Avrupa Birliği’nin çığır açan siber güvenlik tasarısı NIS2’nin yürürlüğe girmesine sadece birkaç ay kaldı. 17 Ekim’de uyum sağlama son tarihi olan yasa, tüm üye devletlerin aynı siber güvenlik kurallarını ve prosedürlerini takip etmesini sağlayarak bloğun artan siber suç seviyeleriyle mücadele yeteneğini geliştirmeyi amaçlıyor.
Bu direktif uyarınca, her AB üye devleti kendi bilgisayar güvenliği olay müdahale ekibini (CSIRT) ve henüz yapmadılarsa ulusal bir ağ ve bilgi sistemleri otoritesini kurmalıdır. Bu arada AB, üye devletleri arasında siber güvenlik konularında iş birliğini kolaylaştırmak için bir NIS İş Birliği Grubu oluşturacaktır.
AB üye ülkelerine yönelik denetimlerin artırılmasının yanı sıra NIS2 direktifi, enerji, ulaştırma, su, finansal hizmetler ve sağlık gibi kritik sektörlerde faaliyet gösteren AB merkezli işletmelerin sıkı siber güvenlik önlemleri almasını ve ciddi siber tehditleri ilgili makamlara bildirmesini zorunlu kılacak.
Birçok işletme tedarik zincirlerindeki güvenlik açıkları nedeniyle siber ihlallerin kurbanı olduğundan, arama motorları, bulut bilişim şirketleri ve çevrimiçi perakendeciler gibi BT satıcılarının da bu kurallara uyması beklenecektir. Bunu akılda tutarak, ürünlerini ve hizmetlerini AB’de satan birçok İngiltere şirketi, Brexit’ten bağımsız olarak NIS2’den etkilenecektir. Peki, bu kadar kısa bir zaman diliminde NIS2’ye nasıl uyabilirler?
İngiltere’deki işletmeler için olmazsa olmaz
Bulut yazılım firması Netskope’un EMEA bölgesi baş bilgi güvenliği sorumlusu (CISO) Neil Thacker’a göre, Avrupa Birliği tarafından NIS2’nin uygulanması, İngiltere’deki işletmeler üzerinde Genel Veri Koruma Yönetmeliği’ne (GDPR) benzer bir “dalga etkisi” yaratacak.
Yasa, Avrupa kuruluşlarını tedarik zincirlerinin siber güvenliğini güçlendirmeye zorluyor. Bu nedenle, İngiltere işletmeleri ürünlerini ve hizmetlerini AB merkezli müşterilere tedarik ediyorsa, NIS2 gerekliliklerine uymaları gerekir. Thacker, bunun “AB müşterileri ve ortaklarıyla operasyonlarını ve ilişkilerini sürdürmelerine” olanak sağlamanın anahtarı olduğunu söylüyor.
Günümüzün küresel ekonomisinin birbirine bağlı yapısı nedeniyle, Thacker, NIS2’nin genellikle AB dışında faaliyet gösteren kuruluşları, kolektif siber güvenlik duruşlarını güçlendirmek için benzer bir risk yönetimi politikaları seti benimsemeye teşvik ettiğini ekliyor. Bunu yapmak, küresel olarak “birleşik bir siber güvenlik standardı” oluşturmaya yardımcı olacak ve NIS2 tarafından zorunlu kılınan politikaların “dünya çapında hızla norm haline geldiği” anlamına geliyor diyor.
“Brexit yasal manzarayı değiştirmiş olsa da, İngiltere işletmelerinin dalga etkisi nedeniyle NIS 2’ye uyması gerekebilir,” diye ekliyor. “Bu uyum, küresel tedarik zinciri boyunca siber güvenlik tutarlılığı, pazar erişimi ve uluslararası iş birliği ihtiyacı tarafından yönlendiriliyor.”
NIS2 direktifine uymak, Avrupa’da faaliyet gösteren İngiltere firmaları için sadece temel bir kutucuk işaretleme egzersizinden daha fazlasıdır. Bulut güvenlik firması Dynatrace’de EMEA güvenlik satışları bölge başkan yardımcısı olan Ben Todd, bunun uzun vadede onlara yardımcı olabileceğini savunuyor.
İngiliz şirketlerinin blok genelindeki operasyonlarını kolaylaştırmasını, gelişen pazarına erişimini sürdürmesini ve güçlü ve güvenli bir küresel ekonomiye katkıda bulunmasını sağlayacağını savunuyor. Todd, Computer Weekly’ye şunları söylüyor: “Aslında, NIS2 ile uyum, İngiltere işletmelerinin potansiyel ticaret engellerinden kaçınmasına ve AB ortakları ve müşterileriyle güven oluşturmasına yardımcı olabilir.”
