네덜란드에서는 매일 데이터 유출 사고가 발생합니다. 이러한 사고가 발생하면 누군가는 책임을 져야 합니다. 책임.

네덜란드 법률 및 GDPR에 따라 개인 데이터를 관리하는 조직은 해당 데이터를 보호할 주요 책임이 있으며 다음과 같은 조치를 취해야 합니다. 중요한 책임 침해가 발생하는 경우. 만약 당신의 사업이 어려움을 겪는다면 사이버 공격이를 어길 경우 최대 20천만 유로 또는 전 세계 연간 매출액의 4% 중 더 높은 금액의 벌금형에 처해질 수 있습니다.

네덜란드에서 사업을 운영하는 모든 조직에게는 데이터 유출 후 책임 소재를 명확히 하는 것이 필수적입니다. 하지만 책임 범위가 자사뿐만 아니라 제3자 서비스 제공업체, 직원, 그리고 데이터 처리에 관련된 기타 당사자까지 확대될 수 있기 때문에 그 해답은 항상 간단하지 않습니다.

네덜란드 데이터 보호 당국 및 기타 규제 기관은 데이터 관리자 또는 처리자로서의 귀하의 역할, 마련해 둔 보안 조치, 그리고 사고 발생 후 대응 속도 등을 기준으로 책임 소재를 판단합니다.

이 글에서는 네덜란드의 사이버 보안 관련 법적 체계를 분석하고, 데이터 유출 발생 시 책임 소재를 설명합니다. 또한, 신고 의무, 미준수 시 부과되는 처벌, 그리고 사이버 공격 및 법적 문제로부터 조직을 보호하기 위한 실질적인 조치에 대해 알아볼 수 있습니다.

사이버 보안 및 데이터 보호를 위한 법적 프레임워크

네덜란드는 EU 전역 규정과 국내 시행법을 결합한 다층적인 사이버 보안 및 데이터 보호 법률 체계 하에서 운영됩니다. 이러한 법률은 개인 데이터를 처리하고 중요 인프라를 운영하는 조직에 명확한 의무를 규정합니다.

그들은 통신, 금융 등 다양한 분야에 대한 구체적인 요구 사항을 제시합니다. 법 시행.

일반 데이터 보호 규정(GDPR) 및 네덜란드 시행

The GDPR 주요 역할을 합니다 데이터 보호 프레임워크 네덜란드를 포함한 EU 전역에 적용됩니다. 이 법은 개인 데이터 처리에 대한 포괄적인 규칙을 수립하고 조직이 정보를 보호하기 위해 적절한 기술적 및 조직적 조치를 시행하도록 요구합니다.

네덜란드는 GDPR을 다음과 같은 방식으로 시행했습니다. 네덜란드 GDPR 시행법 (Uitvoeringswet AVG이 법은 EU의 요구 사항을 네덜란드 법에 맞게 조정하는 법입니다. 이 법은 유럽 표준과의 일관성을 유지하면서도 국가별 상황에 맞는 구체적인 조항을 제공합니다.

이는 네덜란드 데이터 보호 기관을 지정합니다.Autoriteit Personsgegevens) 집행을 담당하는 감독 기관으로서.

GDPR에 따라 보고해야 합니다. 데이터 유출 위반 사실을 인지한 후 72시간 이내에 감독 당국에 보고해야 합니다. 위반 사항이 개인의 권리와 자유에 중대한 위험을 초래하는 경우에는 지체 없이 해당 당사자에게도 알려야 합니다.

이러한 통지 요건은 네덜란드에서 계약 위반 책임의 기초를 형성합니다.

The Verzamelwet Gegevensbescherming (집단 데이터 보호법)은 GDPR 기준에 맞춰 다양한 네덜란드 법률을 더욱 구체화합니다. 이를 통해 여러 법률 영역 전반에 걸쳐 일관성을 보장합니다.

사이버보안법 및 NIS2 지침

The NIS2 지침 이 지침은 EU 전역의 필수 및 중요 기관에 대한 사이버 보안 요구 사항을 크게 확대합니다. 네덜란드는 이 지침을 시행하기 위해 관련 규정을 업데이트하고 있습니다. 사이버 보안 스웨트 (네덜란드 사이버보안법)은 원래 최초의 NIS 지침을 국내법으로 전환한 법률입니다.

NIS2는 적용 대상 부문의 범위를 확대하고 더욱 엄격한 보안 요건, 사고 보고 의무 및 경영진 책임 조항을 도입합니다. 특정 위험 관리 조치를 시행해야 하며, 중대한 사고는 인지 후 24시간 이내에 보고해야 합니다.

The 네트워크 및 정보 시스템 보안법 및 동반 네트워크 및 정보 시스템 보안령 필수 서비스 운영자와 디지털 서비스 제공업체에 대한 상세한 요구사항을 수립합니다. 이러한 법률은 기본 보안 조치, 정기적인 감사, 그리고 국가 사이버 보안 당국과의 협력을 의무화합니다.

해당 법률은 각 부문별로 특정 관할 기관을 지정합니다. 이를 통해 사이버 보안 관행에 대한 전문적인 감독이 보장됩니다.

기타 관련 법률 및 지침

The EU ePrivacy 지침 GDPR을 보완하여 전자 통신 개인정보 보호 문제를 다룹니다. 쿠키 및 유사 기술에 대한 동의를 요구하고 통신 데이터의 기밀성을 보호합니다.

