네트워크 및 정보 보안(NIS) 지침은 사이버 보안에 관한 유럽연합(EU) 차원의 첫 번째 법률입니다. 이 지침의 목표는 회원국 전체에 걸쳐 높은 공통의 사이버 보안 수준을 달성하는 것이었으며 사이버 보안에 대한 제도적, 규제적 접근 방식과 관련하여 중요한 변화를 위한 기반을 마련하는 것이었습니다. 디지털 혁신과 사이버 공격의 급증으로 인한 위협이 증가함에 따라 위원회는 NIS의 범위를 확대할 것을 제안했고, 이는 NIS2의 창설로 이어졌습니다. NIS2의 확대는 NIS의 보안 요건을 강화하고, 공급망의 보안 문제를 해결하며, 보고 의무를 간소화하고, 더 엄격한 감독 조치와 더 엄격한 집행 요건을 도입하기 위한 것입니다. 이 블로그에서는 이 지침이 항공 부문에 미치는 영향과 조직이 NIS2 요건을 성공적으로 준수할 수 있는 방법에 대해 설명합니다.
NIS2 지침이 NIS에 비해 개선된 한 가지 영역은 적용 대상의 범위입니다. NIS2는 운송(항공 포함)을 포함한 13개 산업 및 부문의 사이버 보안 위험에 대한 기준선을 설정했습니다. 또한 디지털 인프라와 디지털 서비스 제공업체도 NIS2의 범위에 포함되었습니다. 즉, 반드시 EU에 물리적으로 거주하지 않는 조직이라도 필수적이거나 중요한 서비스를 제공하는 경우 영향을 받을 수 있습니다. 이러한 필수 또는 중요 서비스에는 클라우드 서비스, DNS 서비스, 소셜 미디어 네트워크, 검색 엔진 등이 포함됩니다.
NIS2 요건에 해당하는 엔티티는 두 가지 범주로 나뉩니다. 첫 번째 범주는 '필수' 서비스입니다. 필수 서비스 그룹에는 중요한 서비스를 제공하고 해당 서비스의 중단이 국가 경제 또는 사회 전체에 심각한 결과를 초래할 수 있는 조직이 포함됩니다. 이 범주에는 의료, 에너지, 교통 등의 분야가 포함됩니다. 두 번째 범주는 '중요' 서비스 또는 서비스가 중단될 경우 심각한 결과를 초래하지 않는 조직입니다. 중요한 서비스의 예로는 제조업, 식품 생산, 디지털 서비스 제공업체, 폐기물 관리 등이 있습니다. 이 두 가지 범주는 구분되어 있지만 두 범주에 속하는 기업은 동일한 요건을 충족해야 하지만 감독 조치와 처벌에 차이가 있습니다.
운송 부문의 하위 집합으로서 항공은 '필수' 서비스로 간주되며, 인턴은 다음과 같은 사이버 보안 영역을 해결해야 합니다:
위험 분석 및 정보 시스템 보안에 관한 정책
인시던트 처리(인시던트 예방, 탐지 및 대응)
백업 관리 및 재해 복구와 같은 위기 관리 및 비즈니스 연속성 유지
각 법인과 공급업체 또는 서비스 제공업체 간의 관계에 관한 보안 관련 측면을 포함한 공급망 보안
취약점 처리 및 공개를 포함한 네트워크 및 정보 시스템 획득, 개발 및 유지 관리 보안
사이버 보안 위험 관리 조치의 효과를 평가하기 위한 정책 및 절차(테스트 및 감사)
기본 사이버 위생 관행 및 사이버 보안 교육
암호화 및 적절한 경우 암호화 사용에 관한 정책 및 절차를 준수합니다;
인적 자원 보안, 액세스 제어 정책 및 자산 관리
다단계 인증 또는 지속적인 인증 솔루션, 보안 음성, 영상 및 문자 통신, 기업 내 보안 비상 통신 시스템(적절한 경우)을 사용해야 합니다.
특히 항공 업계에 가장 중요한 영향은 외부 공급업체 및 벤더의 잠재적인 사이버 보안 위협을 평가하고 통제하는 것입니다. 이 요건을 충족하려면 시스템과 제품이 보안 표준을 충족하는지 검증하고 사이버 공격을 견디고 복구할 수 있는 능력을 확인해야 합니다. 항공 부문은 다른 운송 기관과 마찬가지로 비행기에 사용되는 제어 시스템과 같은 대량의 사이버 물리 시스템(CPS)에 크게 의존하고 있습니다. 이는 항공 조직이 공급망을 보호하는 데 있어 또 다른 시사점을 제시하며, 기업은 NIS2 요건을 준수하기 위해 사이버 위협으로부터 이러한 시스템을 보호하기 위한 조치를 구현해야 합니다. 여기에는 무단 액세스 또는 조작으로부터 제어 시스템을 보호하기 위한 액세스 제어 구현이 포함될 수 있습니다. NIS2 지침에 따라 항공 조직은 사이버 보안 조치에 미리 투자해야 하지만, 투자 증가는 궁극적으로 장기적으로 더 안전하고 탄력적인 산업을 만들 수 있을 것입니다.
항공 조직은 Claroty 와 같은 CPS 보안 공급업체와 협력하여 NIS2 규정 준수 요건을 충족할 수 있습니다. Claroty의 CPS 사이버 보안 포트폴리오는 강력한 보호, 모니터링 및 기타 사이버 위험 관리 제어를 모든 CPS로 확장하여 NIS2 준수를 지원하고 간소화하며, 여기에는 NIS2의 범위로 간주되는 EU 기관이 제공하는 필수적이고 중요한 서비스를 뒷받침하는 것도 포함됩니다. Claroty 포트폴리오와 NIS2 간의 연계는 지침의 요구사항 중 두 가지 핵심 영역에 걸쳐 있습니다: 사이버 보안 위험 관리와 사고 보고. Claroty 의 CPS 사이버 보안 솔루션을 기존 IT 보안 도구 및 워크플로에 활용하고 원활하게 통합함으로써 항공 조직은 전사적으로 모든 IT 및 CPS 환경에서 모든 NIS2 요구 사항을 완벽하게 적용하고 지원할 수 있게 됩니다.