Yönergeye uymak
Bulut güvenlik firması Sydsig’in siber güvenlik stratejisti Crystal Morin’e göre, NIS2 uyumluluğunu sağlamanın ilk adımı, gerekliliklerini ve bunların her işletmeye nasıl uygulanabileceğini anlamaktır.
Bu politikaları ve bunların kurumsal önemini anladıktan sonra, iş dünyası ve güvenlik liderlerinin doğru politikaları ve prosedürleri uyguladıklarından emin olmak için birlikte çalışmaları gerektiğini söylüyor.
Eğer durum böyle değilse, Ekim uyumluluk son tarihinden önce kapsamlı bir uygulama planı üzerinde çalışmaları gerekir. Morin şunları ekliyor: “Bu, uçtan uca şifrelemenin kullanımını, bir felaket kurtarma planını ve/veya güvenlik görevlilerinin atanmasını içerebilir.”
Thacker, NIS2 direktifini araştırırken, İngiltere işletmelerinin 3. Bölüm’ün 20 ve 21. Maddelerini incelemeye odaklanmalarını öneriyor. Bu bölümler, siber güvenlik olaylarının ele alınmasından tedarik zinciri güvenlik sorunlarına kadar, AB ticari çıkarları olan İngiltere firmaları tarafından benimsenmesi gereken yönetişim ve siber güvenlik risk yönetimi önlemlerini ayrıntılı olarak açıklıyor.
İşletmelerin bu gereklilikleri anlamaları ve uygulamaları hayati önem taşısa da Thacker, bunun sadece bir okuma egzersizi olmadığı konusunda uyarıyor. Aksine, şirketler yeni riskler ortaya çıktıkça siber güvenlik kontrollerini ve önlemlerini sürekli olarak iyileştirmelidir.
İşte burada birkaç temel siber güvenlik ilkesi ve uygulaması yardımcı olabilir, bunlardan ilki sıfır güvendir. Thacker, sıfır güven stratejisi geliştirmenin ve uygulamanın, işletmelerin ağlarına ve bilgi işlem varlıklarına girmeye çalışan herkesi doğrulamasını sağlayarak onları kötü niyetli taraflardan koruyacağını açıklıyor.
İkinci olarak, “kapsamlı güvenlik kapsamı” elde etmek için geleneksel cihazların yanı sıra nesnelerin interneti (IoT) ve operasyonel teknoloji (OT) cihazlarını da kapsayacak şekilde cihaz yapılandırma prosedürlerinin genişletilmesini öneriyor.
Üçüncüsü, Thacker, işletmelerin kimlik ve erişim yönetimi programlarını varlık yönetimi önlemleriyle birleştirerek ve çalışanların siber güvenlik sorunları konusundaki farkındalıklarını artırmak için gerçek zamanlı koçluk kullanarak güçlendirebileceklerini söylüyor.
Son olarak, işletmeleri çok yönlü bir tehdit yönetimi yaklaşımı benimsemeye çağırıyor. Thacker, yalnızca imza tabanlı kötü amaçlı yazılım tespit tekniklerini kullanmak yerine, karışıma içeriden tehdit ve sosyal mühendislik taktiklerini eklemeyi öneriyor.
Computer Weekly’ye şunları söylüyor: “Amaç, kuruluşunuzun siber güvenlik uygulamalarının genel olgunluğunu iyileştirmek, mevcut temelleri geliştirmek ve bunları NIS2 standartlarını karşılayacak şekilde geliştirmek.”
Danışmanlık firması RS Strategy’nin CEO’su Rayna Stamboliyska, NIS2 uyumluluk yolculuğunda temel bir adımın C-Suite üyelerinden destek ve katılım almak olduğunu söylüyor. Bunun, geçmişte NIS1’e tabi tutulmamış veya şu anda siber güvenliği en önemli öncelik olarak görmeyen işletmeler için özellikle önemli olduğunu söylüyor.
Stamboliyska, bu sürecin bir parçası olarak siber güvenlik ekiplerine ve üst düzey yöneticilere, NIS2’nin risk yönetimi ve azaltma yaklaşımları tarafından kapsanması gereken kritik hizmetleri, süreçleri ve varlıkları belirleme konusunda tavsiyelerde bulunuyor.
“Uyumluluk yolculuğunuz boyunca, NIS2’nin yalnızca siber güvenlik ekibini veya rollerini değil, işletmenin tüm yönetimini kapsayan yönetişim ve farkındalığa özel bir odaklanması olduğundan, üst yönetimi dahil etmeniz gerekir” diyor.
Yöneticileri uyumluluk sürecine dahil etmenin yanı sıra, siber güvenlik ekiplerinin olay yönetimi ve raporlama prosedürlerinin NIS2 yönergelerini takip etmesini sağlamaları gerektiğini söylüyor. Bunun nedeni, direktifin bu konularla ilgili “kesin zaman çizelgeleri ve gereklilikleri” olmasıdır.