The 통신법 (텔레커뮤니카티에베트이 법은 통신 사업자에게 네트워크 무결성 및 사용자 데이터 보호 요건을 포함한 특정 보안 의무를 부과합니다. 이 법은 데이터 보호법과 함께 통신 부문에서 포괄적인 보호를 보장합니다.

The 중요 시설 복원력 법안 (CRA)는 공공 안전 및 경제 안정에 중요한 것으로 간주되는 기관에 대한 물리적 및 사이버 보안 요건을 강화합니다. 이는 표준 사이버 보안 조항을 넘어 위험 평가 및 복원력 강화 조치를 요구합니다.

이러한 프레임워크는 중복되는 의무를 발생시킵니다. 여러 분야에 걸쳐 사업을 운영하거나 다양한 유형의 데이터를 처리할 때는 이러한 프레임워크를 잘 이해하고 준수해야 합니다.

부문별 규정

The 금융감독법 (Wet op het financieel toezicht이 법은 금융기관에 엄격한 사이버 보안 및 데이터 보호 요건을 부과합니다. 금융 부문에서 사업을 운영할 때는 강력한 보안 통제, 사고 대응 절차 및 정기적인 테스트 프로토콜을 구현해야 합니다.

법 집행 기관은 다음과 같은 특수한 요건에 직면합니다. 경찰 데이터법 (습한 정치정보) and Wet justitiële en strafvorderlijke gegevens (사법 및 형사소송 데이터 보호법). 이 법은 경찰과 사법 당국이 수사 및 형사 소송 과정에서 개인 정보를 수집, 처리 및 보호하는 방식을 규정합니다.

의료 서비스 제공자는 표준 GDPR 요건 외에도 추가적인 개인정보 보호 조치를 준수해야 합니다. 이는 의료 정보의 민감한 특성을 반영한 것입니다.

에너지, 운송 및 수자원 부문은 NIS2 이행에 따라 특정 의무를 부담하며, 운영 위험에 적합한 맞춤형 보안 조치를 준수해야 합니다.

각 분야별 규정은 고유한 준수 의무를 부과합니다. 따라서 조직의 특정 활동 및 데이터 처리 작업에 적용되는 법률을 파악하는 것이 필수적입니다.

데이터 유출 후 책임 소재 규명

네덜란드에서는 개인정보 유출에 대한 책임은 개인정보 처리에서의 역할에 따라 달라집니다. 보안 조치 귀하가 구현한 내용과 보고 요건을 준수했는지 여부를 기준으로 책임 소재를 판단합니다. 네덜란드 데이터 보호 당국 및 기타 감독 기관은 이러한 사항을 바탕으로 책임 소재를 결정합니다. 법적 의무 GDPR 및 국가 사이버보안법에 따라.

책임 범위 정의: 데이터 관리자, 데이터 처리자 및 제3자

이후 귀하의 책임 개인 정보 침해 당신이 어떤 역할을 하는지에 따라 다릅니다. 데이터 컨트롤러 또는 처리자. 관리자는 개인 데이터가 처리되는 방법과 이유를 결정하므로 보안 사고에 대한 주요 책임을 집니다.

데이터 처리자는 데이터 관리자를 대신하여 데이터를 처리하며, 지시 사항을 초과하거나 적절한 보안 조치를 구현하지 못할 경우 책임을 져야 합니다.

디지털 서비스 제공업체와 같은 제3자는 별도의 책임을 집니다. 외부 공급업체를 이용하는 경우, 해당 공급업체가 귀사를 대신하여 데이터를 처리할 때 발생하는 모든 책임은 귀사에 있습니다.

계약서에는 보안 의무 및 사고 처리 절차가 명시되어야 합니다.

여러 당사자가 관련된 경우 책임이 공동으로 부담될 수 있습니다. 귀하와 귀하의 처리자가 기술적 및 조직적 조치를 모두 이행하지 않은 경우, 양측 모두 개인정보보호청(Autoriteit Persoonsgegevens)으로부터 벌금을 부과받을 수 있습니다.

감독 당국은 각 당사자의 위반 행위에 대한 역할을 조사하여 책임 소재를 규명합니다.

감독 당국 및 규제 역할

네덜란드 개인정보보호청(Autoriteit Persoonsgegevens)은 GDPR 준수를 시행하는 네덜란드 데이터 보호 기관입니다. 개인정보 유출 사실을 인지한 후 72시간 이내에 이 감독 기관에 보고해야 합니다.

사고 보고 기한을 지키지 못하면 책임이 증가합니다.

국가사이버보안센터(NCSC)는 더 광범위한 영역을 다룹니다. 사이버 보안 위협 필수 서비스 운영자에게 영향을 미치는 경우입니다. 중요 인프라 또는 디지털 서비스를 제공하는 경우, 중대한 보안 사고를 NCSC에 보고해야 합니다.

이 보고서들은 사이버 위협에 대한 국가적 대응을 조율하는 데 도움이 됩니다.

두 기관 모두 보안 사고 발생 후 조사를 진행합니다. 개인정보보호청(Autoriteit Persoonsgegevens)은 최대 20천만 유로 또는 연간 전 세계 매출액의 4% 중 더 높은 금액의 벌금을 부과할 수 있습니다.

그들은 침해의 성격, 영향을 받은 개인의 수, 그리고 대응 조치와 같은 요소를 고려합니다.

