Avrupa Birliği iki kritik düzenleyici çerçeveyi uygulamaya koydu: Ağ ve Bilgi Güvenliği (NIS) Direktifi ve Dijital Operasyonel Dayanıklılık Yasası (DORA). Bu önlemlerin amacı, her ölçekteki işletmenin hassas bilgileri korumak için güçlü siber güvenlik uygulamaları uygulamasını sağlamaktır.
Ancak sektör uzmanları, düzenlemelerin tam potansiyelinin ancak üçüncü taraf siber güvenlik uzmanlarının katılımıyla hayata geçirilebileceğini öne sürüyor.
Büyüyen Siber Tehdit Ortamı
İşletmeler müşterilerle bağlantı kurmak, ürünleri özelleştirmek ve müşteri deneyimlerini geliştirmek için giderek daha fazla dijital altyapıya bağımlı hale geldikçe, aynı zamanda artan siber saldırı riskleriyle de karşı karşıya kalıyorlar. Cybersecurity Ventures’a göre, siber suçun küresel ekonomiye 2024 yılında 9,5 trilyon dolara mal olacağı, bunun yıllık %15 artarak 2025 yılına kadar 10,5 trilyon dolara ulaşacağı tahmin ediliyor.
Birleşik Krallık Savunma Bakanlığı’nın maaş bordrosu sisteminde yakın zamanda meydana gelen ve hem mevcut hem de eski silahlı kuvvetler mensuplarının adlarının ve banka bilgilerinin ifşa edildiği bir veri ihlalinin de gösterdiği gibi, en gelişmiş siber güvenlik sistemleri bile tehlikeye atılabilir.
Avrupa Birliği’nin Yanıtı: NIS ve DORA
Daha güçlü siber güvenlik önlemlerine acil ihtiyaç olduğunu kabul eden Avrupa Birliği, NIS Direktifi’ni ve DORA’yı uygulamaya koydu. Bu düzenlemeler, üye devletler genelinde siber güvenlik uygulamalarını standartlaştırmayı ve geliştirmeyi amaçlamaktadır.
NIS Direktifi: NIS Direktifi, üst düzey, ortak siber güvenlik en iyi uygulamalarının oluşturulmasına odaklanır. Sistem güvenliği gereksinimlerini güçlendirir, tedarik zincirindeki güvenlik açıklarını giderir, raporlamayı kolaylaştırır ve uyumsuzluk durumunda olası yaptırımlarla birlikte sıkı denetim önlemleri sunar. Direktif 2021 sonbaharında başlatıldı ve Mayıs 2022’de resmileşti ve işletmelere yeni standartlara uyum sağlamaları için Ekim 2024’e kadar süre verildi.
DORA: DORA, finans sektörünü hedef alıyor ve önemli BİT tabanlı olayların izlenmesi ve ilgili makamlara raporlanması için periyodik dijital operasyonel dayanıklılık testlerini ve yönetim sistemlerinin uygulanmasını zorunlu kılıyor. Bu düzenleme, bankalar, sigorta şirketleri ve yatırım firmaları gibi finansal kuruluşların ciddi kesintiler sırasında operasyonel dayanıklılığını koruyabilmesini sağlamayı amaçlıyor.
DORA’nın geliştirilmesi üç Avrupa Denetleyici Otoritesini içeriyordu: Avrupa Bankacılık Otoritesi (EBA), Avrupa Sigorta ve Mesleki Emeklilik Otoritesi (EIOPA) ve Avrupa Menkul Kıymetler ve Piyasalar Otoritesi (ESMA). Zorunlu olay raporlama gereklilikleri belirlediler ve siber güvenlik tehditlerine etkili bir şekilde yanıt vermek için finansal kuruluşlar ile düzenleyiciler arasında işbirliğini ve bilgi paylaşımını teşvik ettiler.
Üçüncü Taraf Değerlendirmelerinin Önemi
Acora’nın Grup CISO’su ve CTO Ortağı Darren Humphries, siber güvenlik uygulamalarının sürekli ölçülmesi ihtiyacını vurguluyor. Humphries, “Risk yönetimi sanattan bilime doğru ilerliyor” diye açıklıyor ve düzenleyici yönergelerin karşılanmasında ölçümlerin ve belgelerin önemini vurguluyor.
Kendi kendini tasdik etmenin etkinliğini eleştiriyor ve Savunma Bakanlığı ihlalinin kısmen tedarikçilerin self-servis tasdikine güvenilmesinden kaynaklandığını belirtiyor. Bunun yerine Humphries, üçüncü taraf siber güvenlik uzmanlarının süreçleri değerlendirmesini ve doğrulamasını, böylece gözetim riskinin en aza indirilmesini savunuyor.
Gelişen tehdit ortamı, şirketlerin, özellikle de finans sektöründekilerin, potansiyel güvenlik açıklarını ele alma konusunda proaktif olmalarını gerektirmektedir. Yeni AB düzenlemeleri işletmeleri bu yöne doğru itiyor ancak aynı zamanda siber güvenlik çerçevelerini kapsamlı bir şekilde incelemek ve güçlendirmek için üçüncü tarafların uzmanlığından da yararlanmaları gerekiyor. Bunu yaparak ağ işlemlerini daha iyi koruyabilir ve yasal gerekliliklere uyum sağlayarak siber olay olasılığını azaltabilirler.
Çözüm
Yeni AB düzenlemeleri NIS ve DORA, Avrupa genelinde siber güvenlik uygulamalarının geliştirilmesinde ileriye doğru atılmış önemli bir adımı temsil ediyor. Ancak etkilerini en üst düzeye çıkarmak ve gelişen siber tehditlere karşı gerçek anlamda koruma sağlamak için işletmelerin üçüncü taraf değerlendirmelerini ve uzmanlığını dahil etmesi gerekir.
Bunu yaparak, hassas bilgilerin sağlam bir şekilde korunmasını ve düzenleyici standartlara uygunluğu sağlayabilirler, sonuçta giderek dijitalleşen dünyada siber güvenlik risklerini azaltabilirler.