주요동향 : S&T GPS

｢네트워크 및 정보 보호 지침｣(안) 합의 완료 원문보기 1

□ EU 의회 및 이사회는 ｢네트워크 및 정보 보호 지침｣(안)*에 관해 합의(’15.12.7)

* Network and Information Security(NIS) Directive

- 동 지침은 사이버 보안과 관련하여 EU 전체에 적용되는 최초의 법적 규범으로, 네트워크 및 정보 보호를 위한 높은 수준의 EU

공통 규범 마련을 목적으로 함

□ 추진 배경 및 경과

○ 네트워크 및 정보 시스템의 안정성 및 보안은 경제 활동, 사회 복지, 특히 EU 역내 시장의 기능에 필수적*이나 최근의 사이버

침해 사고 규모 및 빈도의 증가는 네트워크 및 정보 시스템에 중대한 위협이 되고 있음

* 인터넷과 같은 국경 없는 통신수단으로서 디지털 정보 시스템의 특성은 한 회원국에서 해당 시스템의 혼란이 다른 회원국

및 EU 전체에 영향을 줄 수 있다는 점에서 그러함

○ 그럼에도 불구하고, 그동안 네트워크 및 정보 보안과 관련해서는 EU 회원국 별 상이한 규범 수준 및 보호 역량, 회원국 간

공동 대응을 위한 협력 부족 등으로 EU 차원의 효과적인 대응에 한계가 있었음

- 이에 유럽집행위원회(EC)는 2013년 7월 네트워크 및 정보 보호와 관련하여 EU 공통의 규범 체계 마련을 위한 ｢네트워크 및

정보 보호 지침｣(안) Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning

measures to ensure a high common level of network and information security across the Union 2013/0027(COD)을 제안함

□ 지침(안) 주요 내용

○ 회원국 내 사이버 보안 역량의 강화

- 회원국은 국가 ‘네트워크 및 정보 보호 전략’을 채택하여야 하며, 이 경우 동 전략에는 사이버 보안과 관련한 전략 목표의 설정

및 이에 대한 적절한 정책 및 규제 수단이 포함됨

- 또한, 회원국은 동 지침의 이행 및 집행을 위한 담당기관을 지정하고 사이버 침해사고대응팀(CSIRTs)*을 설치하여야 함

* Computer Security Incident Response Teams

○ 회원국 간 협력의 증진

- 회원국 간 전략적 협력 및 정보 교환을 촉진하고 신뢰를 구축하기 위한 ‘협력 그룹’(Cooperation group)을 창설

※ 유럽집행위원회가 사무국 역할 수행

- 또한, 특정 사이버 침해사고에 대한 신속하고 효율적인 협력 및 관련 위험 정보의 공유를 촉진하기 위한 ‘침해사고대응팀

네트워크’(CSIRTs network)를 수립함

※ 유럽정보네트워크보안청이 사무국 역할 수행

○ 사회기반서비스(Essential service) 사업자에 대한 보호조치 및 통지 의무 부과

- 사회기반서비스 사업자는 업무 중 제어하고 사용하는 네트워크 및 정보 시스템에 대하여 적절한 기술적·관리적 보호조치를

취하여야 하며, 중대한 침해사고 발생 시 이를 회원국 담당기관에 통지하여야 함

※ 동 지침에서의 ‘사회기반서비스’ 란 사회 및 경제적으로 중요한 역할을 하는 사업 분야로서 다음의 영역을 포함함 :

① 에너지 : 전기, 석유, 가스, ② 운송 : 항공, 기차, 수상, 도로, ③ 은행 : 지침 2006/48/CE에 따른 신용 기관(credit

institution), ④ 금융 시장 기반시설(financial market infrastructure) : 거래소, 중앙 청산소(central counterparty),

⑤ 보건 : 헬스케어서비스 제공자, ⑥ 급수 : 음용수 공급 및 분배, ⑦ 디지털 기반시설(digital intrastructure) : 인터넷 교환

설비. 도메인 네임 시스템 서비스 제공자 등, ⑧ 전자상거래 플랫폼, ⑨ 클라우드컴퓨팅 서비스 제공자, ⑩ 검색 엔진

- 한편, 통지를 받은 담당 기관은 일반 공중에게 알리거나 해당 기업으로 하여금 일반 공중에게 알리도록 결정할 수 있음