ENISA 가이드라인은 네덜란드 당국이 귀사의 사이버 보안 요구 사항 준수 여부를 평가하는 방식에 영향을 미칩니다.

조직적 및 기술적 조치

기술적 및 조직적 조치의 이행은 책임 여부 결정에 직접적인 영향을 미칩니다. 이러한 조치에는 암호화, 접근 제어, 정기적인 보안 테스트 및 직원 교육이 포함됩니다.

법원과 감독 당국은 귀사의 보안 조치가 관련된 위험에 적합했는지 여부를 평가합니다.

보안 조치를 문서화하고 사업 연속성 계획을 입증해야 합니다. 적절한 예방 조치를 입증하지 못하면 책임이 크게 증가합니다.

정기적인 위험 평가를 통해 침해 사고가 발생하기 전에 취약점을 파악할 수 있습니다.

사고 처리 절차는 매우 중요합니다. 개인 데이터 유출을 감지, 조사 및 대응하기 위한 명확한 프로토콜이 필요합니다.

보안 사고 발생 시 대응 시간과 사고 수습 효과성은 벌금 부과 결정에 영향을 미칩니다.

개인정보보호청(Autoriteit Persoonsgegevens)은 보안 체계에 대한 증거를 보관할 것을 요구합니다. 적절한 문서가 없으면 조사 과정에서 합리적인 주의를 기울였다는 것을 입증하기 어렵습니다.

공급망 및 서비스 제공업체의 영향

공급망 보안은 복잡한 책임 문제를 야기합니다. 서비스 제공업체의 데이터 유출 사고가 발생할 경우, 귀사 역시 책임을 져야 할 수 있습니다.

공급업체에 대한 실사를 철저히 수행하고 보안 관행을 지속적으로 모니터링해야 합니다.

필수 서비스 제공업체는 공급업체 관리와 관련하여 더욱 엄격한 요건에 직면해 있습니다. 공급망 내 디지털 서비스 제공업체가 귀사의 의무 사항에 부합하는 기준을 유지하도록 보장해야 합니다.

계약서에는 사고 보고 의무와 책임 분담을 명확하게 규정해야 합니다.

공급망에서 보안 침해가 발생한 경우, 개인정보보호청(Autoriteit Persoonsgegevens)은 귀사가 적절한 공급업체 평가를 수행했는지 여부를 조사합니다. 귀사의 책임은 공급업체의 보안을 확인하기 위해 합리적인 조치를 취했는지 여부에 따라 결정됩니다.

제3자 처리업체를 이용하더라도 책임을 완전히 위임할 수는 없습니다.

다단계 공급망에서는 더욱 세심한 주의가 필요합니다. 여러 조직에 걸쳐 개인 데이터가 유출되는 연쇄적인 오류를 방지하려면 하위 처리업체와 그들의 보안 조치에 대한 가시성이 필수적입니다.

데이터 유출 통지 의무

네덜란드는 GDPR 및 국가 사이버보안법에 따라 다층적인 알림 체계를 시행하고 있습니다. 데이터 관리자는 다음 사항을 준수해야 합니다. 위반 사항을 보고하세요 개인정보 유출 위험이 있는 경우 72시간 이내에 개인정보보호청(PDA)에 신고해야 합니다. 데이터 주체의 권리.

고위험 침해 영향을 받는 개인에게 직접 통지해야 합니다.

일정 및 절차 요건

개인정보 유출 사실을 인지한 후 지체 없이, 가능한 한 72시간 이내에 개인정보보호청(PDA)에 통보해야 합니다. 단, 해당 유출로 인해 개인의 권리와 자유에 대한 위험이 발생할 가능성이 낮은 경우는 예외입니다.

가능한 경우 통지서에는 구체적인 정보가 포함되어야 합니다. 관련 데이터 주체의 범주 및 대략적인 수, 영향을 받는 개인 데이터 기록의 범주 및 대략적인 수, 그리고 데이터 보호 책임자 또는 기타 연락 담당자의 이름을 제공해야 합니다.

또한, 위반 행위로 인해 발생할 수 있는 결과와 이를 해결하기 위해 취해졌거나 제안된 조치에 대해서도 설명해야 합니다.

72시간 이내에 필요한 모든 정보를 제공할 수 없는 경우, 단계적으로 제출할 수 있습니다. 최초 제출 시 지연 사유를 반드시 설명해야 합니다.

누구에게 언제 알려야 하는가?

개인정보 유출로 인해 정보 주체의 권리와 자유에 중대한 위험이 발생할 가능성이 있는 경우, 해당 정보 주체에게 직접 통지해야 합니다. 이 통지는 지체 없이 명확하고 쉬운 언어를 사용하여 이루어져야 합니다.

다음 세 가지 특정 상황에서는 데이터 주체에게 직접 통지할 필요가 없습니다. 적절한 기술적 및 조직적 보호 조치(예: 암호화)를 구현하여 권한이 없는 사람이 데이터를 이해할 수 없도록 만든 경우 통지할 필요가 없습니다.

정보 주체의 권리에 대한 높은 위험이 더 이상 발생할 가능성이 없도록 후속 조치를 취했거나, 직접적인 통지가 과도한 노력을 수반하는 경우에는 통지할 필요가 없습니다. 이러한 경우에는 공개 통지 또는 이와 유사한 조치가 대신 필요합니다.

