유럽연합 집행위원회는 증가하는 사이버 및 하이브리드 공격에 대응하기 위해 새로운 사이버보안 패키지를 제안
- 해당 패키지에는 개정된 사이버보안법(Cybersecurity Act)이 포함되며, 이는 EU 정보통신기술(ICT) 공급망의 보안을 강화하고, 제품의 설계 단계부터 사이버보안을 확보하도록 요구
- 또한 기존 EU 사이버보안 규정 준수를 용이하게 하며, EU 사이버보안청 ENISA의 역량을 강화
EU 내 ICT 공급망 보안 강화
- 새로운 사이버보안법은 제3국 고위험 공급업체로부터의 리스크를 줄이기 위한 ICT 공급망 보안 프레임워크를 도입하며, EU의 18개 핵심 분야에서 공동으로 위험을 식별·완화할 수 있도록 함
- 유럽 이동통신 네트워크가 고위험 제3국 공급업체로부터의 위험을 의무적으로 제거할 수 있도록 함
사이버보안 인증 체계 간소화·강화
- 새롭게 개편된 유럽 사이버보안 인증 프레임워크(ECCF)는 인증 절차를 간소화하여 인증 제도를 기본적으로 12개월 이내에 개발할 수 있도록 함
- 인증 제도는 ENISA가 관리하며, 기업이 EU 법률 준수를 입증하고 비용 부담을 줄일 수 있는 실용적 도구로 활용 가능
- ICT 제품·서비스뿐 아니라 기업의 사이버 역량 자체도 인증할 수 있도록 확장되어, EU 기업의 경쟁력을 강화할 수 있는 수단으로 작용 가능
사이버보안 규정 준수 촉진
- 이번 패키지는 EU 내에서 활동하는 기업들의 사이버보안 규정 준수를 용이하게 하며, 디지털 옴니버스(Digital Omnibus)에 제안된 ‘단일 사고 보고 창구‘를 보완
- NIS2 지침 개정안은 법적 명확성을 높이는 것을 목표로 함. 28,700개 기업(6,200개는 중소기업)에 대해 규정 준수를 용이하게 하고, 새로운 ‘중견기업군(small mid-caps)’ 범주를 도입해 22,500개 기업의 규제 부담을 완화
유럽 사이버보안 회복력 강화를 위한 ENISA 역량 강화
- ENISA의 권한도 강화되어, 유럽 전역의 사이버 위협 조기 경보, 랜섬웨어 대응 지원, 취약점 관리, 단일 보고 창구 운영 등의 역할을 담당
- ENISA는 사이버보안 인력 양성을 위한 ‘사이버보안 기술 아카데미’를 시범 운영하고, EU 전역의 사이버보안 기술 인증 체계 구축을 추진할 예정
- 해당 사이버보안법은 유럽의회와 EU 이사회 승인 즉시 발효되며, NIS2 지침 개정안은 채택 후 1년 내 회원국 법률로 이행되어야 함
