| 내용 |
2019년 6월 27일 유럽연합의 새로운 정보통신기술규정인 사이버보안법(Cybersecurity Act)이 시행됨으로써 전체 유럽연합에 적용되는 사이버보안 제품 및 서비스에 대한 인증(Certification)이 시행되게 되었다. 인증은 유럽연합에서 해당 제품 및 서비스를 판매하는 기업들에게 경쟁우위를 제공해줄 수 있다. 더불어 해당 인증은 GDPR을 준수하는 인증으로서 기능할 것으로 기대된다. 한편 사이버보안법에 의해 유럽연합의 사이버보안 전문 기관인 ENISA는 영구 조직으로서 새로운 임무를 부여받게 되었다. o 유럽연합 사이버보안 인증 프레임워크(EU Cybersecurity Certification Framework) 사이버보안법은 전술한 바와 같이 유럽연합에서 적용되는 사이버보안 인증 프레임워크를 구축하게 된다. 이는 유럽연합에서 온라인 서비스와 소비자 디바이스의 사이버보안 수준을 향상시키기 위한 목적으로 마련된 것이다. 인증을 통해 기업들은 특정 기업이나 서비스에 대한 사이버보안 표준을 평가할 수 있고 위험의 심각성(기본, 중요, 높음)의 순서대로 순위를 매길 수 있다. 해당 제품이나 서비스는 그 이용(예를 들어 스마트 TV에는 기본 인증이 충분하겠지만, 의료 기기에는 충분치 못할 수 있다)에 따라 상이한 인증을 받을 수 있다. ENISA는 여러 가지 요소를 고려하여 상이한 인증 메커니즘을 디자인할 예정이다. 예를 들어 (a) 제품과 서비스의 구분 (b) 사이버보안 필요요건 (c) 평가 유형(3자 vs. 자체 평가) (d) 의도하는 보증 수준(기본; 중요; 높음) 등이 고려 사항이다. ENISA는 또한 인증 메커니즘의 이행을 돕는 중요한 역할을 담당하게 된다. o 유럽연합 사이버보안 전담기관(EU Cybersecurity Agency) ENISA는 유럽연합에서 네트워크 및 정보보호 수준을 개선하기 위해 2004년 설립되었다. 同 기관은 모든 유럽연합 회원국이 자체적인 역량을 높이는데 도움을 주고 있다. 그 영역은 사이버보안 훈련, 가이드라인 및 의견 제시, 국가 사이버보안 전략 수집 지원 등이다. 사이버보안법을 통해 ENISA는 영구적인 지위를 갖게 되며, 정책개발 및 이행, 사이버 역량 강화 등과 같은 기존의 임무 수행을 위한 역할도 강화되었다. 인증 메커니즘은 ENISA의 새로운 임무 중 가장 중요한 것이지만, 아래와 같이 다른 여타 기능들도 수행하게 된다. o GDPR에서 제시된 정보보호 관련 필수요건에 대해 유럽연합 회원국들에게 구체적인 이행 방법을 제공하고, 특히 “보안을 고려한 디자인” 원칙과 정보보호 필수요건에 대해 제시 o 새로운 인증을 지원하기 위해 시장과 관련된 임무(표준화, 사이버보안 인증)를 수행. ENISA는 인증과 관련하여 언제 기업들에게 제공 가능한지, 그리고 자가 인증 혹은 3자를 통한 인증 방법 등에 대해 발표할 예정이다. o 유럽연합 회원국들이 사이버보안 사고를 처리하고 국경을 넘는 대규모 공격의 경우 유럽연합 전체 조정을 지원하는 임무를 포함하여 사이버공격에 효과적으로 대응토록 전체 회원국을 조정하는 임무 o 기관, 제조업체, 혹은 고위험 제품 및 서비스를 제공하는 사업자 사이의 조정 지원 |
