메인 콘텐츠로 건너뛰기 탐색으로 건너뛰기 푸터로 건너뛰기
디자인 파트너 프로그램: 무료로 가입하고 평생 BUSINESS 플랜 혜택을 누리세요

무료 다운로드 · 24페이지 · A4 PDF

NIS2 지침: CISO 및 컴플라이언스 담당자를 위한 영문 요약

지침(EU) 2022/2555의 24페이지 영문 요약본입니다. 적용 범위, 제21조 10가지 조치, 제23조 24시간/72시간/1개월 보고 일정, 부속서 I 및 II 섹터, 행정 제재금, 그리고 10단계 실무 컴플라이언스 로드맵을 다룹니다. Rediacc가 작성했으며 공식 번역본이 아닙니다.

PDF 다운로드 브라우저에서 열기

이 문서는 비공식 요약본입니다. 법적 구속력 있는 해석은 OJ L 333/80, 27.12.2022의 공식 텍스트를 참조하세요.

PDF 목차

73페이지 분량의 전문 조항을 처음부터 읽지 않아도 되도록, 실무 CISO 또는 컴플라이언스 담당자를 위해 지침의 핵심을 19개 섹션으로 구성했습니다.

  1. 요약
  2. 목적 및 법적 근거
  3. NIS1에서 NIS2로: 왜 새로운 규정인가?
  4. 적용 범위 및 제외 영역
  5. 주요 정의
  6. 기관 분류: 필수 기관 및 중요 기관
  7. 적용 범위 섹터 (부속서 I 및 부속서 II)
  8. 회원국 의무
  9. 사이버보안 위험 관리 조치 (제21조)
  10. 사고 보고 의무 (제23조)
  11. 공급망 보안
  12. 경영진 책임
  13. EU 수준 협력 구조
  14. 감독 및 집행
  15. 행정 제재금
  16. 시행 일정 및 전환
  17. EU 외 기업에 대한 영향
  18. 실무 컴플라이언스 로드맵 (10단계)
  19. 결론 및 평가

세 가지 동반 가이드

PDF는 지침을 정리합니다. 동반 가이드는 의무 사항을 조달 및 운영 결정으로 전환하며, 각 대상 독자에 맞게 구성되어 있습니다.

제21조(2)(d)는 공급업체 문제입니다

데이터 플레인이 테넌시를 벗어나지 않을 때 서드파티 ICT 등록부가 줄어드는 이유. 2026년 DPA 재협상 중인 CISO 및 조달 담당자를 위한 가이드.

가이드 읽기 →

형식 없는 지속적 효과성

제21조(2)(e), (f) 및 제23조를 함께 읽습니다. 주간 훈련을 현실적으로 만드는 상수 시간 포크와, 포렌식 수준의 아티팩트 없이는 충족할 수 없는 제23조 보고 일정. SRE 및 운영 담당자를 위한 가이드.

가이드 읽기 →

첫 NIS2 감사 주기에서 구매자들이 전한 것

중견 필수 기관들이 조용히 구성하는 5가지 컴플라이언스 툴 스택, 셀프호스팅 컨트롤 플레인이 줄여주는 항목, 그리고 어떻게 해도 남는 비용 항목들. 갱신 주기를 앞둔 CFO 및 구매 담당자를 위한 가이드.

가이드 읽기 →

자주 묻는 질문

이것이 지침의 공식 번역본인가요?

아닙니다. 지침의 구조와 의무 사항을 이해하기 쉽게 하기 위한 비공식 영문 요약본입니다. 법적 구속력 있는 해석은 OJ L 333/80 (2022년 12월 27일) 또는 EUR-Lex (CELEX 32022L2555)의 공식 텍스트를 참조하세요. 회원국의 국내 전환법이 지침 자체보다 더 엄격하거나 다른 범위의 의무를 부과할 수 있습니다.

NIS2 적용 대상은 누구인가요?

부속서 I(고중요도) 또는 부속서 II(기타 중요) 섹터에서 운영되며 중소기업 기준(직원 50인 이상 또는 연매출 1,000만 유로 이상, 권고안 2003/361/EC 기준)을 충족하는 기관입니다. TLD 레지스트리, DNS 공급자, 신뢰 서비스 제공자, 중앙 공공 행정 기관 등 일부 기관은 규모와 관계없이 적용 대상입니다. 적용 범위에 대한 자세한 내용은 PDF의 4, 6, 7섹션을 참조하세요.

NIS2는 언제 발효되었으며 전환 기한은 언제인가요?

지침은 2023년 1월 16일에 발효되었습니다. 회원국은 2024년 10월 17일까지 국내법으로 전환해야 했으며, 적용은 2024년 10월 18일(NIS1 폐지일과 동일)부터 시작되었습니다. 기관 목록의 위원회 제출 기한(2025년 4월 17일) 및 정기 검토 일정을 포함한 전체 일정은 섹션 16에 있습니다.

최대 제재금은 얼마인가요?

필수 기관의 경우: 1,000만 유로 또는 전 세계 연간 매출의 2% 중 더 높은 금액. 중요 기관의 경우: 700만 유로 또는 전 세계 연간 매출의 1.4% 중 더 높은 금액. 지침은 또한 필수 기관의 고위 경영진에 대한 임시 직무 정지(최후 수단)를 포함한 비금전적 제재도 허용합니다. 제재금 결정 요소는 섹션 15에서 다룹니다.

NIS2가 EU 외 기업에도 적용되나요?

네, 두 가지 방식으로 적용됩니다. 직접 적용: EU에서 서비스를 제공하는 EU 외 DNS, 클라우드, 데이터센터, CDN, MSP/MSSP, 온라인 마켓플레이스, 검색, 소셜네트워킹 공급자는 EU 대리인을 선임하고 준수해야 합니다. 간접 적용: EU 필수 또는 중요 기관에 제품이나 서비스를 제공하는 EU 외 공급자는 제21조(2)(d)에 따라 EU 고객이 부과하는 공급망 보안 계약 요건을 적용받습니다. 섹션 17에서 두 경우를 다룹니다.

제23조 사고 보고는 어떻게 작동하나요?

중요 사고를 "인지"한 시점부터 세 가지 기한이 적용됩니다: 24시간 이내 초기 경보, 72시간 이내 전체 사고 신고, 1개월 이내 최종 보고서. 중요 사이버 위협이 예상되는 경우 서비스 수신자에게도 부당한 지연 없이 통지해야 합니다. 전체 보고 매트릭스는 섹션 10에 있습니다.

이 요약본에 대하여

Rediacc는 에스토니아에 등록된 셀프호스팅 인프라 플랫폼입니다(OÜ 17363830, VAT EE102920091). 이 요약본은 저희의 NIS2 콘텐츠 프로그램의 일환으로 작성되었습니다. 위의 동반 가이드는 Rediacc가 답이 아닌 부분(인증 미보유, GRC 레이어 없음, 관리형 제23조 보고 없음, 포털 전용 MFA)을 포함하여 Rediacc가 지침의 특정 조항을 어떻게 충족하는지 설명합니다. 공개 기능 매핑은 문서의 NIS2 and DORA를 참조하세요.

공급업체 질문서 또는 지난해 예산에서 가장 큰 보안 비용 항목 세 가지를 보내주세요. 배포된 인스턴스를 기준으로 부족한 부분을 포함하여 서면으로 답변드립니다. 또는 PDF를 다운로드하여 동료에게 전달하세요.

PDF 다운로드