폴란드, NIS2 국내법 전환 및 KSC 개정 공식 시행


EU가 2022년 12월 NIS2 Directive(Network and Information Systems 2) 사이버보안 지침을 발효하고 2024년 10월까지 각 회원국에 국내법 반영을 요구한 가운데, 폴란드는 이를 자국 「국가 사이버보안 시스템법(KSC, National Cybersecurity System Act)」 개정에 포함시켜 2026년 4월 3일부터 공식 시행했다. 폴란드는 NIS2 도입이 당초 기한보다 약 17개월 지연되면서 EU의 불이행 절차 대상에 포함되었지만, 이번 개정을 통해 보다 체계적이고 엄격해진 새로운 규제 프레임을 마련했다. 이로 인해 폴란드에 직접 진출했거나 현지 공급망과 연결된 기업들은 강화된 사이버보안 규제 요건에 선제적으로 대응해야 할 필요성이 커지고 있다.

NIS1 대비 NIS2 주요 변경 사항

EU가 2016년 처음 도입한 NIS1 지침은 각 회원국이 ‘핵심 서비스 제공자(OES)’를 자체 기준에 따라 지정하도록 하면서 국가별 적용 범위와 의무 수준이 크게 달라지는 한계를 드러냈다. 이러한 문제점을 보완하기 위해 마련된 NIS2(Directive 2022/2555)는 규제 대상을 기존 7개 분야에서 18개 산업으로 넓히고, 중견·대기업 규모의 Essential Entity와 Important Entity를 중심으로 보다 강화된 보안 의무를 부과하는 방향으로 체계를 재정비했다.


적용 산업 분야>


[자료: ComReg 공식 사이트]

대비 NIS2 지침 핵심 변화>

구분

NIS1 (2016)

NIS2 (2022)

대상 기관

- 필수 서비스 사업자(OES)

- 일부 디지털 서비스 제공자 (DSP)

- 핵심기관(Essential Entities)*

- 중요기관(Important Entities)**

적용

산업분야

에너지, 운송, 금융, 은행,
보건, 식수, 디지털 인프라

기존 분야 + 폐수, ICT 서비스 관리, 공공행정, 화학물질 제조 및
유통, 제조업, 연구 등 총 18개 산업으로 확대

규모 기준

각국 재량에 따라 중요 사업자 지정,
최소 규모 기준 불명확

직원 50인 이상, 연 매출·자산 1,000만 유로 이상의
중견·대기업을 기본 대상으로 규정

사고 보고 기준

‘지체 없이’ 보고
구체적 시간·단계 기준 부재

- 24시간 이내: 초기 경고

- 72시간 이내: 사고 알림

- 1개월 이내: 최종 보고

감독·집행

EU 차원의 최소 제재 기준 미흡
회원국별 제재·감독 기준 상이

- 감독 강화(사전·사후 감독 체계 도입)

- 경영진 책임 명문화(교육·책임 부과)

제재·벌금

수준

EU 차원의 구체적 벌금 상한 없음

- (핵심기관) 최대 1,000만 유로 또는 전 세계 연 매출 2% 중 높은 금액

- (중요기관) 최대 700만 유로 또는 연 매출 1.4% 중 높은 금액

(주1) NIS2 핵심기관 산업 분야 : 운송, 은행, 금융시장, 보건, 에너지, 디지털 인프라, 식수, 공공행정, 우주, 폐수, ICT 서비스관리

(주2) NIS2 중요기관 산업 분야 : 디지털 제공업, 화학물질, 연구, 식품 생산 및 유통, 우편·택배, 제조업, 폐기물 관리

[자료: KOTRA 바르샤바 무역관 조사]

폴란드 사이버보안법의 개정


폴란드의 NIS2 국내법 전환은 기존 「국가 사이버보안 시스템법(KSC)」을 개정하는 방식으로 이뤄졌다. 개정 KSC는 EU NIS2의 기본 구조를 반영해 핵심기관과 중요기관을 구분하고, 위험 기반 보안조치, 사고보고, 감독·제재, 등록부 운영 체계를 도입했다. 다만 폴란드는 이를 단순히 지침 문구를 옮기는 방식이 아니라, S46 시스템, KSC 등록부, 부문별 감독기관, 국가·섹터 CSIRT 체계와 연결해 운영하도록 설계했다는 점에서 실무상 별도 확인이 필요하다.