금융감독법에 따라 금융회사는 정보주체 고지 의무에서 면제됩니다. 그러나 개인정보보호청(PDA)에는 보고해야 합니다.

데이터 처리자는 별도의 의무를 지닙니다. 위험 수준에 관계없이 개인 데이터 유출 사실을 인지한 후에는 지체 없이 데이터 관리자에게 알려야 합니다.

이는 GDPR에 따른 법적 요구 사항이며, 개인정보 처리 계약에도 포함되어야 합니다.

부문별 및 국가별 신고 요건

GDPR 의무 외에도 업종에 따라 추가적인 보고 의무가 있을 수 있습니다. WBNI(네트워크 및 정보 시스템 보안법)는 특정 기업이 개인정보 유출에 해당하지 않는 보안 사고라도 사이버 보안 당국에 보고하도록 요구합니다.

공공 전자 통신망 제공업체는 인간 환경 및 교통 감독청(ILT)에 보고해야 합니다. 의료기관은 의료기기 안전 또는 환자 데이터에 영향을 미치는 사건에 대해 보건 및 청소년 보호 감독청에 통보할 의무가 있습니다.

금융 서비스 기업은 금융 감독 법규에 따라 업계별 요구 사항을 준수해야 합니다.

중요 인프라 제공업체는 WBNI에 따라 강화된 의무를 부담합니다. 필수 서비스에 심각한 지장을 초래할 수 있는 중대한 사고는 컴퓨터 보안 사고 대응팀(CSIRT)에 보고해야 합니다.

상장 기업은 투자자의 결정에 중대한 영향을 미칠 수 있는 보안 사고를 보고해야 할 의무가 있을 수 있습니다.

이러한 부문별 요구사항은 GDPR 의무를 대체하는 것이 아니라 함께 적용되는 경우가 많습니다. 조직의 활동 및 침해의 성격에 따라 단일 사건에 대해 여러 기관에 통지해야 할 수도 있습니다.

법규 미준수에 대한 집행 및 제재

네덜란드 당국은 사이버 보안 실패를 조사하고 개인 데이터를 보호하지 못하거나 보안 요구 사항을 충족하지 못하는 조직에 상당한 재정적 제재를 가할 수 있는 명확한 권한을 가지고 있습니다.

집행 체계는 특정 감독 책임을 가진 여러 규제 기관, 체계적인 제재 제도, 그리고 제재를 받는 조직을 위한 명확한 항소 절차를 포함합니다.

조사 및 감독 권한

네덜란드 개인정보보호청(Autoriteit Persoonsgegevens, AP)은 데이터 유출 및 GDPR 위반 조사에 대한 주요 책임을 맡고 있습니다.

AP통신은 민원, 언론 보도 또는 정기 감사를 바탕으로 조사를 시작할 수 있습니다.

조사 과정에서 당국은 관련 서류를 요청하고, 현장 조사를 실시하며, 직원들을 인터뷰할 수 있습니다.

새로운 사이버보안법(Cyberbeveiligingswet)에 따른 사이버보안 의무와 관련하여, 각 부문별 규제기관이 감독을 수행합니다.

소비자시장감독청(ACM)은 디지털 인프라 및 통신 사업자를 감독합니다.

네덜란드 중앙은행(DNB)은 금융기관을 감독합니다.

경제·기후부 장관, 인프라·수자원 관리부 장관, 그리고 보건부 장관은 각각 담당 분야 내에서 집행 권한을 보유하고 있습니다.

이러한 규제 기관은 시스템을 감사하고, 사고 대응 절차를 검토하며, 위험 관리가 법적 기준을 충족하는지 평가할 수 있습니다.

위반 사항이 발견될 경우, 해당 기관은 집행 비용을 귀사로부터 회수할 수도 있습니다.

국가사이버보안센터(NCSC)는 규제기관 간의 조율 역할을 하지만 직접적인 처벌 권한은 없습니다.

행정적 및 재정적 제재

금전적 처벌은 법적 체계와 위반 행위의 심각성에 따라 다릅니다.

GDPR 시행에 따라, AP는 연간 전 세계 매출액의 4% 또는 최대 20천만 유로 중 더 높은 금액의 벌금을 부과할 수 있습니다.

당국은 침해의 성격, 피해를 입은 사람의 수, 조사 과정에서의 귀하의 협조 여부와 같은 요소를 고려합니다.

사이버보안법(Cyberbeveiligingswet)에 따라 처벌은 단계별로 적용됩니다.

엔터티 분류	최대 벌금	턴오버 대안
Essentiële entiteiten (EE)	€ 10 만	글로벌 매출액의 2%
Belangrijke entiteiten (BE)	€ 7 만	글로벌 매출액의 1.4%

규제 기관은 또한 정해진 기간 내에 특정 보안 조치를 시행하도록 요구하는 시정 명령을 내릴 수 있습니다.

반복적인 실패는 위반 사항의 공개를 통해 망신을 주는 결과를 초래할 수 있습니다.

필수 기관으로 분류된 조직의 이사는 심각한 경우 이사회 직책에서 개인적으로 자격을 박탈당할 수 있습니다.

공공 부문 조직은 재정적 처벌은 면제되지만, 시정 조치 및 의회 조사의 대상이 될 수 있습니다.

