Avrupa Birliği’nin (AB) dönüm noktası niteliğindeki siber güvenlik tasarısı NIS2 tam olarak yürürlüğe girdi, bu da şirketlerin artık bu yasanın gerekliliklerine uyması gerektiği, aksi takdirde ağır para cezalarıyla karşı karşıya kalacağı anlamına geliyor.
Blok genelinde siber güvenlik kural ve prosedürlerini uyumlu hale getirmeyi amaçlayan direktif uyarınca, enerji, ulaştırma, su, finansal hizmetler ve sağlık hizmetleri de dahil olmak üzere kritik sektörlerde faaliyet gösteren AB merkezli işletmelerin artık sıkı siber güvenlik önlemleri uygulaması ve ciddi siber tehditleri raporlaması gerekiyor. ilgili makamlara.
Bir dizi tedarik zincirindeki önemleri göz önüne alındığında, arama motorları, bulut bilişim şirketleri ve çevrimiçi perakendeciler gibi BT satıcılarının da bu kurallara uyması beklenirken, AB üye devletlerinin de kendi bilgisayar güvenliği olay müdahale ekibini kurmaları gerekecek ( CSIRT), ayrıca ulusal bir ağ ve bilgi sistemleri otoritesi (eğer henüz yapmamışlarsa).
AB’de yerleşik müşterilere ürün ve hizmet sağlayan Birleşik Krallık’taki işletmelerin, AB’de faaliyetlerini ve pazar erişimini sürdürmek için NIS2 gerekliliklerine de uyması gerekir; zira bu, AB içinde hizmet sağlayan veya faaliyetlerini yürüten tüm önemli veya önemli kuruluşlar için geçerlidir. işletmenin sınırları içerisinde bir kuruluşu olup olmadığı.
Düzenlemenin siber güvenlik risk yönetimi ve raporlama yükümlülüklerine uyulmaması, kuruluşların minimum 7.000.000 Euro (veya küresel yıllık gelirin %1,4’ü) veya maksimum 10.000.000 Euro (veya küresel yıllık gelirin %2’si) tutarında para cezasına çarptırılmasına neden olabilir. . Her iki durumda da şirkete, hangisi daha yüksekse o miktarda para cezası uygulanacaktır.
F5 EMEA saha baş teknoloji sorumlusu (CTO) Bart Salaets, NIS2’nin daha önce siber güvenliğe öncelik vermemiş olabilecek çok daha geniş bir kuruluş yelpazesine uygulanacağını söyledi: “Güvenlik üzerine yoğunlaştırılmış düzenleyici ilginin en büyük zorluklarından biri, Giderek daha fazla sayıda bulutu ve şirket içi veri merkezini kapsayan dijital altyapıların güvenliğinin sağlanması ve izlenmesinin karmaşıklığı arttı.
“Yasalarda gezinmek için kuruluşların güvenlik platformlarında merkezi görünürlük ve birleşik raporlama oluşturması gerekiyor. Entegre çözümlere ve potansiyel olarak yapay zekaya dayalı gelişmiş raporlama araçlarına duyulan ihtiyaç, kuruluşların NIS2 kapsamındaki raporlama yükümlülüklerini yerine getirmelerine yardımcı olmak açısından önemli olacaktır.”
Qodea mühendislik ve güvenlik müdürü Mike Smith, farklı şirketler için yeni sınıflandırmalar göz önüne alındığında, şirketlerin NIS2’nin düzenlemeye karşı kimin sorumlu tutulması gerektiğine dair çok daha ayrıntılı bir tanım içerdiğinin farkında olmaları gerektiğini ekledi.
“Bir kuruluş NIS1’e tabi olmasa bile artık NIS2 kapsamına girebilir. Bu, bazı kuruluşlar için zorlu bir öğrenme eğrisi olabilir” dedi. “Modern güvenlik altyapılarına önemli ölçüde yatırım yapmış olanlar uyum sağlama konusunda nispeten kolay bir süreye sahip olmalı; ancak yapmamış olanlar kendilerini hızla daha da geride kalacaklar.”
CyberArk’ın saha teknolojisi ofisinde kıdemli yönetici olan David Higgins’e göre, özellikle NIS2’nin 21. maddesi, şirketlerin “tedarik zincirlerini güvence altına almak ve sıfır güven erişimini uygulamak için sağlam siber güvenlik önlemlerini” uygulamaya koyması gerektiği anlamına geliyor; Sıfır güven ilkelerini takip etmek, uyumluluk açısından merkezde yer alacak.
“Kuruluşların, taşeronlar ve hizmet sağlayıcılar da dahil olmak üzere NIS2 kapsamındaki devasa bir tehdit ağını korumaları gerektiğinden bu özellikle önemlidir. Şirketlerin ayrıca olayların ele alınması ve raporlanmasıyla ilgili NIS2 Madde 21’in önemli gerekliliklerini de işaretlemeleri gerekiyor” dedi.
“Burada sağlam bir kimlik güvenliği stratejisine sahip olmak, yalnızca hayati altyapıyı gelecekteki kaçınılmaz saldırılara karşı korumak için değil, aynı zamanda kritik bilgilerin gerçek zamanlı olarak işlenmesini izlemek ve yönetmek için de önemlidir.”
Fladgate’in ortağı ve teknoloji avukatı Tim Wright, NIS2’nin son uygulama tarihi hakkında yorum yaparak, “uygulama durumunun blok genelinde önemli ölçüde değiştiğini” ve sadece birkaç ülkenin bunu kendi ulusal yasalarına aktardığını söyledi.
Üye devletlerin direktife uygun ulusal kanunlarını 17 Ekim 2024 uyumluluk son tarihinden önce yayınlamaları beklenirken, şu ana kadar yalnızca altı üye devlet NIS2’yi ulusal statülerine entegre etti. Bunlar Belçika, Hırvatistan, Yunanistan, Macaristan, Letonya ve Litvanya’dır.
Diğer AB ülkelerinin çoğu NIS2’yi iç hukuka aktarmak için yasama sürecini başlatmış olsa da, üçü (Bulgaristan, Estonya ve Portekiz) henüz süreci başlatmadı.
Wright, NIS2’nin etkililiğinin nihai olarak “üye devletler arasında tutarlı bir şekilde uygulanmasına ve uygulanmasına” bağlı olacağını ve bloğun genel siber duruşunda önemli iyileştirmeler sağlaması gerekse de siber güvenliğin bir silahlanma yarışı olduğunu ekledi.
“NIS2, AB’yi daha zor bir hedef haline getirmeli, ancak kararlı rakipler zayıflıkları araştırmaya devam edecek” dedi. “Direktifin başarısı, ne kadar iyi uygulandığına ve yalnızca uyumluluğa değil, gerçek bir siber güvenlik kültürünü teşvik edip edemeyeceğine bağlıdır.”