이션을 포함하여 모든 외부 인터페이스가 보호되도록 해야 합니다. 

침해가 발생하면 사고를 인지한 후 24시간 이내에 조기 경고 보고서를 제출해야 하며, 72시간 이내에 초기 평가를 실시하고, 1개월 이내에 최종 보고서를 제출해야 합니다. 

따라서 기업은 자사의 디지털 운영과 고객, 파트너, 공급업체와의 디지털 인터페이스에서 무슨 일이 일어나고 있는지 완전히 파악하는 것이 필수적입니다. 

이상적인 세상에서는 규제적 처벌이 실제로 필요하지 않을 것입니다. 대부분의 상업적 상호작용은 요즘 온라인에서 이루어지므로, 기업 리더들은 이미 그런 종류의 가시성을 요구하고 있어야 합니다. 

그럼에도 불구하고, 새로운 지침의 범위에 속하는 많은 소규모 기업은 반드시 보안 운영 센터와 준수에 필요한 관련 보고 도구를 갖추고 있지는 않습니다. 게다가 그들은 그러한 도구를 사내에서 구축하고 엔지니어링하는 데 필요한 기술과 리소스를 갖고 있지 않을 가능성이 높습니다.   

말할 것도 없이, NIS2 의무를 충족하기 위해 쉽게 구현할 수 있는 메커니즘을 구축해야 하는 압력이 커지고 있습니다. 그리고 고객과 파트너의 경험에 부정적인 영향을 미치지 않고 이를 수행합니다. 

특히, 전체 애플리케이션 포트폴리오를 관리할 수 있는 중앙 콘솔이 필요합니다. F5 분산 클라우드 서비스 와 같은 클라우드 기반 애플리케이션 보안 및 애플리케이션 제공 제안은 이러한 요구를 충족할 수 있습니다.

대규모 조직에서도 쉬운 일은 아닙니다. 보안에 대한 규제가 강화됨에 따라 발생하는 가장 큰 과제 중 하나는 점점 더 여러 클라우드와 사내 데이터 센터에 걸쳐 있는 디지털 인프라의 보안과 모니터링이 더욱 복잡해진다는 것입니다.

오늘날 많은 기업이 여러 환경에서 애플리케이션과 이를 구성하는 마이크로서비스를 실행합니다. 앱의 프런트엔드는 퍼블릭 클라우드에서 실행되는 반면, 백엔드는 내부 데이터 센터에서 실행될 수 있습니다. 동시에 직원들이 집이나 공동 작업 공간 등 다양한 위치에서 시스템과 앱에 로그인하는 경우가 점점 늘어나고 있습니다.  

점점 복잡해지는 디지털 환경을 NIS2에 친화적인 방식으로 보호하기 위해 많은 기업에서는 여러 클라우드, 컴퓨팅 및 네트워킹 환경을 아우르는 관리 서비스가 필요합니다. F5에서는 다시 한번 그러한 전문지식을 갖추고 있습니다. 

시계가 점점 더 큰 소리로 똑딱거리고 있지만, 행동할 시간은 아직 있습니다.

EU 회원국은 2024년 10월 18일까지 새로운 지침을 자국의 법률에 통합해야 하므로, 영향을 받는 모든 조직이 보안 및 모니터링 역량을 강화하여 벌금을 피하고, 더 중요하게는 규정 준수 실패로 인한 평판 피해를 피할 수 있도록 해야 합니다. 

다행히도 이 새로운 규제 환경에서 성공하는 데 필요한 기술은 이미 준비되어 있습니다. 

F5가 어떻게 고객이 NIS2를 준수하도록 돕고 있는지 살펴보는 향후 블로그 게시물에서 자세히 살펴보겠습니다. 기대해주세요!