2016 yılında Ağ ve Bilgi Güvenliği (NIS) yönergesinin uygulamaya konulmasından sonra, Avrupa Birliği daha katı önlemler almaya, uygulanan kararnamenin kapsamını genişletmeye ve Avrupa’daki siber güvenlik seviyesini yükseltme girişimlerine daha fazla kuruluşu dahil etmeye karar verdi. NIS2 ’den ne bekleniyor? Aklınıza gelebilecek bazı sorular ve yanıtları.
İlk NIS yönergesinin amacı neydi?
2016 yılında kabul edilen NIS yönergesi, Avrupa Birliğine üye tüm devletleri ilgilendiren ilk siber güvenlik mevzuatıydı. Temel olarak iki gruptaki kuruluşlara odaklandı: sağlık, ulaşım, enerji vb. gibi temel hizmetlerin operatörleri (OES’ler) ve çevrimiçi arama motorları, İnternet ticareti ve bulut hizmetleri de dahil olmak üzere, dijital hizmet sağlayıcıları (DSP’ler).
NIS, bu kuruluşların uygun güvenlik önlemlerine uymasını ve karşılaştıkları her türlü önemli siber güvenlik olayını bildirmesini şart koştu ancak yönerge, aynı zamanda devletlerin kendi ulusal koşullarını da dikkate almalarını sağladı. Yönergenin temel amacı, diğer yöntemlerin yanı sıra, ulusal bir NIS otoritesi desteğiyle, şirketlerin bir Bilgisayar Güvenliği Müdahale Ekibine (CSIRT)sahip olmalarını zorunlu tutarak ve AB üyesi ülkeler, Avrupa Komisyonu ve AB Siber Güvenlik Ajansından (ENISA) oluşan bir İşbirliği Grubunda stratejik iletişim sağlayarak Avrupa’daki kuruluşların fiber güvenlik düzeyini iyileştirmekti.
NIS2 nedir?
NIS2 yönergesi önceki yönergenin kapsamını genişletiyor, farklı alanlardaki daha fazla kuruluşu kapsıyor ve ilk kez BİT tedarik zincirinin güvenliğini dikkate alıyor. Bu yönergenin oluşturulmasına, Avrupa siber güvenlik alanında yıllarca süren gelişmelerin yanı sıra son siber güvenlik zorlukları vesile olmuştur. COVID-19 pandemisinde, siber saldırılar AB üyesi ülkeler genelinde %220 arttı ve bu da, ilk NIS yönergesinin kapsamının çok sınırlı olduğunu gösterdi.
NIS2’nin amacı hem farklı sektörler hem de ülkeler arasında bilgi paylaşım sürecini iyileştirerek her bir Avrupa ülkesinin siber güvenliğini daha da güçlendirmek, durumun ciddiyetinin fark edilmesini sağlamak ve AB’nin güvenlik sorunlarıyla toplu olarak yüzleşmesinikolaylaştırmaktır. NIS2 birçok ülke ve sektör arasındaki farklılıkları en aza indirmeli ve çok çeşitli siber güvenlik tehditlerine ilişkin birleştirilmiş bir stratejik plan sunmalıdır. NIS1 ile kıyaslandığında, NIS2 ulusal yetkililer için daha sert denetim önlemleri ve daha sıkı yaptırım ihtiyacı getirmektedir.
NIS2’ye hangi kuruluşlar dahil edilecek?
NIS2 Avrupa Birliğinin iç pazarında faaliyet gösteren hemen hemen tüm orta ve büyük ölçekli ticari kuruluşları kapsayacaktır. Bu, yalnızca AB üyesi devletleri değil, aynı zamanda kendi pazarında önemli olan AB dışındaki kuruluşları da kapsıyor.
NIS1 yönergesine hangi sektörler dahil edildi?
- Sağlık hizmetleri
- Dijital altyapı
- Ulaşım
- Su temini
- Dijital servis sağlayıcılar
- Bankacılık ve finansal piyasalar altyapısı
- Enerji
NIS2 yönergesine hangi sektörler eklendi?
- Kamu elektronik iletişim ağları ya da hizmet sağlayıcıları
- Atık su ve atık yönetimi
- Belirli önemli ürünlerin imalatı (örn. ilaçlar, tıbbi cihazlar ve kimyasallar)
- Gıda
- Dijital hizmetler (örn. Sosyal ağ platformları ve veri merkezi hizmetleri)
- Havacılık (örn. uzay)
- Posta ve kurye hizmetleri
- Kamu yönetimi
Kaynak: Cyberpilot, 2022
NIS2 hangi koşulları getiriyor?
Yönerge ilgili kuruluşlar ve sektörler tarafından uyulması gereken yedi maddedenoluşmaktadır. Koşullar arasında olay yanıtı, tedarik zinciri güvenliği, şifreleme, güvenlik açığı ifşası ve ayrıca kuruluşların ilk gerçekleştiği andan itibaren bir olayı 24 saat içerisinde rapor etmelerini ve ardından da, en geç bir ay içinde son bir rapor göndermelerini gerektiren olay bildirimine yönelik iki aşamalı bir yaklaşım da yer almaktadır.
Koşullara uymayan şirketlere neler olabilir?
Şirketler NIS2 koşullarına uymazsa bağlayıcı talimatlar, güvenlik denetimi tavsiyesi ve 10 milyon Euro’ya ya da şirketin bir önceki mali yılda dünya çapındaki toplam yıllık cirosunun %2’sine kadar idari para cezası da dahil olmak üzere, çeşitli yaptırım önlemleri ile karşı karşıya kalabilir.
Yönerge ne zaman yürürlüğe girecek?
Yönergenin son hali hala ilgili makamlarda tartışılmaktadır, ancak 2024’e kadar yürürlüğe girmesi beklenmektedir.
Şirketlerin nasıl hazırlanması gerekir?
Yönerge henüz yürürlükte olmadığı için şu anda uymanız gereken belirli bir koşul bulunmuyor. Yine de, şirketinizin yapılacak değişikliklere daha iyi hazırlanması için atabileceğiniz bazı adımlar vardır. Örneğin, NIS2, kuruluşların siber güvenlik risklerini değerlendirmelerini şart koşacaktır ve bu, hem güçlü hem de zayıf noktalarınızı saptamak için önceden yapabileceğiniz bir şeydir. Şifreleme de yönergenin bir parçası olacaktır, bu nedenle şu anda verilerinizi nasıl koruduğunuzu ve şifrelediğinizi inceleyebilir ve yapmak istediğiniz herhangi bir iyileştirme olup olmadığına karar verebilirsiniz.
