| 제목 | 최근 EU 사이버보안 입법동향과 시사점 [Digital Security Law Focus (2026. Vol1)] | ||
|---|---|---|---|
| 작성일 | 2026.05.15 | 작성자 | FKII |
| 첨부파일 | |||
[원문 링크 바로가기] 최근 EU 사이버보안 입법동향과 시사점 - 한국인터넷진흥원(kisa.or.kr)
Ⅰ 개 요
1. 사이버위협의 고도화와 정책방향의 변화
2. 정책·환경변화를 반영한 최근 EU 입법동향
Ⅱ 주요 내용
1. 「NIS2 지침」의 규제 대상 조정과 명확화
2. 사이버태세 인증의 도입과 인증프레임워크 개선
3. ICT 공급망 보안 관리 강화
4. 랜섬웨어 대응 강화
5. 사이버사고 보고의무의 간소화
6. 중대·대규모 사이버사고 대응을 위한 EU 협력 강화
7. 유럽연합 사이버보안청(ENISA)의 협력·지원 확대
Ⅲ 시사점
ㅁ EU는 급변하는 사이버 위협 환경에 대응하여 ICT 공급망 보안 강화, 기업들의 법규 준수 지원 등을 위한 사이버보안 정책과 입법을 추진
ㅇ 디지털 법률 간소화 규정안(’25.11), 사이버보안법 2 규정안(’26.1), NIS2 지침 개정안(’26.1), 디지털 네트워크법안(’26.1) 등 다수의 디지털·사이버보안 관련 입법 추진
ㅁ 특히, 주요기반시설 부문의 ICT 공급망 보안을 강화하고 랜섬웨어 사고 대응 및 복구를 지원하는 등 고도화되는 사이버위협 환경에 대응
ㅇ EU집행위원회는 ICT 공급망 보안 위험평가를 통해 사이버보안 우려국 및 고위험 공급업체를 파악하고 나아가 「NIS2 지침」의 필수·중요조직이 사용하는 주요 ICT 자산의 위험 완화를 위한 조치 요구 가능 (사이버보안법 2 규정안)
ㅇ 필수·중요조직의 중대한 사고 발생 시 보고의무에 랜섬웨어 공격도 보고받을 수 있도록 포함하고 유럽연합 사이버보안청이 랜섬웨어 대비·대응·복구 지원 데스크를 설립하여 지원하도록 함 (NIS2 지침 개정안, 사이버보안법 2 규정안)
ㅁ 한편, 「NIS2 지침」의 규제대상을 조정하고 사이버태세(Cyber Posture) 인증제도를 기업의 위험관리 조치 의무 준수 입증으로 활용하는 등 기업의 규제준수 부담을 완화
ㅇ 「NIS2 지침」상 필수 조직의 규모 기준을 기존 중기업에서 ‘소형 중견기업(small mid-cap enterprise)’을 초과하는 기업으로 상향, 그 이하는 중요 조직으로 분류하여 기업 규모에 맞는 비례적 규제를 유도 (NIS2 지침 개정안)
ㅇ 더불어 유럽 사이버보안 인증제도에 조직(entity)의 특정 사이버보안 요구사항 준수를 보장하는 사이버 태세에 관한 인증을 추가하여 필수·중요조직이 사이버보안 위험관리 조치 의무 준수 입증 가능 (사이버보안법 2 규정안)
ㅇ EU 「사이버복원력법」, 「디지털운영복원력법」, 「개인정보보호규정(GDPR)」 등 다수 법률에서 요구하는 사고 보고의무에 대한 단일 창구(Single-Entry Point) 구축을 추진하여 행정 부담을 완화 (디지털 옴니버스)
