The Normative Meaning of Cybersecurity Information Sharing Act(CISA) of 2015

The Cybersecurity Information Sharing Act(CISA) of 2015, enacted in December 2015, is one of the greatest achievements of cybersecurity legislation in the United States. The promotion of cybersecurity information sharing is one of the tasks to improve cybersecurity governance in Korea. So it is an important issue to be addressed in cybersecurity legislation in Korea in the near future. CISA has many implications for cybersecurity legislation in Korea. Nevertheless, it is difficult to find preceding research that explain the content of CISA and study its normative meaning in Korea. Therefore, in this paper, the contents of the CISA is identified and its normative meaning and implication is found in five categories: definition of terms, establishment of information sharing procedures and conditions, promotion of voluntary information sharing by the private sector, checks on the executive branch and report to the Congress, and other matters. CISA facilitates information sharing based on willingness, while eliminating the side effects that may arise in the information sharing process. It is necessary to appropriately apply the good points of CISA to the cybersecurity legal system in Korea.

미국 사이버안보 정보공유법(CISA)의 규범적 의의

2015년 12월부터 미국에서 시행된 사이버안보 정보공유법(Cybersecurity Information Sharing Act of 2015)은 미국의 사이버안보 입법 활동이 맺은 가장 큰 결실 중 하나이다. 정보공유의 활성화는 한국의 사이버안보 추진체계 개선과제 중 하나로서 향후 한국의 사이버안보 법제도 개선에서 중요하게 다루어야 할 사항이며, 사이버안보법 정보공유법의 연구로부터 많은 시사점을 도출할 수 있다. 그럼에도 불구하고 사이버안보 정보공유법의 내용을 구체적으로 다루면서 그 규범적 의미를 확인하는 국내의 선행연구를 찾기 어렵다. 따라서 용어 정의, 정보공유 절차 수립 및 여건 마련, 민간의 자발적 정보공유 촉진, 행정부에 대한 견제 및 의회 보고, 기타 사항이라는 다섯 가지 범주별로 사이버안보 정보공유법의 내용을 확인하고 규범적 의미와 시사점을 모색하고자 하였다. 사이버안보 정보공유법은 자율성에 기초한 정보공유를 활성화하는 동시에 정보공유 과정에서 초래될 수 있는 부작용을 제거하는 장치를 마련하고 있다. 향후 한국의 사이버안보 법제도 정비에서 사이버안보 정보공유법의 규범적 의미와 시사점을 적절히 활용하는 것이 필요하다.