한국인터넷진흥원

< 최근 EU 사이버보안 입법동향과 시사점 > 

o EU는 급변하는 사이버 위협 환경에 대응하여 ICT 공급망 보안 강화, 기업들의 법규 준수 지원 등을 위한 사이버보안 정책과 입법을 추진
  - 디지털 법률 간소화 규정안(’25.11), 사이버보안법 2 규정안(’26.1), NIS2 지침 개정안(’26.1), 디지털 네트워크법안(’26.1) 등 다수의 디지털·사이버보안 관련 입법 추진

o 특히, 주요기반시설 부문의 ICT 공급망 보안을 강화하고 랜섬웨어 사고 대응 및 복구를 지원하는 등 고도화되는 사이버위협 환경에 대응 
  - EU집행위원회는 ICT 공급망 보안 위험평가를 통해 사이버보안 우려국 및 고위험 공급업체를 파악하고 나아가 「NIS2 지침」의 필수·중요조직이 사용하는
    주요 ICT 자산의 위험 완화를 위한 조치 요구 가능 (사이버보안법 2 규정안)
  - 필수·중요조직의 중대한 사고 발생 시 보고의무에 랜섬웨어 공격도 보고받을 수 있도록 포함하고 유럽연합 사이버보안청이 랜섬웨어 대비·대응·복구 지원 데스크를
    설립하여 지원하도록 함 (NIS2 지침 개정안, 사이버보안법 2 규정안)

o 한편, 「NIS2 지침」의 규제대상을 조정하고 사이버태세(Cyber Posture) 인증제도를 기업의 위험관리 조치 의무 준수 입증으로 활용하는 등 기업의 규제준수 부담을 완화
  -「NIS2 지침」상 필수 조직의 규모 기준을 기존 중기업에서 ‘소형 중견기업(small mid-cap enterprise)’을 초과하는 기업으로 상향, 그 이하는 중요 조직으로 분류하여 기업 규모에 맞는 비례적 규제를 유도 (NIS2 지침 개정안)
  - 더불어 유럽 사이버보안 인증제도에 조직(entity)의 특정 사이버보안 요구사항 준수를 보장하는 사이버 태세에 관한 인증을 추가하여 필수·중요조직이 사이버보안 위험관리 조치 의무 준수 입증 가능 (사이버보안법 2 규정안)
  - EU 「사이버복원력법」, 「디지털운영복원력법」, 「개인정보보호규정(GDPR)」 등 다수 법률에서 요구하는 사고 보고의무에 대한 단일 창구(Single-Entry Point) 구축을 추진하여 행정 부담을 완화 (디지털 옴니버스)