1) 적용 범위 확대 차이


NIS2를 국내법으로 전환하는 과정에서 폴란드는 EU NIS2의 Annex I·II 체계를 바탕으로 자국 KSC 법률의 부속서에 적용 분야와 하위 분야를 구체화했다. KLMLAW가 발간한 「Complete Guide to NIS2 Implementation in the Polish Legal Framework」에 따르면, 폴란드는 EU NIS2의 Annex I·II 체계를 유지하면서도 각 Annex 내 세부 산업군을 재구성해 더 다양한 기관을 포함하도록 설계했다.

Annex I에는 에너지, 운송, 금융, 보건, 식수, 폐수, 디지털 인프라, ICT 서비스 관리, 우주, 공공부문 등이 포함되며, Annex II에는 우편, 원전 투자, 폐기물 관리, 화학물질, 식품, 제조, 디지털 서비스 제공자, 연구, 특수 공공기관 등이 포함된다. 또한 DNS 서비스 제공자, 관리형 사이버보안 서비스 제공자, TLD Registry, 도메인 등록 서비스 제공자, 원전 운영기관 등 일부 기관은 규모와 관계없이 핵심기관으로 분류될 수 있다. 따라서 기업은 단순 업종명뿐 아니라 실제 수행 기능, 폴란드 내 사업 형태, 기업 규모, 예외분류 여부를 함께 확인해야 한다.

2) 감독 집행 체계의 강화


감독 방식은 기관 유형에 따라 차등 적용된다. 핵심기관에 대해서는 사전 감독과 사후 감독이 모두 이루어지며, 중요기관에 대해서는 주로 위반 의심이 있는 경우 사후 감독이 이루어진다. 폴란드는 이러한 기본 틀 위에 감독기관 체계를 한층 더 촘촘하게 구성했다. 부문별 감독기관을 두고, 국가 CSIRT* 3종(CSIRT MON, CSIRT NASK, CSIRT GOV)과 산업별 섹터 CSIRT 그리고 정부 사이버보안 조정기구(PCOC) 등을 법률로 명시해 다층적 감독 체계를 설정했다.

* CSIRT(Computer Security Incident Response Team): 사이버보안 사고를 탐지·분석·대응하는 전문 조직

또한 폴란드 개정 KSC는 감독과 사고보고를 등록·플랫폼 기반으로 상시 관리하는 체계로 전환했다. 기업은 스스로 적용 여부를 식별해 등록해야 하고, 정기 감사와 전자적 사고보고 시스템(S46) 사용이 의무화되면서 감독기관과 CSIRT가 기업의 보안 수준 및 사고 대응을 쉽게 파악할 수 있는 구조가 마련됐다.

3) 경영진 책임 및 제재 차이

EU NIS2는 경영진 책임 강화와 높은 수준의 행정벌을 요구하고 있으며, 폴란드 KSC도 이를 반영해 금전적 제재와 비금전적 감독조치를 함께 도입했다. 기본 벌금 상한은 핵심기관의 경우 1,000만 유로 상당액 또는 전년도 사업활동 매출의 2% 중 높은 금액, 중요기관의 경우 700만 유로 상당액 또는 전년도 사업활동 매출의 1.4% 중 높은 금액이다.

또한 국가방위, 국가안보, 공공안전·질서, 생명·건강, 중대한 재산피해 또는 서비스 장애와 관련된 긴급하고 중대한 사이버보안 위협을 초래한 경우 최대 1억 즈워티의 벌금이 부과될 수 있다. 감독기관은 위반 해소 전까지 인허가·사업범위 제한, 위반 책임자의 관리직 수행 금지, 위반 사실 또는 중대사고 공개 명령 등 비금전적 조치도 취할 수 있다.


S46: 폴란드 국가 사이버보안 플랫폼

폴란드에서 NIS2가 적용되는 기업이라면 S46 시스템을 단순한 신고 창구가 아니라 사고보고와 위협 정보 공유를 위한 공식 관문으로 이해할 필요가 있다. S46은 폴란드 국가 사이버보안 시스템(KSC)의 핵심 전자 플랫폼으로, 사이버보안 사고 신고·처리, 정보 교환, KSC 참여기관 간 협력, 국가 차원의 위험 평가 및 경보 기능을 지원하는 공식 관문이다.


