유럽 NIS2 지침 개요

NIS2는 주목해야 할 새로운 EU 지침입니다.

디지털화가 내부 및 외부 프로세스의 효율성을 높이고, 상품의 이동을 용이하게 하며, 비용을 최소화했다는 것을 부인할 수 없지만, 바로 이러한 상호 연결된 디지털 시스템에 대한 의존이 제조업체들과 그 가치 사슬을 사이버 범죄자들이 공급망 내의 취약점을 점점 더 많이 공격함에 따라 전례 없는 수준의 사이버 보안 위협에 취약하게 만들었습니다. 

유럽 연합은 이러한 깊은 우려의 영역을 다시 한번 다루며, 네트워크 및 정보 보안 지침 NIS2를 통해 더 넓은 범위의 부문에 걸쳐 사이버 보안 방어를 강화하고, 경영진 책임을 도입하며, 기업들이 자신들의 공급망에 대한 책임을 지고, 준수하지 않을 경우에는 상당한 재정적 벌금을 부과하는 법적 조치를 취했습니다.

NIS2 지침이 사이버 보안에 대한 새로운 기준을 어떻게 설정하는지, 그리고 그것이 여러분과 여러분의 비즈니스 파트너에게 무엇을 의미하는지 살펴봅시다.

PCB 산업에서 증가하는 사이버 보안 위협

우리의 적의 능력이 성숙함에 따라, 우리의 대응도 그렇게 해야 합니다.

CrowdStrike의 글로벌 위협 보고서 2024에 따르면, 2023년에 기술 부문은 상호 작용적 침입 활동을 위해 가장 자주 타깃으로 삼은 산업이었고, 통신 부문은 두 번째로 많이 타깃으로 삼은 산업이었습니다.

Part Insights Experience

Access critical supply chain intelligence as you design.

Learn More

거의 모든 전자 장치에서 핵심 구성 요소인 PCB는 항공우주, 자동차, 의료 등과 같은 매우 중요한 산업에서 중요한 자산입니다. 사이버 위협으로 인한 PCB 공급망의 중단은 전체 부문에 걸쳐 비용이 많이 드는 지연과 운영 정지를 초래할 가능성이 있습니다. 그러나 지난 10년 동안 제조업은 디지털 트윈, 로보틱스, AI, 클라우드 컴퓨팅, 산업용 사물인터넷(IIoT)과 같은 디지털 혁신으로 표시된 산업 4.0에 의해 변모되었습니다. 이러한 발전은 성장과 효율성을 향상시키지만, 사이버 위협에 대한 부문의 노출을 증가시켜 사이버 범죄자들이 악용할 새로운 진입점을 제공합니다.

제조업에서 사이버 보안 위험을 높이는 다른 요인으로는 직원 교육 부족이 있습니다. 인식 부족으로 인해 약한 비밀번호 사용이나 피싱 공격에 취약해질 수 있습니다. 또한, 현대 보안 기능이 없는 구식 시스템에 의존하는 것은 사이버 위험을 초래하며, 다수의 제3자 파트너가 있는 복잡한 공급망은 해커들에게 여러 진입점을 제공합니다. 업계의 경쟁이 치열하고 데이터 기반 운영에 의존하는 것도 지적 재산 도용이나 데이터 유출 가능성을 증가시킵니다.

사이버 위협은 공급망 공격, 랜섬웨어, 지적 재산 도용, 생산 방해 등 다양한 형태를 취할 수 있으며, 이는 상당한 재정적, 전략적, 명성에 대한 위험을 초래합니다.

제조업에서 흔히 발생하는 사이버 공격 유형

제조업에서 발생하는 사이버 공격 유형과 그 작동 방식:

• 랜섬웨어 공격: 컴퓨터 시스템이나 파일에 대한 접근을 제한하고, 몸값을 지불할 때까지 이를 해제하지 않는 악성 소프트웨어("맬웨어").
• 피싱 공격: 개인이 민감한 정보를 공개하도록 속여서 유도하는 속임수 이메일, 웹사이트 또는 메시지.
• 웨일링 캠페인: 조직 내 고위 인사를 대상으로 하는 고도화된 피싱 공격.