법적 구제 및 항소

귀하는 집행 결정에 대해 이의를 제기할 권리가 있습니다. 행정 항소.

과태료 고지서를 받은 후에는 6주 이내에 발부 기관에 이의 신청(bezwaar)을 제출할 수 있습니다.

규제 당국은 결정을 재고하고 공식적인 답변을 내놓아야 합니다.

재심사 결과에 동의하지 않는 경우, 지방 법원(rechtbank)에 항소할 수 있습니다.

법원은 규제기관이 적절한 절차를 따랐는지, 법을 올바르게 적용했는지 여부를 검토합니다.

그러면 다음과 같이 하실 수 있습니다. 항소법원 판결 최고 행정 법원 역할을 하는 국가 평의회 행정 관할권 부서(Afdeling bestuursrechtspraak van de Raad van State)에 전달됩니다.

항소 절차가 진행되는 동안에도 규제 기관이 명령한 모든 시정 조치를 계속 이행해야 합니다.

법원은 항소 결과가 나올 때까지 재정적 제재를 유예할 수 있지만, 이는 자동으로 이루어지는 것은 아닙니다.

사이버 보안 관리의 주요 역할 및 책임

조직은 데이터 보호 책임자 임명부터 이사회 차원의 책임 소재 확립, 직원 대상 보안 프로토콜 교육에 이르기까지 사이버 보안 업무를 누가 담당하는지 명확히 정의해야 합니다.

데이터 보호 책임자 및 임명

조직이 민감한 개인 정보를 대규모로 처리하거나 개인을 체계적으로 모니터링하는 경우 데이터 보호 책임자(DPO)를 임명해야 합니다.

데이터보호책임자(DPO)는 데이터 보호 당국 및 데이터 주체와의 주요 연락 창구 역할을 합니다.

귀사의 데이터 보호 책임자(DPO)는 데이터 보호법 및 정보 보안 관행에 대한 특정 자격을 갖추어야 합니다.

그들은 최고 경영진에게 직접 보고해야 하며, 직무 수행을 이유로 해고될 수 없습니다.

이 직무에는 GDPR 준수 모니터링, 데이터 보호 영향 평가 수행, 암호화 및 암호화 요구 사항에 대한 자문이 포함됩니다.

데이터보호책임자(DPO)의 책임 사항을 명확하게 문서화해야 합니다.

여기에는 디지털 인프라를 감사하고 사고 대응 계획을 검토할 권한이 포함됩니다.

여러 EU 국가에서 사업을 운영하는 경우, 전문적인 자질과 관련 관할권에 대한 지식을 바탕으로 단일 데이터 보호 책임자(DPO)를 지정할 수 있습니다.

기업 지배구조 및 책임성

귀사의 이사회는 사이버 보안 위험 관리에 대한 궁극적인 책임을 지고 있습니다.

그들은 보안 조치를 승인하고, 적절한 자원을 할당하며, 사이버 복원력 강화 노력에 대한 적절한 감독을 보장해야 합니다.

리더십 책임에는 다음 사항이 포함됩니다.

• 보안 정책 승인 정보 보안 프레임워크의 경우
• 위험 평가 감독 및 운영 복원력 계획
• 감사 규정 준수 보장 독립적인 검토를 통해
• 예산 배분 사이버 보안 관리 및 직원 교육

보안 관련 의사 결정에 있어 명확한 권한 체계를 확립해야 합니다.

보안 조치를 승인하는 사람, 실행을 감독하는 사람, 그리고 감사를 실시하는 사람을 문서화하십시오.

경영진은 사이버 보안 성과를 정기적으로 검토하고 디지털 인프라에 대한 위협의 변화에 ​​따라 전략을 조정해야 합니다.

내부 정책 및 직원 교육

조직 전체의 보안 역할을 정의하는 문서화된 정책을 수립해야 합니다.

이러한 정책에는 데이터 보호, 사고 대응 및 사이버 복원력 유지에 대한 책임이 명시되어야 합니다.

보안 정책에는 다음 사항이 포함되어야 합니다.

• 접근 제어 및 인증 요구 사항
• 데이터 분류 및 암호화 표준
• 사고 보고 절차
• 정기적인 보안 인식 교육

모든 직원에게 정보 보안 관행에 대한 지속적인 교육을 제공해야 합니다.

여기에는 피싱 식별하기 사고 예방 조치, 민감한 데이터의 적절한 처리, 그리고 사고 대응 계획 준수 등이 포함됩니다.

교육은 특정 역할에 맞춰 진행되어야 하며, 기술 직원은 암호화 및 보안 제어에 대한 고급 교육을 받아야 합니다.

귀사의 정책은 정기적으로 검토하고 규정이 변경되거나 새로운 위험이 발생할 경우 업데이트해야 합니다.

사이버 보안 실무에 대한 정책 실행과 직원 역량 개발 모두에 충분한 자원을 확보해야 합니다.

사이버 보안 사고 유형 및 새롭게 부상하는 위협

사이버 보안 사고는 사기성 이메일부터 조직 전체를 위협할 수 있는 대규모 네트워크 장애에 이르기까지 다양합니다.

이러한 위협을 이해하면 취약점을 파악하고 침해가 발생했을 때 책임 소재를 판단하는 데 도움이 됩니다.

피싱, 멀웨어 및 랜섬웨어

피싱 (Phishing) 이는 여러분이 접하게 될 가장 흔한 사이버 보안 위협 중 하나로 남아 있습니다.

