Avrupa Birliği’nin 2022/2555 sayılı NIS2 Direktifi, AB genelinde ağ ve bilgi sistemlerinin güvenliğini ve dayanıklılığını artırmayı amaçlayan bir mevzuattır. Mevzuat halihazırda yürürlükte olmasına rağmen, AB üyelerinin Ekim 2024’e kadar direktifi ulusal kanunlara aktarmaları gerekiyor. Direktifin kapsamına giren her kuruluş, yasal olarak bir yıldan kısa bir süre içinde gerekliliklerini yerine getirmekle yükümlü olacak. Son teslim tarihinin bu kadar yakında olması nedeniyle kuruluşların bu değişiklikleri benimsemeye şimdiden hazırlanmaları gerekiyor.
NIS2 Nedir?
2016 yılında AB, temel (veya kritik altyapı) olarak adlandırılan şirketler için katı siber güvenlik gerekliliklerini tanımlayan Ağ ve Bilgi Güvenliği (NIS) Direktifini uygulamaya koydu. Amaç, kuruluşların izlemesi beklenen temel siber güvenlik önlemlerini özetleyen bir risk yönetimi yaklaşımı uygulayarak güvenlik gereksinimlerini güçlendirmekti. NIS2, daha fazla şirketi “temel” olarak belirleyerek ve bu sektörlerde faaliyet gösteren kuruluşlara daha sıkı güvenlik yükümlülükleri getirerek bu yönergeyi daha da genişletiyor.
NIS2 Kimlere Uygulanır?
NIS2, AB içinde faaliyet gösteren tüm kuruluşlar için geçerlidir ve nelerin temel hizmetler olarak kabul edildiğini tanımlar; bu hizmetlerin aksaması ülke veya toplum için ciddi sonuçlara yol açabilir. Temel hizmetler arasında enerji tedarikçileri, içme suyu ve atık su arıtma, bankalar ve finansal piyasa altyapıları, sağlık kurumları, dijital altyapı, İnternet servis sağlayıcıları, kamu yönetimi, ulaşım ve gıda veya temel ev eşyaları üreten fabrikalar yer alıyor. Mevzuatın, AB dışında yerleşik ancak birlik içinde kritik veya temel hizmetler sunan kuruluşlar da dahil olmak üzere Avrupa çapında 160.000 şirketi etkilediğine inanılıyor.
Kimler NIS2’den Muaftır?
Küçük şirketlerin henüz NIS2’yi benimsemesi gerekmiyor. Mevzuat yalnızca yıllık cirosu 10 milyon Euro veya daha fazla olan ve 250 veya daha fazla çalışanı olan kuruluşlar için geçerlidir. NIS2, belirli işletmeleri “önemli” kategorilerde faaliyet gösteren ve “temel” kuruluşlarla aynı güvenlik protokollerini takip etmesi beklenen işletmeler olarak sınıflandırır; Temel fark, önemli işletmelerin proaktif denetim altına alınması, önemli işletmelerin ise yalnızca bir uyumsuzluk olayı rapor edildikten sonra izlenecek olmasıdır.
Temel NIS2 Gereksinimleri Nelerdir?
Kritik varlıkları korumak ve direktife uygunluğu göstermek için hem temel hem de önemli kuruluşlar tarafından ele alınması gereken dört temel alan vardır.
1. Eğitim ve farkındalık (Madde 20): Kuruluşlar, çalışanların “riskleri belirlemelerine ve siber güvenlik risk yönetimi uygulamalarını ve bunların kuruluş tarafından sağlanan hizmetler üzerindeki etkilerini değerlendirmelerine olanak sağlayacak yeterli bilgi ve beceriyi kazanmalarını” sağlamaktan sorumludur.
2. Siber Güvenlik Risk Yönetimi Önlemleri (Madde 21): Kuruluşların, ağ ve bilgi sistemleri üzerindeki riskleri yönetmek ve azaltmak için uygun ve orantılı teknik, operasyonel ve organizasyonel önlemleri uygulaması gerekmektedir. NIS2, kuruluşların “tüm tehlikeler” yaklaşımını benimsemesini ve belgelerde de belirtildiği gibi hem siber hem de fiziksel kaynaklardan gelen tüm olay ve acil durumlara hazırlıklı olmasını önermektedir.
3. Raporlama Yükümlülükleri (Madde 23): Bir güvenlik olayı olması durumunda, kuruluşların, yasa dışı veya kötü niyetli eylemlerin neden olduğu veya sınır ötesi etkisi olabilecek bir olaydan veya şüphelenilen bir olaydan haberdar olduktan sonra 24 saat içinde CSIRT’ye veya diğer raporlama makamına bildirimde bulunması gerekir. Olaydan sonraki 72 saat içinde kuruluşların, olayın ciddiyeti, etkisi ve tehlike göstergeleri dahil olmak üzere olayın ilk değerlendirmesini sunması gerekir. Olayın ardından bir ay içerisinde, olayın temel nedenlerini, olayın genel etkisini ve uygulanan hafifletici önlemleri özetleyen nihai bir rapor sunulmalıdır. Mevzuat, raporlama yapan kuruma, soruşturma süresi boyunca gerekli gördüğü durumlarda ara rapor veya ilgili durum güncellemelerini talep etme yetkisi vermektedir. Kuruluşların ayrıca etkilenen müşterileri (veya kullanıcıları) bilgilendirmesi ve tehdide yanıt olarak çözüm yolları sunması gerekmektedir.
4. AB Sertifikasyon Programlarının Kullanımı (Madde 24): Madde 21’deki gerekliliklere uygunluğu göstermek için üye devletler, kuruluşların Avrupa siber güvenlik sertifikasyon programları kapsamında sertifikalandırılmış belirli bilgi ve iletişim teknolojisi ürünlerini, hizmetlerini ve süreçlerini kullanmasını veya dağıtmasını talep edebilir.
NIS2 Uyumluluğuna Başlarken
NIS2 uyumsuzluğu kuruluşlara pahalıya mal olabilir. Önemli kuruluşlar 10 milyon Euro’ya veya yıllık küresel gelirin %2’sine kadar para cezasına çarptırılabilir. Önemli kuruluşlar 7 milyon Euro’ya veya yıllık küresel gelirin %1,4’üne kadar sorumludur. Kuruluşunuz NIS2 kapsamına giriyorsa, mevcut siber güvenlik durumunuzun yanı sıra NIS2 gereksinimlerini başarılı bir şekilde karşılamak için alınacak önlemleri belirlemenize yardımcı olabilecek bir NIS2 hazırlık değerlendirmesiyle başlamanız önemle tavsiye edilir. Bilgi Güvenliği Forumu gibi kar amacı gütmeyen kuruluşlar ve birçok satıcı, hazırlık değerlendirme hizmetleri sunmaktadır.
Değerlendirme tamamlandıktan sonra kuruluşlar, mevzuata uygunluğu göstermek için gerekli zorunlu korumaları, süreçleri ve protokolleri geliştirmek üzere öncelikli bir yol haritası oluşturabilir.