메인 콘텐츠로 건너뛰기 탐색으로 건너뛰기 푸터로 건너뛰기
기간 한정 디자인 파트너 프로그램. BUSINESS 플랜 평생 무료.

무료 다운로드 · 24페이지 · A4 PDF

NIS2 지침 - CISO·컴플라이언스 담당자 필독 영문 요약

지침(EU) 2022/2555의 24페이지 영문 요약본입니다. 적용 범위, 제21조 10가지 보안 조치, 제23조 24시간/72시간/1개월 보고 기한, 부속서 I·II 적용 섹터, 행정 제재금, 그리고 10단계 실무 컴플라이언스 로드맵을 포함합니다. Rediacc가 저술했으며 공식 번역본은 아닙니다.

PDF 다운로드 브라우저에서 열기

본 문서는 비공식 요약본입니다. 법적 구속력이 있는 해석은 OJ L 333/80, 27.12.2022의 공식 텍스트를 참조하세요.

이 가이드에 담긴 내용

19개 섹션으로 정리했습니다. 73페이지의 복잡한 조문을 읽을 필요 없이, CISO와 컴플라이언스 담당자가 실무에서 바로 쓸 수 있는 핵심만 모았습니다.

  1. 요약
  2. 목적 및 법적 근거
  3. NIS1에서 NIS2로: 규정이 바뀌어야 했던 이유
  4. 적용 범위 및 제외 영역
  5. 주요 정의
  6. 기관 분류: 필수 기관과 중요 기관
  7. 적용 대상 섹터 (부속서 I·II)
  8. 회원국 의무
  9. 사이버보안 위험 관리 조치 (제21조)
  10. 사고 보고 의무 (제23조)
  11. 공급망 보안
  12. 경영진 책임
  13. EU 차원의 협력 구조
  14. 감독 및 집행
  15. 행정 제재금
  16. 시행 일정 및 전환
  17. EU 역외 기업에 대한 영향
  18. 실무 컴플라이언스 로드맵 (10단계)
  19. 결론 및 평가

세 가지 동반 가이드

이 PDF는 지침 전체를 한눈에 보여줍니다. 동반 가이드는 각 역할별로—조달, SRE, CFO—의무를 실제 의사결정으로 바꿔줍니다.

제21조(2)(d): 공급업체 계약의 핵심 문제

소프트웨어가 공급업체 서버가 아닌 자사 인프라에서 실행될 때 관리해야 할 3자 공급업체 목록이 줄어드는 이유는? 2026년 계약 재협상을 앞둔 CISO와 조달 담당자 필독.

가이드 읽기 →

지속적 효과성, 형식은 빼고

제21조(2)(e), (f)와 제23조의 관계. 주간 훈련을 현실적으로 만드는 상수 시간 포크와, 포렌식 증거 없이는 못 맞출 제23조 보고 기한. SRE와 운영 담당자 필독.

가이드 읽기 →

첫 NIS2 감사에서 구매자들이 배운 것

중견 필수 기관들이 구축하는 5가지 컴플라이언스 도구, 셀프호스팅 소프트웨어로 대체할 수 있는 항목, 그리고 어쨌든 남는 비용 항목은? 갱신 주기를 앞둔 CFO와 구매 담당자 필독.

가이드 읽기 →

자주 묻는 질문

이것이 지침의 공식 번역본인가요?

아닙니다. 복잡한 지침을 쉽게 이해할 수 있도록 정리한 비공식 영문 요약본입니다. 법적 효력이 필요하면 OJ L 333/80 (2022년 12월 27일) 또는 EUR-Lex (CELEX 32022L2555)의 공식 텍스트를 참조하세요. 다만 회원국의 국내 전환법이 지침보다 더 엄격하거나 다른 범위의 의무를 정할 수 있습니다.

NIS2 적용 대상은 누구인가요?

부속서 I은 EU가 가장 중요하다고 여기는 분야입니다: 에너지, 운송, 은행, 금융시장, 보건, 수도, 디지털 인프라, 공공행정, 우주.

NIS2는 언제 발효되었으며 전환 기한은 언제인가요?

지침은 2023년 1월 16일 발효, 회원국은 2024년 10월 17일까지 국내법 전환, 적용은 2024년 10월 18일(NIS1 폐지일)부터 시작되었습니다. 기관 목록 위원회 제출은 2025년 4월 17일까지. 대부분의 조직이 이 일정의 많은 부분이 이미 지났다는 걸 간과합니다. 섹션 16에서 전체 일정을 확인하세요.

최대 제재금은 얼마인가요?

필수 기관: 천만 유로 또는 전 세계 연간 매출의 2% 중 더 큰 금액. 중요 기관: 700만 유로 또는 전 세계 연간 매출의 1.4% 중 더 큰 금액. 벌금 외에도 최후 수단으로 필수 기관의 고위 경영진을 임시 직무 정지할 수 있습니다. 제재금 산정 방식은 섹션 15를 참조하세요.

NIS2가 EU 외 기업에도 적용되나요?

네, 두 가지 방식으로 적용됩니다. 직접 적용: EU에서 DNS, 클라우드, 데이터센터, CDN, MSP/MSSP, 온라인 마켓, 검색, 소셜 서비스를 제공하는 EU 외 공급자는 EU 대리인 선임 및 준수 필수. 간접 적용: EU 필수·중요 기관의 모든 공급자는 제21조(2)(d)의 공급망 보안 계약 요건 적용. 섹션 17에서 자세히 설명합니다.

제23조 사고 보고는 어떻게 작동하나요?

중요 사고 인지 시점부터 세 가지 기한이 적용됩니다: 24시간 이내 초기 경보, 72시간 이내 전체 신고, 1개월 이내 최종 보고. 중요 사이버 위협 우려시 서비스 수령자에도 지체 없이 통보해야 합니다. 섹션 10에서 전체 보고 매트릭스를 확인하세요.

이 요약본에 대하여

Rediacc는 에스토니아 등록 셀프호스팅 인프라 플랫폼입니다(OÜ 17363830, VAT EE102920091). 이 요약본은 저희 NIS2 콘텐츠 프로그램의 일부로 저술했습니다. 위의 동반 가이드는 Rediacc가 지침의 각 조항을 어떻게 충족하는지, 그리고 Rediacc가 아직 답이 아닌 부분(인증 없음, GRC 레이어 없음, 관리형 제23조 보고 없음, 포털 MFA만 제공)을 설명합니다. 공개 기능 매핑은 문서의 NIS2 and DORA를 참조하세요.

공급업체 질문서나 지난해 예산의 상위 3개 보안 항목을 보내주세요. 저희 서버에서 실제 구동되는 시스템을 기준으로 부족한 부분까지 포함해 서면으로 답변드립니다. 또는 이 PDF를 동료와 공유하세요.

PDF 다운로드