공격자들은 합법적인 회사를 사칭하여 이메일이나 메시지를 보내 비밀번호, 금융 정보 또는 기타 민감한 데이터를 훔칩니다.

이러한 공격은 소셜 엔지니어링 사건의 60% 이상을 차지합니다.

Malware 악성 소프트웨어란 컴퓨터 시스템이나 네트워크를 손상시키는 소프트웨어를 말합니다.

여기에는 사용자의 데이터에 접근하거나 운영을 방해하도록 설계된 바이러스, 트로이 목마 및 기타 악성 코드가 포함됩니다.

랜섬 이는 파일 접근을 차단하고 복구를 위해 비용을 요구하는 특정 유형의 악성 소프트웨어입니다.

몸값을 지불하더라도 공격자가 계정 접근 권한을 복구하거나 도난당한 데이터를 삭제할 것이라는 보장은 없습니다.

2020년과 2021년 사이에 전 세계적으로 약 24,000건의 사이버 보안 사고가 발생했으며, 랜섬웨어 공격이 재정적 손실에 상당한 영향을 미쳤습니다.

서비스 거부(DoS) 공격 및 분산 서비스 거부(DDoS) 공격

DoS 공격 시스템에 과도한 트래픽을 발생시켜 정상적인 사용자가 서비스를 이용할 수 없도록 만드세요.

단일 소스가 네트워크에 요청을 폭주시켜 네트워크가 다운되거나 작동 속도가 너무 느려질 때까지 계속합니다.

DDoS 공격 여러 개의 손상된 시스템을 이용하여 인프라에 대한 조직적인 공격을 실행하십시오.

이러한 분산형 공격은 여러 곳에서 동시에 발생하기 때문에 막기가 더 어렵습니다.

DDoS 공격은 정부 웹사이트부터 민간 부문 운영에 이르기까지 중요한 서비스를 마비시킬 수 있습니다.

일반적으로 보안 사고가 대규모 침해로 이어지기 전에 최초 감지 시점부터 62분 이내에 이를 방지해야 합니다.

이처럼 짧은 대응 시간 때문에 DoS 또는 DDoS 공격에 직면했을 때 신속한 대응이 필수적입니다.

사기 및 무단 접근

Fraud 사이버 보안에서 불법 행위는 시스템이나 데이터에 무단으로 접근하기 위해 기만적인 수법을 사용하는 것을 포함합니다.

여기에는 신분 도용, 결제 사기 및 자격 증명 유출이 포함됩니다.

무단 접근 누군가가 보안 정책을 위반하여 허가 없이 네트워크, 시스템 또는 데이터에 접근할 때 발생합니다.

이는 다음을 통해 발생할 수 있습니다.

• 도난당한 로그인 자격 증명
• 악용된 소프트웨어 취약점
• 보안 제어 우회
• 현직 또는 전직 직원에 의한 내부자 위협

내부자 데이터 절도는 종종 간과되지만 외부 공격만큼이나 심각한 피해를 초래할 수 있습니다.

2021년 내부자 공격으로 인한 평균 피해액은 12.5만 파운드에 달했습니다.

직원들의 의도치 않은 데이터 유출조차도 컴퓨터 오용 방지법(1990)에 따라 보안 사고로 간주됩니다.

부문 및 공급망 취약점

의료, 에너지, 금융 서비스 등 주요 기반 시설 부문은 사이버 범죄로 인한 위험이 높아지고 있습니다.

전문직 종사자 부문은 2020년과 2021년 사이에 약 3,600건의 사건을 경험하여 가장 많이 표적이 된 산업 분야였습니다.

공급망 보안 공격자들이 직접 공격하기보다는 파트너사나 제3자 공급업체를 표적으로 삼으면서 이러한 보안 조치가 점점 더 중요해지고 있습니다.

이러한 제3자 공급업체의 공격은 파트너 조직의 취약한 보안 조치를 악용하여 고객 데이터에 접근합니다.

공급망 취약점은 공격자가 단일 침입을 통해 여러 조직을 공격할 수 있도록 합니다.

공급업체의 시스템이 귀사의 시스템에 연결되면 공급업체의 보안 취약점이 귀사의 보안 취약점이 됩니다.

이처럼 상호 연관된 위험은 자사뿐만 아니라 공급망에 있는 모든 조직의 사이버 보안 조치까지 평가해야 함을 의미합니다.

국가들은 점점 더 경쟁국의 사이버 공간을 시험하고 침투하고 있으며, 종종 정부를 대행하는 것처럼 가장하여 민간 기업으로 위장하고 활동합니다.

자주 묻는 질문

네덜란드 기업들은 데이터 유출 후 엄격한 보고 요건과 규정 준수 기준을 따라야 하며, 책임은 각자의 역할과 책임에 따라 여러 당사자에게까지 확대됩니다.

이러한 의무를 이해하면 조직은 국가 및 유럽 규정을 준수하면서 자신과 영향을 받는 개인을 보호할 수 있습니다.

데이터 유출 발생 시 네덜란드 기업의 법적 의무는 무엇인가요?

귀 기관은 데이터 유출 사실을 인지한 후 72시간 이내에 네덜란드 개인정보보호청(Autoriteit Persoonsgegevens)에 통보해야 합니다.

이 요건은 네덜란드 전역의 데이터 보호를 규율하는 GDPR에 따라 적용됩니다.

