호주 CISC: 강화된 중요 인프라 위험 관리 프로그램(CIRMP) 규칙 2026 — 중요 인프라 운영자를 위한 의무 AI 위험 평가

호주 사이버 및 인프라 보안 센터(CISC)는 '중요 인프라 보안 입법 수정안(강화된 중요 인프라 위험 관리 프로그램) 규칙 2026'(연방 관보 문서 F2026L00701)을 발표했으며, 2026년 6월 18일에 공지되었습니다. 강화된 CIRMP 규칙은 SOCI Act 2018에 따른 법적 구속력 있는 수정안이며, 에너지, 전기, 가스, 액체 연료, 수자원, 방송, DNS 및 화물 자산 클래스 전반의 중요 인프라 기관이 다음을 수행하도록 의무화합니다: (1) AI를 포함한 신규/신흥 기술의 위험 평가 및 완화; (2) 중요 시스템을 위한 피싱 저항 MFA 구현; (3) 중요 시스템과 비중요 시스템의 분리; (4) 레거시 시스템 위험, 공급망, 해외 아웃소싱 및 내부자 위협 해결. 규정 준수 일정은 2027년부터 시작되며 연장된 유예 기간이 있습니다.

이는 중요 인프라 운영자를 위해 AI를 의무 위험 평가 범주로 명시적으로 지정하는 최초의 법적으로 집행 가능한 호주 규정입니다. 이는 SOCI Act 하에서 중요 인프라 자산을 보유하고 있는 모든 기관에 대해 준수 의무를 창출하며, 단순 지침이 아닙니다. 이는 기존 OT/IT 통제와 함께 부문 전체 AI 위험 거버넌스의 선례를 설정하며, 동일한 주에 발표된 호주의 Horizon 2 사이버 보안 전략과 병행합니다.

호주 중요 인프라 운영자: AI 배포 및 레거시 시스템을 즉시 인벤토리화하고, AI 사용 사례에 대한 CIRMP 위험 평가를 시작하고, 중요 시스템을 위한 피싱 저항 MFA를 구현하고, 시스템 분리를 계획하십시오. 2027년 규정 준수 마감일 전에 강화된 CIRMP 규칙에 대한 통제를 매핑하십시오. 법무/규정 준수 팀은 연방 관보 문서 F2026L00701을 검토해야 합니다.