과학기술정보통신부는 정보보호최고책임자(CISO) 제도 개선을 담은 정보통신망법 시행령 개정안이 30일 국무회의를 통과해 다음달 9일부터 시행될 예정이라고 밝혔다.
이번 시행령 개정은 지난 6월8일 개정된 정보통신망법의 후속 조치 차원이다. 임원급만 지정하게 하던 CISO 지위를 기업 규모에 따라 정보보호책임자(부장급) 또는 대표자도 지정, 신고 가능토록 허용하게 된다. 신고 대상 범위도 조정해 기업 부담 완화에 중점을 뒀다.
구체적으로는 CISO 신고 의무 기업을 겸직 제한 의무 대상인 대규모 기업과 일반 신고 의무 대상인 중기업 이상으로 나누고 겸직제한 기업은 이사로, 일반 신고 기업은 부서장급까지 지정이 가능하도록 개선했다.
CISO 신고 의무 대상은 중기업 이상 모든 기업에서, 정보보호 중요성이 큰 중기업 이상 기업으로 변경됐다. 이번 시행령 개정으로 중기업의 경우 전기통신사업자, 개인정보처리자, 통신판매업자, 정보보호관리체계(ISMS) 인증 의무 대상자에 해당하는 경우로 기준을 개선한다. 신고 의무에서 제외된 면제 대상자는 미신고 시 사업주나 대표자를 CISO로 간주하게 된다.
신규로 신고 의무 대상이 되는 기업의 인력 수급 어려움 등 여건을 고려해 신고 기한은 현행 90일에서 180일로 연장된다.
관련기사
- "깐부처럼 해킹 정보 공유하자" 민·관 1.8만곳 뭉쳤다2021.11.17
- 보안 '비상'인데도…규제 강화가 꼭 기업 옥죄기일까2021.06.17
- 랜섬웨어 피해 폭증…정부, CISO와 대응 방안 논의2021.06.11
- 'CISO 겸직제한 완화' 법안 국무회의 통과2021.06.01
과태료 금액도 신설, 정비했다. 행정처분 권한은 중앙전파관리소에 위임된다. CISO 겸직 금지 의무를 위반 시 1회 1천만원, 2회 2천만원, 3회 3천만원의 과태료를 부과하는 규정이 신설됐다. CISO 지정 신고 의무 위반 시 과태료는 1회 1천만원에서 750만원으로, 2회 2천만원에서 1천500만원으로, 3회 이상 시 3천만원으로 조정됐다.
임혜숙 과기정통부 장관은 “이번 개정안을 통해 기업 부담을 완화하는 동시에 주요 기업들의 CISO가 기업 내 정보보호 업무에 집중, 전담토록 해 사이버 침해사고를 예방하고 사고 발생 시 신속한 복구와 피해 최소화 등을 가능하게 했다"며 "국내 기업들의 전반적인 정보보호 역량이 보다 강화될 것으로 기대된다”고 밝혔다.