정보 유출 알림에는 구체적인 정보를 제공해야 합니다.

여기에는 침해의 성격, 영향을 받은 개인의 수, 잠재적 결과, 그리고 취했거나 취할 예정인 조치가 포함됩니다.

72시간 이내에 모든 세부 정보를 제공할 수 없는 경우, 지연 사유를 설명하고 나머지 정보를 가능한 한 빨리 제출해야 합니다.

개인정보 유출이 개인의 권리와 자유에 심각한 위험을 초래할 경우, 해당 당사자에게 직접 알려야 합니다.

정당한 사유 없이는 이 통지를 지연할 수 없습니다.

피해를 입은 사람들에게는 명확하게 정보를 전달하고, 정보 유출로 인해 발생할 수 있는 결과와 스스로를 보호하기 위해 취할 수 있는 조치를 설명해야 합니다.

데이터 유출 사고를 당국에 신고했는지 여부와 관계없이 모든 데이터 유출 사고에 대한 상세한 기록을 보관해야 합니다.

이 문서에는 위반 행위와 관련된 사실, 그 영향, 그리고 취해진 시정 조치가 포함되어야 합니다.

네덜란드 데이터 보호 당국은 검사 또는 조사 중에 이러한 문서를 요청할 수 있습니다.

네덜란드 법률에 따라 데이터 유출에 대한 책임은 어떻게 결정됩니까?

네덜란드에서 데이터 유출에 대한 책임은 데이터 관리자 또는 데이터 처리자로서의 역할에 따라 달라집니다.

데이터 관리자는 개인 데이터 처리의 목적과 수단을 결정하며, 데이터 처리자는 관리자를 대신하여 데이터를 처리합니다.

너의 법적 책임 이 분류에 따라 다릅니다.

데이터 관리자로서 귀하는 데이터 보호 규정을 준수할 주요 책임을 지고 있습니다.

개인 데이터를 보호하기 위해 적절한 기술적 및 조직적 조치를 시행해야 합니다.

법원은 귀하가 침해를 방지하기 위해 합리적인 조치를 취했는지, 그리고 보안 관행에 있어 과실이 있었는지 여부를 판단합니다.

데이터 처리자는 데이터 관리자의 지시를 따르지 않거나 계약상 의무를 위반할 경우에도 책임을 질 수 있습니다.

하지만 일반적으로 프로세서는 컨트롤러보다 책임이 더 제한적입니다.

데이터 관리자의 적절한 승인 없이 데이터를 처리하거나 합의된 보안 조치를 이행하지 않을 경우, 직접적인 책임을 져야 할 수 있습니다.

네덜란드 법원은 책임 여부를 판단할 때 여러 요소를 적용합니다.

여기에는 침해의 심각성, 유출된 데이터의 민감도, 침해 발생 전의 보안 조치, 그리고 침해 발생 후 대응 등이 포함됩니다.

조직의 규모와 자원 또한 법원이 합리적인 보안 조치로 간주하는 기준에 영향을 미칩니다.

데이터 유출에 여러 당사자가 기여했을 경우 공동 책임이 발생할 수 있습니다.

다른 데이터 관리자 또는 처리자와 공동 책임을 지는 경우, 법원은 각 당사자에게 전체 손해에 대한 책임을 물을 수 있습니다.

그러면 위반 행위에 대한 각자의 기여도에 따라 다른 책임 당사자들에게 보상을 청구할 수 있습니다.

네덜란드에서 데이터 보안 사고에 대한 책임은 누구에게 있습니까?

데이터 관리자는 데이터 보안 사고에 대한 주요 책임을 집니다.

데이터 관리자로서 귀하는 개인 데이터 처리 방식에 대한 결정을 내리고 적절한 보안 조치가 마련되어 있는지 확인해야 합니다.

정보 유출이 발생할 경우 조직은 행정 벌금, 민사 책임 및 평판 손상에 직면할 수 있습니다.

데이터 처리자는 계약상 및 법적 의무를 이행하지 못할 경우 책임을 져야 합니다.

데이터 관리자를 대신하여 데이터를 처리하는 경우, 계약에 명시된 보안 조치를 이행하고 데이터 관리자의 적법한 지시를 준수해야 합니다.

권한을 남용하거나 적절한 보안을 유지하지 못하면 직접적인 책임을 져야 합니다.

귀사의 이사 및 임원은 특정 상황에서 개인적인 책임을 질 수 있습니다.

네덜란드의 NIS2 지침 시행에 따라 경영진은 사이버 보안 거버넌스 실패에 대해 개인적인 책임을 질 수 있습니다.

여기에는 중대한 위반 행위가 발생할 경우 이사직 수행 자격이 박탈될 수 있다는 내용이 포함됩니다.

제3자 서비스 제공업체 또한 보안 사고에 대한 책임을 질 수 있습니다.

클라우드 서비스, IT 지원 또는 기타 외부 공급업체에 의존하는 경우, 해당 업체들의 장애가 보안 침해에 기여했을 때 공동 책임을 질 수 있습니다.

이러한 서비스 제공업체와의 계약에는 보안 책임 및 배상 의무 조건을 명확하게 명시해야 합니다.

네덜란드 데이터 보호 당국은 주요 집행 기관 역할을 합니다.

