⦁ EU NIS2 지침(EU 2022/2555)의 완전한 국내법 이행과 함께 기존 정보보안법의 적용 경험을 통합한 통합적 사이버보안 규제 프레임워크 구축

⦁ 기존에는 정부기관과 중요 인프라에만 적용되던 법률을 EU 규정에 따라 민간 부문의 특정 업종까지 확대 적용

⦁ 조직의 연간 IT 개발 비용의 최소 5%를 사이버보안 개발에 투자하도록 의무화하고 기업 최고경영진에게 사이버보안 책임을 부과

□ 적용 범위 및 대상 조직 확대

⦁ 공공행정 부문 조직, 국가 다수 지분 소유 경제조직(직원 50명 이상 또는 연간 순매출 1천만 유로 초과), 국가사이버보안청이 기본 또는 중요 조직으로 식별한 조직들을 포함

⦁ 중소기업 기준을 초과하는 모든 기업(직원 50명 이상 또는 연 매출 39억 포린트/1천만 유로 초과)이 대상이며 기본 조직과 중요 조직 구분 없이 동일 적용

⦁ 전자통신 서비스 제공업체, 신뢰 서비스 제공업체, DNS 서비스 제공업체, 최상위 도메인 등록기관은 조직 규모와 관계없이 적용 대상에 포함

⦁ 다만 은행 및 금융시장 인프라 부문은 DORA 규정(EU 2022/2554)이 적용되므로 이 법률 적용 제외

□ 조직 의무사항 및 경영진 책임 강화

⦁ 조직은 전자정보시스템 전체 생명주기 동안 데이터의 기밀성, 무결성, 가용성을 보장하는 폐쇄적이고 포괄적이며 지속적인 보호체계 구축 의무

⦁ 조직 리더는 연간 IT 개발 비용의 최소 5%에 해당하는 금액을 사이버보안 개발에 투자하도록 보장해야 하며, 전자정보시스템 보호를 위한 기타 필요한 조치 시행 책임

⦁ 최고경영진은 조직의 사이버보안 상태 정비를 위한 책임을 지며, 기술적 개입뿐만 아니라 조직적 성격의 의무사항도 준수해야 함

⦁ 협력업체 이용 시 전자정보시스템과 관련된 사이버보안 요구사항을 계약상 의무로 명시하여 준수하도록 보장

□ 감사 및 등록 의무사항

⦁ NIS2 적용 조직은 운영 개시 후 또는 법률 적용 대상이 된 후 30일 이내에 SZTFH에 등록 신청서를 제출해야 함

⦁ SZTFH 등록부에 등재된 사이버보안 감사관과 등록 후 120일 이내에 사이버보안 감사 실시를 위한 계약 체결 의무

⦁ 2025년 1월 1일 이전 운영을 시작한 조직은 2025년 12월 31일까지 첫 사이버보안 감사를 완료해야 하며, 이후 조직은 등록 후 2년 이내 감사 완료

⦁ 2024년부터 특정 보안 조치 이행, 2024년 10월부터 사이버보안 사건 보고 의무 등 단계적 의무사항 시행

□ 감독 및 제재 체계

⦁ 연간 사이버보안 감독 수수료는 조직의 전년도 순매출의 최대 0.015% 또는 최대 1천만 포린트이며, 동일 기업집단의 경우 총 수수료는 5천만 포린트 초과 불가

⦁ SZTFH는 보안 카테고리 분류 검증, 보호조치 이행 확인, 추가 보안 요구사항 정의, 정기 및 특별 검사 실시, 시정 조치 명령 등 광범위한 감독 권한 보유

⦁ 법규 위반 시 경고 후 벌금 부과, 정보보안 감독관 지정, 감독기관 이관 등 단계적 제재 조치 적용

⦁ 기본 조직의 경우 최대 1천만 유로 또는 전세계 연 매출의 2%, 중요 조직의 경우 최대 7백만 유로 또는 매출의 1.4% 중 높은 금액으로 벌금 부과