실제로 이것이 어떤 모습일까요? 랜섬웨어 공격을 통해, 악의적인 행위자들은 생산을 전면 중단시킬 수 있으며, 이로 인한 손실은 공급망 상하로 확산될 수 있습니다. 데이터 유출을 통한 독점 PCB 설계의 노출은 시장 손실과 경쟁적 불이익을 초래할 수 있습니다.

Part Insights Experience

Access critical supply chain intelligence as you design.

Learn More

최근 사이버보안이 산업에 미치는 매우 실질적인 위협의 예로, 미국 기반의 반도체 공급업체인 Microchip Technology가 최근 랜섬웨어 공격으로 인해 개인 정보 및 기타 데이터가 시스템에서 도난당했다고 확인했습니다. 회사는 8월 20일에 이 사건을 보고하며, 일부 서버와 비즈니스 운영이 영향을 받았다고 미국 SEC에 통지했습니다. 그러나, 그들은 영향을 받은 시스템을 격리함으로써 공격을 제한하는 데 성공했습니다.

NIS2 지침 이해하기

2016년에 도입된 NIS 지침의 확장판으로, 주로 에너지 및 교통과 같은 핵심 인프라 분야를 대상으로 했던 NIS2는 원래의 규제 프레임워크의 범위를 넓혀, 오늘날의 사이버보안 환경의 성숙도와 강도가 증가함에 따라 더 넓은 범위의 산업에 걸친 조직들이 이를 채택하도록 요구합니다.

지침의 주요 측면에 주의해야 할 것들은 다음과 같습니다:

• 확장된 범위: 전임자와 달리, NIS2 지침은 핵심 인프라 산업에서부터 PCB 제조와 같이 "필수" 부문 범주에 분류된 다양한 제조 분야까지 포함하는 더 넓은 범위의 분야를 포함합니다. 목표는 경제적 및 사회적 활동에 필수적인 서비스를 제공하는 엔터티를 보호하는 것입니다.
• 엄격한 보안 요구 사항: NIS2는 조직이 사이버 사고를 감지하고 처리하는 절차를 구현하도록 요구함으로써 더욱 강력한 사이버 보안 조치를 시행합니다. 이는 사고 예방, 위험 관리 및 사고 대응 요구 사항을 포함하여 비즈니스 연속성을 보장합니다.
• 강화된 공급망 보안: 제조업체에 대한 NIS2 지침의 가장 중요한 요소 중 하나인 제21조(2)(d)에 규정된 공급업체의 사이버 보안 자세를 평가하기 위한 기준을 도입합니다. 이 조항에 따라 핵심 및 필수 엔터티는 공급망 보안을 보호하기 위해 적절하고 비례적인 기술적, 운영적 및 조직적 조치를 구현해야 합니다.
• 사고 보고 의무: NIS2에 따라, 조직은 이제 국가 당국에 사고를 보고해야 하며, 초기 보고에 대해 24시간 이내, 추가 업데이트에 대해서는 72시간 이내에 제출해야 합니다.
• 책임 및 거버넌스: NIS2에 따라, 조직은 사이버 보안을 담당하는 지정된 책임자 또는 관리자를 임명해야 하며, 고위 경영진은 불이행에 대해 책임을 질 수 있습니다. 
• 불이행에 대한 제재: NIS2 지침은 불이행에 대해 상당한 재정적 벌금을 허용합니다. 이러한 벌금은 다양하지만 회사의 글로벌 매출의 최대 €10백만 또는 2%에 이를 수 있어, 기준을 준수하도록 강력한 경제적 유인을 제공합니다.