당국은 위반 행위에 대해 직접적인 책임을 지지는 않지만, 사건을 조사하고, 시정 명령을 내리며, 규정을 준수하지 않는 조직에 행정 벌금을 부과합니다.

조직이 네덜란드 데이터 보호 규정을 준수하지 않을 경우 어떤 결과가 발생합니까?

귀사는 최대 20천만 유로 또는 전 세계 연간 매출액의 4% 중 더 높은 금액의 행정 벌금에 처해질 수 있습니다. 네덜란드 데이터 보호 당국은 위반 행위의 성격, 심각성, 기간 및 조사 과정에서의 협조 정도를 고려하여 벌금액을 결정합니다.

금전적 제재 외에도, 당국은 운영을 방해하는 시정 조치를 부과할 수 있습니다. 이러한 조치에는 데이터 처리 활동에 대한 일시적 제한, 특정 위반 사항 시정 명령, 의무 감사 등이 포함됩니다.

규정을 준수함을 입증할 때까지 특정 사업 활동을 중단해야 할 수도 있습니다. 규정을 준수하지 않을 경우 조직의 평판에 상당한 손상이 발생할 수 있습니다.

데이터 유출 및 규제 기관의 처벌 조치가 공개되면 고객 신뢰가 손상되고 비즈니스 관계가 악화될 수 있습니다. 네덜란드 데이터 보호 당국은 집행 결정 사항을 공개하며, 이는 일반 대중과 언론이 열람할 수 있습니다.

데이터 보호 위반으로 피해를 입은 개인들이 손해 배상을 청구하는 민사 소송에 직면할 수 있습니다. 개인들은 데이터 보호 위반으로 인한 물질적 및 비물질적 손해에 대해 배상을 요구할 수 있습니다.

네덜란드 법원은 직접적인 금전적 손실이 없더라도 개인정보 유출로 인한 정신적 고통 및 개인정보 통제력 상실에 대한 배상을 점차 인정하고 있습니다. 심각한 개인정보 유출 사고 발생 시 사업 기회가 제한될 수 있습니다.

일부 업종에서는 계약 유지를 위해 보안 인증이나 규정 준수 기록을 요구하며, 특히 정부 기관이나 규제 대상 산업과 거래할 때 이러한 요구가 두드러집니다.

네덜란드에서 개인정보 유출 사고를 당한 피해자는 어떤 방식으로 구제받을 수 있나요?

개인정보보호권리를 침해했다고 판단되는 기관에 대해 네덜란드 개인정보보호청에 신고할 수 있습니다. 개인정보보호청은 신고 내용을 조사하고, 법규를 준수하지 않는 기관에 대해 강제 조치를 취할 수 있습니다.

이 절차는 비용이 전혀 들지 않으며 변호사의 도움도 필요하지 않습니다. 귀하는 해당 기관을 상대로 민사 소송을 제기할 권리가 있습니다.

네덜란드 법은 개인정보 보호법 위반으로 인한 물질적 손해와 비물질적 손해 모두에 대해 보상을 청구할 수 있도록 규정하고 있습니다. 물질적 손해에는 금전적 손실이 포함되며, 비물질적 손해에는 정신적 고통, 불안감, 그리고 개인정보에 대한 통제력 상실 등이 포함됩니다.

소송을 진행하려면 성공보수 계약으로 변호사를 선임하거나, 재정적 자격 기준을 충족하는 경우 법률 지원을 받을 수 있습니다. 네덜란드에는 개인정보 보호 사건을 전문으로 하는 로펌이 많으며, 소송 가능성에 대해 조언해 줄 수 있습니다.

집단 소송 제도는 피해를 입은 개인들이 함께 소송을 제기할 수 있도록 합니다. 법원에 가지 않고도 해당 기관으로부터 직접 보상을 받을 수 있습니다.

많은 조직은 소송 ​​비용과 부정적인 여론을 피하기 위해 비공개로 합의하는 것을 선호합니다. 하지만 해당 조직이 명백히 데이터 보호 규정을 위반했거나 데이터 유출로 인해 상당한 피해가 발생한 경우, 협상력이 강화됩니다.

데이터 처리자가 데이터 유출에 대한 책임이 있는 경우, 해당 처리자를 상대로도 소송을 제기할 수 있습니다. GDPR에 따라 데이터 관리자와 데이터 처리자 모두 손해 배상 책임을 질 수 있습니다.

여러 당사자가 위반 행위에 가담한 경우, 책임 있는 당사자로부터 전액을 배상받을 수 있습니다.

GDPR은 네덜란드에서 사업을 운영하는 기업의 데이터 유출 발생 시 책임 및 의무에 어떤 영향을 미칩니까?

GDPR은 개인 데이터 보호와 관련하여 조직에 명확한 의무를 규정합니다.

기관은 데이터 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 구현해야 합니다.

데이터 유출 사고 발생 시, 조직은 72시간 이내에 관련 감독 기관에 통보해야 합니다.

정보 유출이 개인의 권리와 자유에 심각한 위험을 초래할 경우, 영향을 받는 개인에게도 이를 알려야 합니다.

이러한 요건을 준수하지 않을 경우 조직에 상당한 벌금과 평판 손상이 발생할 수 있습니다.

GDPR에 따라 데이터 관리자와 데이터 처리자는 각각 뚜렷한 책임을 지니며, 계약서에는 이러한 역할이 명확하게 정의되어 있어야 합니다.