Siber saldırılardaki artışa yanıt olarak Hong Kong, kapsamlı siber güvenlik mevzuatını yürürlüğe koymak için ilk adımlarını atıyor. Hükümet yakın zamanda Kritik Altyapı Operatörleri (CIO’lar) ve Kritik Bilgisayar Sistemleri’ni (CCS) düzenlemek için önerilen bir çerçeveyi açıkladı.
Öneri, Tayland ve Singapur’daki yeni düzenlemeler de dahil olmak üzere Asya genelindeki siber güvenlik gelişmelerinin dalgası ortasında geliyor. Hong Kong’un önerisi, Çin anakarası, Avustralya ve Amerika Birleşik Devletleri gibi kritik altyapıyı düzenleyen diğer yargı bölgeleriyle uyumlu olacak.
Önerilen Hong Kong Siber Güvenlik Çerçevesinin Temel Unsurları
Önerilen çerçeve, CIO’ların ve CCS’nin güvenli ve güvenilir bir şekilde çalışmasını sağlamak için tasarlanmıştır. Güvenlik Bürosu altında kurulacak yeni bir Komiserlik Ofisi, bu düzenlemelerin uygulanmasını denetleyecektir.
Bu ofis, olayları araştırma, yönergeler yayınlama ve teftişler yürütme yetkisine sahip olacak. Çerçevenin temel unsurları şunlardır:
Uygulama kapsamı: Çerçeve, kritik bilgisayar sistemlerine sahip olan, bunları kontrol eden veya kullanan kuruluşlar olarak tanımlanan CIO’lar ve CCS’ler için geçerlidir. İlk sekiz Belirlenmiş Sektör arasında enerji, bilgi teknolojisi, bankacılık ve finansal hizmetler, kara taşımacılığı, hava taşımacılığı, denizcilik, sağlık hizmetleri ve iletişim ve yayıncılık yer almaktadır.
Yükümlülükler: CIO’ların Hong Kong’da bir adres ve ofis bulundurmaları, özel bir siber güvenlik ekibi kurmaları, Komiserlik Ofisini CCS’deki önemli değişiklikler konusunda bilgilendirmeleri ve düzenli güvenlik denetimleri ve risk değerlendirmeleri yapmaları gerekecektir. Ayrıca güvenlik tatbikatlarına katılmaları ve acil durum müdahale planları sunmaları gerekecektir.
CIO’lar üç ana kategoride yükümlülükle karşı karşıya kalacak:
- Kurumsal: Hong Kong’da bir ofis kurun ve özel bir siber güvenlik ekibi kurun.
- Önleyici: Güvenlik yönetim planlarını sunun ve düzenli risk değerlendirmeleri ve denetimleri yapın.
- Olay Bildirimi ve Müdahale: Güvenlik tatbikatlarına katılın ve belirtilen zaman dilimleri içerisinde yetkililere olayları bildirin.
Diğer Yargı Bölgeleriyle Karşılaştırma
Önerilen çerçeve, Singapur ve Çin’deki mevcut siber güvenlik düzenlemeleriyle benzerlikler taşımaktadır. Örneğin, her iki yargı alanı da CIO’ların düzenli güvenlik risk değerlendirmeleri ve denetimleri yapmasını gerektirir. Ancak, güvenlik tatbikatlarının ve olay raporlamasının sıklığı ve zamanlaması gibi bazı önemli farklılıklar da vardır.
Zorluklar, Belirsizlikler ve Çözülmemiş Sorular
Önerilen çerçeve siber güvenliğe kapsamlı bir yaklaşım sunarken, hâlâ çözülmemiş bazı sorunlar bulunuyor ve yeni mevzuat hakkında birçok soru gündeme geldi:
Uyumluluk Zaman Çizelgesi: Kuruluşların CIO veya CCS olarak atandıktan sonra gerekli önlemleri uygulamak için yalnızca altı ayı olabilir. Bu, özellikle kurumsal değişiklikler için daha fazla zamana ihtiyaç duyan daha büyük kuruluşlar için zorlayıcı olabilir.
Sektör Tanımları:Hangi kuruluşların belirli sektörlere, özellikle de “bilgi teknolojileri” kategorisine gireceği konusunda belirsizlik var.
Üçüncü Taraf SağlayıcılarÇerçevenin BT yöneticilerine hizmet sağlayan sağlayıcılar üzerindeki etkisi henüz net değil; zira bazıları kritik altyapı operatörü olarak tanımlanıyor olabilir.
Yetenek Sıkıntısı:Paydaşlar, yeni gereklilikleri karşılamak için yetkin siber güvenlik personeli istihdam etmenin zorluğu konusunda endişelerini dile getirdiler.
Hükümet, 2024’ün sonuna kadar bir yasa tasarısı sunmayı planlıyor ve mevzuatın en geç 2025’in sonlarında veya 2026’nın ortalarında yürürlüğe girmesi bekleniyor. Hong Kong bu girişimle ilerledikçe, güvenlik ihtiyaçlarını operasyonel uygulanabilirlikle dengelemek başarısı için çok önemli olacak.