Kritik Altyapı Güvenliği, Standartlar, Düzenlemeler ve Uyumluluk
Yalnızca Altı Ülke NIS2’yi Ulusal Tüzüğe Dahil Etti
Akşaya Asokan (asokan_akshaya) •
14 Ekim 2024
Çoğu Avrupa ülkesi, hastaneler ve bankalar gibi temel hizmetler için zorunlu güvenlik denetimi gibi önlemler gerektiren önemli bir siber güvenlik düzenlemesini uygulamaya koymak için ticaret bloğunun son tarihini kaçırmaya hazırlanıyor.
Ayrıca bakınız: Siber Güvenlik Trendleri Raporu 2020: Bangladeş
Avrupa Birliği Ağı ve Bilgi Güvenliği Direktifi veya NIS2, finans, enerji ve sağlık gibi kritik sektörlerde çalışan kuruluşlar için siber güvenlik risk yönetimi ve olay raporlama yükümlülükleri getirmektedir.
Düzenleme geçen yılın başlarında yürürlüğe girmiş olsa da, AB ulusal parlamentolarının yasayı ulusal düzenlemeye dönüştürmek için 17 Ekim’e kadar süre tanınıyor. Kanunun temel özellikleri arasında, AB devletlerinin olay raporlamayı ve bilgi paylaşımını koordine etmek için bir bilgisayar güvenliği olay müdahale ekibi kurmasının zorunlu kılınması yer alıyor.
Son tarihin başlamasına yalnızca birkaç gün kala, pek çok AB ülkesi büyük olasılıkla son tarihi kaçıracaklarını ve düzenlemeyi çoğunlukla gelecek yılın ilk yarısında uygulayacaklarını kabul etti.
İrlanda’da NIS2’nin taslak versiyonunu Ağustos ayında yayınlayan Çevre, İklim ve İletişim Bakanlığı, ülkenin Perşembe günü son teslim tarihini kaçıracağını ve ülkenin direktifi muhtemelen 2025 yılında uygulayacağını doğruladı.
Almanya’da ise önerilen ulusal NIS2 yasa tasarısının ilk parlamento tartışması geçen hafta gerçekleşti.
Benzer şekilde Fransa’da da yönetmelik taslağı Fransız parlamentosu tarafından henüz sonuçlandırılmadı ve milletvekilleri arasında siyasi fikir birliği sağlanamadı.
“Ancak bu, İrlanda’da veya onay süresini kaçıran diğer ülkelerde düzenlemeye tabi kuruluşların arkalarına yaslanıp 17 Ekim’deki NIS2 son tarihini görmezden gelebilecekleri anlamına gelmiyor. NIS2 yine de bu tarihte yürürlüğe girecek ve kuruluşlar sorumlu tutulacak. Dublin merkezli BH Consulting’in başkanı Brian Honan, doğrudan AB NIS2 Direktifi kapsamında” dedi.
Altı ülke (Belçika, Hırvatistan, Yunanistan, Macaristan, Letonya ve Litvanya) NIS2’yi ulusal mevzuatına entegre etmiştir.
Honan, İrlanda’da önerilen Ulusal Siber Güvenlik Tasarısı Genel Planı kapsamında yeni kurulan Ulusal Yetkili Otoritelerin direktife uyumu izleyeceğini de sözlerine ekledi.
NIS2 Direktifi, kritik sektörleri büyüklük, sektör ve kritikliğe göre “temel” ve “önemli” olarak sınıflandırır. Yönetmelik, AB üye ülkelerindeki icra kurumlarının güvenlik denetimleri yapmasını, ihlallere ilişkin uyarılar yayınlamasını ve siber güvenlik olaylarını 24 saat içinde raporlamasını tavsiye ediyor. Ulusal siber güvenlik acil müdahale ekiplerinin siber tehditler, güvenlik açıkları ve olaylarla ilgili bilgileri paylaşması gerekmektedir.
Düzenlemenin herhangi bir şekilde ihlali, önemli şirketlere 10 milyon avroya veya küresel yıllık gelirin %2’sine mal olabilir. Önemli hizmetler için azami ceza 7 milyon euro veya küresel yıllık gelirin %1,4’üdür.