NIS2 적용 대상 기업은 사고 발생 시 이 시스템을 통해 국가·섹터 CSIRT 및 관할 감독기관과 실시간으로 정보를 주고받아야 하므로, 이를 단순한 일방향 신고 창구가 아닌 '공식 소통 채널'로 인식하고 대응해야 한다. 다만, 주의할 점은 KSC 대상 기관 등록의 경우 S46이 아닌 'Wykaz KSC' 애플리케이션을 통해 별도로 이루어진다는 점이다. 따라서 기업은 ① 국가 등록부 등재 절차와 ② S46을 통한 사고 보고·정보 공유 체계를 구분하여, 내부 담당자 지정, 시스템 전자서명 권한 확보 등 실무 프로세스를 사전에 정비할 필요가 있다.

로그인 및 계정 등록 방법 경로 안내>

(주) 세부 절차와 추가 설명은 첨부된 공식 포털의 FAQ 섹션에서 확인 가능

(링크: https://www.gov.pl/web/system-s46/wprowadzenie2)

[자료: 폴란드 정부 공식 포털]


3단계 이행 타임라인(6·12·24개월)

폴란드 개정 국가사이버보안시스템법(KSC)은 NIS2 대상 기업에 대해 법 시행 이후 6개월·12개월·24개월로 구분된 세 단계 이행 일정을 제시한다.

1) 6개월 이내 등록 신청


핵심기관·중요기관에 해당하는 기업은 법 시행일로부터 6개월 안에 스스로 기관 유형을 분류해 국가 등록부에 등재 신청을 해야 하며, 요건을 충족하고도 등록하지 않을 경우 관할 감독기관이 직권으로 등록할 수 있다. 이러한 절차에 따라 등록 신청 마감일은 2026년 10월 3일로 설정되어 있다.

2) 12개월 이내 보안조치 구현 및 S46 사용 개시


등록을 마친 기업은 시행일 기준 12개월 이내인 2027년 4월 3일까지 위험 기반 보안조치와 정보보호관리체계(ISMS)를 구축하고, S46 시스템을 통해 사고보고 및 위협 정보 공유가 가능한 환경을 갖춰야 한다.

3) 24개월 이내 첫 컴플라이언스 감사


신규 핵심기관(Essential Entities)은 법 시행일로부터 24개월 이내, 즉 2028년 4월 3일까지 첫 ISMS 감사를 완료해야 한다. 이와 함께 보안조치 미이행이나 사고보고 지연 등에 대한 벌금 규정도 동일하게 적용된다. 다만 기존 필수 서비스 운영자(OES)는 종전의 3년 주기 감사 체계를 그대로 유지한다.


시사점


폴란드의 NIS2 이행은 사이버보안을 단순한 IT 보안 이슈가 아니라 기업의 법적 책임, 내부통제, 공급망 관리 영역으로 확대했다는 점에서 의미가 있다. 폴란드 내 대상 업종에 해당하는 기업은 스스로 핵심기관 또는 중요기관 여부를 판단해 KSC 등록부에 등재해야 하며, 정보보호관리체계, 위험평가, 사고보고, 담당자 지정, 감사 대응 등 실무 체계를 갖춰야 한다.

한국 기업은 직접 적용 대상 여부뿐 아니라 공급망을 통한 간접 영향도 함께 검토할 필요가 있다. 폴란드의 에너지, 운송, 제조, 보건, 디지털 인프라, 공공부문 기업이 NIS2 적용 대상이 되는 경우, 이들과 거래하는 협력사에도 접근권한 관리, 사고통지 절차, 보안정책, 공급망 리스크 관리 자료 제출을 요구할 가능성이 있다. 특히 자동차부품, 전기·전자, 배터리, 방산, ICT 서비스, 산업 자동화, 데이터센터·클라우드 등 핵심·중요기관 분야와 관련한 기업은 현지 고객사의 보안 요구가 강화될 수 있다.

따라서 폴란드 진출 또는 거래 기업은 단기적으로 업종·규모·사업기능 기준에 따른 적용 대상 여부를 확인하고, KSC 등록부 등재 필요성, S46 사고보고 절차, 내부 담당자 지정 여부를 점검해야 한다. 중장기적으로는 사이버보안 관리체계를 현지 영업·조달·공급망 대응의 기본 요건으로 보고, 계약서상 사고통지 조항, 협력사 보안관리, 임직원 교육, 외부감사 대응 체계를 사전에 정비하는 것이 바람직하다.


자료: EU NIS2 지침, 폴란드 정부 포털(S46 가이드), 폴란드 사이버보안법(KSC), KLMLAW NIS2 분석 보고서 등 종합

원문 보기