NIS2가 귀하의 공급망에 미치는 의미

핵심 산업 전반에 걸쳐 더 엄격한 사이버보안 기준을 설정함으로써, NIS2 지침은 PCB 제조업체들에게 강화된 사이버보안 기준을 충족하고 이를 수행하는 동안 더욱 탄력적인 공급망을 만들라는 기회이자 의무를 제시합니다.

다음은 PCB 제조 공급망에 대한 지침의 구체적인 영향입니다:

Meet US Government Security Requirements

Foster real-time collaboration with enhanced data security and access controls

Find Out More

강화된 사이버보안 기준

NIS2 지침은 PCB 제조업체들이 정기적인 취약점 평가부터 다중 인증 및 암호화 프로토콜 구현에 이르기까지 강력한 보안 프레임워크를 생성하고 유지하는 것을 포함하여 엄격한 사이버보안 요구사항을 충족하도록 요구합니다.

조직은 사이버 위험을 지속적으로 식별, 평가 및 완화하기 위한 메커니즘과 예산을 확보해야 하며, 이는 전담 사이버보안 인력을 고용하고, 고급 위협 탐지 도구에 투자하며, 네트워크 활동을 모니터링하기 위한 보안 운영 센터(SOC)를 만드는 등의 노력이 필요할 수 있습니다. 이전에 사이버보안에 제한된 자원을 할당한 이들에게는 신중하게 계획해야 할 변화입니다.

증가된 공급망 가시성 및 투명성

공급망 보안을 강화하려는 지침의 목표는 공급업체 및 파트너의 투명성을 증가시키는 것을 요구하며, 제조업체들이 NIS2 요구사항을 준수하는지 확인하기 위해 공급망 전반에 걸쳐 보안 감사 및 평가를 수행해야 할 수도 있습니다.

PCB 제조업체는 제3자 공급업체가 보안 관행을 입증하도록 요구할 수 있으며, 이는 공급업체와의 마찰을 일으키고 지시 사항의 기준을 충족할 의사가 없거나 충족할 수 없는 공급업체의 경우 특히 더 전략적인 의사결정을 필요로 할 수 있습니다.

더 엄격한 사고 보고 프로토콜

PCB 제조업체는 중대한 사이버 보안 사고를 24시간 이내에 국가 당국에 보고하고 72시간 이내에 추가 업데이트를 제공해야 합니다. 제조업체가 잘 알고 있듯이, 조치 시간을 단축하면 영향을 최소화할 수 있습니다. 비록 명성에 대한 우려를 일으킬 수 있지만, 사고 보고는 잠재적인 피해를 제한하는 데 필수적입니다.

Make cents of your BOM

Free supply chain insights delivered to your inbox

Learn More

이러한 보고 요구 사항을 충족하기 위해, 제조업체는 강력한 사고 탐지, 분류 및 상향 조정 프로세스가 필요합니다. 간소화된 사고 대응 계획을 갖추고 있으면 침해가 확대되는 것을 방지하고 전체 공급망에 대한 영향을 제한할 수 있습니다.

경영진 책임 및 위험 관리 문화

NIS2 지침에서 가장 영향력 있는 변화 중 하나는 사이버 보안 준수에 대한 경영진의 책임 요구 사항입니다. PCB 제조 회사의 최고 경영진은 이제 사이버 보안 계획 및 대응 전략에 정보를 제공하고 관여해야 합니다.

이 변화는 기업 거버넌스 구조에 사이버 보안을 내장하는 것의 중요성을 강조합니다. 경영진은 사이버 위험에 대해 교육받고 사이버 보안 이니셔티브를 지원하도록 장려받아야 합니다. 이에 따라, 지시안은 "사이버 보안 문화"를 강조하는데, 이는 모든 수준의 직원들이 최선의 관행, 위협 인식, 안전한 디지털 행동에 대해 교육받는 것을 의미합니다.