Amerikalı kurumsal teknoloji çözümleri sağlayıcısı Insight’ın teknoloji lideri ve CISO’su Rob O’Connor, GDPR’ye uymak için operasyonlarını elden geçirmek zorunda kalan işletmelerin NIS2 uyumluluğu konusunda zorluk çekmemesi gerektiğini söylüyor.
“Daha güçlü güvenlik önlemleri, daha iyi şifreleme uygulayacaklar ve raporlamalarını güçlendirecekler,” diyor. “Olaylardan kurtulmak için daha iyi bir konumda olduklarından emin olmak için iş sürekliliği planlarını elden geçirecekler.”
Ancak, böyle bir sürece yeni başlayan işletmeler için O’Connor, mevcut siber tehdit yönetim süreçlerini değerlendirmelerini ve NIS2 ışığında iyileştirilebilecek yollar bulmalarını öneriyor. Herhangi bir boşluğu belirledikten sonra, yönergeye uygun olarak sağlam bir olay yanıt planı oluşturmalı ve uygulamalıdırlar.
Siber olayları mümkün olan en kısa sürede yönetim organlarına bildirmeye çalışmaları, ek koruma için şifreleme ve çok faktörlü kimlik doğrulamayı benimsemeleri ve ayrıca kurum çapında siber güvenlik farkındalık eğitimleri sağlamaları gerektiğini de sözlerine ekliyor.
Üstesinden gelinmesi gereken zorluklar
NIS2 uyumluluk yolculuğuna başlayan işletmeler, yol boyunca çeşitli zorluklarla karşılaşabilir. Siber güvenlik devi Palo Alto Networks’ün EMEA’daki politika ve kamu sektörü etkinleştirme kıdemli direktörü Sebastian Gerlach, bunu küçük ve orta ölçekli işletmeler için bir paradigma değişimi olarak tanımlıyor.
Gerlach, “Genellikle daha büyük muadillerinin kaynaklarından ve hukuki uzmanlıklarından yoksun olan bu kuruluşlar, yeni düzenlemeleri anlama ve bunlara uyma konusunda daha dik bir öğrenme eğrisiyle karşı karşıya kalıyor” diyor.
Bulut güvenlik platformu Trend Micro’nun İngiltere ve İrlanda teknik direktörü Bharat Mistry, şirketlerin üstlenmesi gereken yatırım, işe alım ve eğitim düzeyi nedeniyle birçok İngiltere firmasının NIS2 uyumluluğunda zorluk çekeceğini kabul ediyor.
Eski BT altyapısını güncellemenin, mevcut sistemlere daha yeni teknolojileri entegre etmenin ve karmaşık olay müdahale prosedürleri kurmanın, işletmelerin gerçekleştirmesi gereken NIS2 direktifinin gerekli ancak karmaşık adımları olduğunu söylüyor. Mistry ekliyor: “Ek olarak, tedarik zinciri uyumluluğunu sağlamak ve sektöre özgü zorlukları ele almak, özellikle dijital veya yazılım tedarik zincirleri için daha fazla zorluk yaratıyor.”
Dahası, BT güvenlik ekipleri, yöneticileri siber güvenlik savunmalarına ve farkındalık eğitimine yatırım yapmanın değerini görmeye teşvik etmekte zorluk çekebilir. Ancak, şirketin NIS2 yükümlülüklerini yerine getirmesini sağlamak için kazanmaları gereken bir mücadeledir.
Kurumsal yazılım üreticisi Unit4’ün CISO’su Tom Ascroft, NIS2’nin yönetim kurulu üyeleri ve üst düzey yöneticilerin sektör kursları ve eğitimleri alarak siber tehditleri anlamalarını gerektirdiğini belirtiyor.
“Bu düzeyde eğitim sağlamak, doğru düzeyde sunum yapmak için zor olabilir,” diyor. “Bununla birlikte, bu ihtiyacı vurgulayarak ve bu paydaşlarla etkileşim kurarak güvenlik duruşunuzu daha da güçlendirmek için bir fırsattır.”
Bu zorluklara rağmen, işletmeler bunların üstesinden gelmek ve Ekim son tarihine kadar NIS2 uyumluluğunu sağlamak için gerekli tüm adımları atmalıdır. Aksi takdirde, ağır para cezaları ve düzenleyici eylemle birlikte gelen itibar kaybı olasılığıyla karşı karşıya kalırlar.
Morin, “Sürekli izleme veya olay müdahale planları olmayanlar dün harekete geçmeye ihtiyaç duyuyorlar,” diye sonuca varıyor. “Uygunsuzluk cezaları çok yüksek ve buna değmez; 10.000.000 €’ya veya küresel yıllık gelirin %2’sine kadar, hangisi daha yüksekse.”