Avrupa Komisyonu, BİT tedarik zincirlerini güvence altına almak ve AB vatandaşlarına ulaşan ürünlerin geliştirilmiş bir sertifikasyon süreci aracılığıyla tasarım gereği güvenli olmasını sağlamak için tasarlanmış revize edilmiş bir AB Siber Güvenlik Yasası da dahil olmak üzere, AB’nin siber dayanıklılığını güçlendirmeyi amaçlayan yeni bir siber güvenlik paketi önerdi.
Revize Edilmiş Siber Güvenlik Yasası ve BİT tedarik zinciri güvenliği
Revize edilen Siber Güvenlik Yasası, risk temelli bir yaklaşıma dayalı bir BİT tedarik zinciri güvenlik çerçevesi oluşturuyor. Bu çerçeve, AB ve Üye Devletlerin ekonomik etkileri ve pazar arzını göz önünde bulundurarak kritik sektörler arasındaki riskleri belirlemesine ve azaltmasına yardımcı olacaktır.
Kanun ayrıca, mevcut 5G güvenlik araç kutusunu temel alarak, Avrupa mobil telekomünikasyon ağlarının yüksek riskli üçüncü ülke tedarikçilerinden zorunlu olarak alınmasını da getiriyor.
Avrupa Siber Güvenlik Sertifikasyon Çerçevesi
Ürünlerin güvenlik testleri Avrupa Siber Güvenlik Sertifikasyon Çerçevesi (ECCF) aracılığıyla gerçekleştirilecektir. ECCF, sertifikasyon programlarının varsayılan olarak 12 ay içinde geliştirilmesine izin verir ve paydaşların kamuyu bilgilendirme ve istişare yoluyla daha iyi dahil edildiği daha çevik ve şeffaf bir yönetişim süreci sunar.
Sertifika programları, işletmelerin AB mevzuatına uyumunu göstermeleri için gönüllü bir araç haline gelecek ve düzenleyici gereklilikleri karşılamanın yükünü ve maliyetini azaltacak. Şirketler ve kuruluşlar, BİT ürünlerini, hizmetlerini, süreçlerini, yönetilen güvenlik hizmetlerini ve siber güvenlik duruşlarını pazar ihtiyaçlarını karşılayacak şekilde sertifikalandırabilecek.
Yenilenen ECCF, AB vatandaşları, işletmeler ve kamu yetkilileri için karmaşık BİT tedarik zincirlerinde güveni ve güvenliği artıracak.
Uyumluluğun ve NIS2 değişikliklerinin basitleştirilmesi
Yeni siber güvenlik paketi, AB’de faaliyet gösteren şirketler için AB siber güvenlik kurallarına ve risk yönetimi gerekliliklerine uyumu basitleştirmeye yönelik önlemler sunuyor. Bu önlemler, Digital Omnibus tarafından uygulamaya konulan olay raporlaması için tek giriş noktasını tamamlamaktadır.
NIS2 Direktifinde yapılan hedefe yönelik değişiklikler, yargı kurallarını basitleştirerek, fidye yazılımı saldırılarına ilişkin verilerin toplanmasını kolaylaştırarak ve sınır ötesi kuruluşların denetimini kolaylaştırarak yasal netliği artırmayı amaçlamaktadır. ENISA bu değişikliklerin desteklenmesinde gelişmiş bir koordinasyon rolü oynayacaktır.
ENISA’nın rolünün güçlendirilmesi
Gözden geçirilen Siber Güvenlik Yasası, ENISA’nın AB ve Üye Devletlerinin ortak siber tehditleri anlamalarına ve siber olaylara karşı hazırlıklı olma ve müdahale etme becerilerini geliştirmelerine yardımcı olma rolünü güçlendiriyor. Teşkilat, ortaya çıkan tehditler ve olaylar hakkında erken uyarılar vermeye devam edecek ve güvenlik açığı yönetimi hizmetlerine yönelik Birlik çapında bir yaklaşım geliştirecek.
ENISA, olay raporlama için tek giriş noktasını işletecek ve Europol ve ulusal Bilgisayar Güvenliği Olay Müdahale Ekipleri (CSIRT’ler) ile işbirliği içinde, fidye yazılımı saldırılarına yanıt verme ve bu saldırılardan kurtulma konusunda şirketlere destek verecek.
ENISA, bir Siber Güvenlik Becerileri Akademisi’ne pilotluk yapacak ve Avrupa çapında vasıflı bir siber güvenlik iş gücü oluşturmaya yardımcı olmak için AB çapında siber güvenlik becerileri doğrulama programlarının oluşturulmasını destekleyecektir.