벌금과 불이행의 비용

최대 €10백만 또는 회사의 글로벌 매출의 2%에 달하는 벌금으로, NIS2 지침을 준수하지 않을 경우의 재정적 결과는 엄청나며, 많은 PCB 제조업체에게는 심각한 위협이 됩니다. 조직은 법적 의무를 충족하지 못할 경우 심각한 결과에 직면할 수 있습니다. 회사들은 규제 의무뿐만 아니라 비용 절감, 브랜드 가치 향상 조치로서 준수에 투자하는 기회를 활용하는 적극적인 입장을 취해야 합니다.

벌금을 넘어, 특히 민감하거나 고위험 고객과 함께 일하는 제조업체의 경우, 명성 손상은 상당할 수 있습니다. 불이행 또는 중대한 사이버 보안 침해는 소비자 및 파트너 신뢰의 손실을 초래하고 궁극적으로 장기적인 생존 가능성과 성장에 위험을 초래할 수 있습니다.

Cloud Storage and Version Control

Store your libraries and design data in one secure, accessible, and version-controlled space.

Learn More

NIS2 지침을 준수하는 방법

NIS2 지침을 준수하려면 전략적 계획과 자원 배분이 필요합니다. PCB 제조업체가 고려해야 할 몇 가지 단계는 다음과 같습니다:

사이버 보안 위험 평가 수행: 타깃이 되는 사이버 보안 전략을 수립하고 고위험 영역을 우선적으로 다루기 위해, 잠재적 취약점을 식별하는 종합적인 사이버 보안 위험 평가부터 시작하세요. 

강력한 공급망 보안 전략 개발: 공급업체와 긴밀히 협력하여 그들의 사이버 보안 관행을 평가하고 우려 사항을 해결하기 위한 행동 계획을 설정하세요. 사이버 보안 기준에 대한 준수를 위한 계약상 의무를 설정하고 보안 자세에 대한 정기적인 보고를 요구하세요.

고급 사건 탐지 및 대응 시스템 구현: 실시간 위협 탐지 및 대응 시스템을 제공하는 시스템에 투자하세요. 신속한 조치와 보고 요구 사항에 대한 준수를 가능하게 하는 사건 대응 프로토콜을 설정하세요.

임원 및 직원에게 사이버 보안 모범 사례 교육: 기술 직원뿐만 아니라 임원 및 모든 직원을 포함하는 강력한 교육 프로그램을 구현하세요. "사이버 인식" 문화를 구축하면 인간의 오류를 줄이고 전반적인 사이버 보안을 강화할 수 있습니다. 이 분야에서 더 많은 도움이 필요하다면, 세계 경제 포럼은 제조업에서 사이버 회복력 문화를 구축하기 위한 플레이북을 제공합니다.

Variant Manager

Meet demands of a globalized market that requires unique versions of your PCBs.

Learn More

명확한 거버넌스와 책임 설정: 사이버 보안 책임자를 임명하거나 사이버 보안 준수를 담당할 부서 간 팀을 구성하세요. 이 팀은 정기적으로 집행 이사회에 보고하여 준수, 위험 및 사건 관리에 대한 업데이트를 제공해야 합니다.

더욱 회복력 있고 안전한 PCB 공급망

규정 준수가 상당한 헌신, 투자, 그리고 적응을 요구하는 장애물일 수 있지만, 그 결과로 더 투명하고 안전하며 회복력 있는 PCB 공급망을 얻을 수 있습니다.

노력과 비용을 관점에 맞추기 위해, Applied Material의 2023년 공급망 사건은 회사에 2억 5천만 달러의 비용이 들었다고 추정됩니다.

현대에 있어서 사이버 보안의 중요성은 고객과 클라이언트에 의해 경시되지 않으며, 공급망에 의해 위험에 빠뜨려져서는 안 됩니다. NIS2와의 규정 준수를 보장하고 취약점을 선제적으로 해결함으로써, 회사들은 불확실성의 위험을 완화할 뿐만 아니라 글로벌 PCB 공급망의 안정성과 보안을 보장하는 데 일조하고 있는 신뢰할 수 있는 파트너로서 자신들을 차별화할 수 있습니다.