NIS2, siber güvenlik risk yönetimi uygulamaları, olay raporlama ve güvenlik denetimlerine ilişkin yeni ve değiştirilmiş yükümlülükler yoluyla AB’nin dayanıklılığını güçlendirmeye odaklanıyor. NIS2, kritik sektörlerdeki kuruluşlara, güvenlik açığı yönetimi ve ifşayla ilgili kontroller de dahil olmak üzere çok sayıda siber güvenlik önlemi alma yükümlülüğü getiriyor. NIS2 aynı zamanda bireysel Üye Devletlerdeki ulusal makamlar için denetim tedbirlerinin yanı sıra sıkı uygulama gereklilikleri de getirmektedir.
Ayrıca NIS2, AB genelinde koordineli güvenlik açığı açıklaması (CVD) için bir çerçeve oluşturur. NIS2, AB Üye Devletlerinin CVD’nin teşvik edilmesini ve kolaylaştırılmasını kapsayan “zafiyetlerin yönetilmesi” için politikalar oluşturmasını ve her Üye Devletin bilgisayar güvenliği olay müdahale ekiplerinden (CSIRT’ler) birini CVD koordinatörü olarak atamasını gerektirir.
NIS2 Hakkında Kısa Bilgi
NIS2, siber güvenliğe ilişkin AB çapındaki ilk mevzuat olarak 2016 yılında tanıtılan orijinal NIS Direktifi’ni geliştiriyor ve genişletiyor. Direktifin ilk versiyonundan iki önemli fark, NIS2’nin direktifin geçerli olduğu “temel” ve “önemli” kuruluşları önemli ölçüde genişletmesi ve uyumsuzluk durumunda idari para cezaları uygulamasıdır.
NIS2, direktifin Ek I (Yüksek Kritiklik Sektörleri) veya Ek II’sinde (Diğer Kritik Sektörler) listelenen bir hizmeti AB içinde sağlayan kamu veya özel kuruluşlar için geçerlidir. NIS2 uyarınca, “temel” veya “önemli” tanımı, şirketin büyüklüğüne ve sağladıkları hizmetlerin kritikliğine dayanmaktadır. “Önemli” varlıklar proaktif olarak denetlenirken, “önemli” varlıklar reaktif denetim altına alınacaktır.
NIS2 kapsamında, “temel” veya “önemli” hizmetler sağlayan kuruluşların, güvenlik açığı yönetimi ve ifşa edilmesi, güvenlik önlemlerinin etkinliğinin test edilmesi ve olaylara müdahale gibi aynı 10 siber güvenlik risk yönetimi önlemi grubuna uyması gerekir. Bu önlemlerin bazıları Uygulama Yönetmeliğinde daha ayrıntılı olarak ele alınacaktır (taslağı burada bulabilirsiniz). NIS2 bir “minimum uyumlaştırma” yasasıdır; bu, Üye Devletlerin bazı alanlarda uygulama yasalarında NIS2 Direktifinde belirtilenlerin ötesinde ek yükümlülükler getirebileceği anlamına gelir. Ancak Uygulama Yönetmeliğinin kapsadığı konular üye devletler arasında tutarlı bir şekilde uygulanmalıdır.
NIS2’ye uymadığı tespit edilen kuruluşlar için idari para cezaları 10 milyon Euro’ya veya “temel” kuruluşlar için şirketin yıllık gelirinin %2’sine (hangisi daha yüksekse) kadar ulaşabilir. Özellikle, NIS2 aynı zamanda uyumsuzluk durumunda kurumsal yöneticilerin kişisel sorumluluğunu da zorunlu kılmaktadır.
Nasıl Hazırlanırsınız: Kapsam İçi Tüzel Kişiler için Güvenlik Kontrolleri
NIS2’nin 21. Maddesi, kapsam dahilindeki kuruluşlar tarafından benimsenecek on siber güvenlik risk yönetimi önlemini özetlemektedir. Bu, ağ ve bilgi sistemlerinin edinilmesi, geliştirilmesi ve bakımının yanı sıra güvenlik açığının ele alınması ve ifşa edilmesinde güvenliği de içerir.
Sızma testi gibi düzenli güvenlik testlerine ek olarak güçlü bir güvenlik açığı açıklama süreci, kuruluşların NIS2’ye uymasını sağlamaya ve sistemlerindeki güvenlik zayıflıklarını daha hızlı ve etkili bir şekilde tespit edip gidermeye yardımcı olacaktır. Güçlü bir CVD sürecinin uygulanması, kuruluşların bir CVD politikası uygulamasını gerektiren Belçika aktarımında olduğu gibi, direktifin gerekliliklerinin ötesine geçen NIS2’nin herhangi bir ulusal aktarımının gerekliliklerinin karşılanmasına da yardımcı olacaktır.
NIS2’nin son tarihi yaklaşırken, kapsam içi kuruluşlar bir güvenlik açığı açıklama programı (VDP) oluşturarak hemen harekete geçmelidir. Eylül ayında HackerOne, Güvenlik Açığı Açıklama Programı (VDP) ürünümüz olan HackerOne Response’un ücretsiz, self-servis katmanı olan Essential VDP’yi piyasaya sürdü. Bu ürün, NIS2 ile siber güvenlik risk yönetimi uyumluluğunun bir parçası olarak güvenlik açığı yönetimi ve ifşa önlemleri uygulamak zorunda olan “temel” ve “önemli” şirketler için faydalı olacaktır.
Ek olarak, 2023’te NIS İşbirliği Grubu, Üye Devletler için ulusal CVD politikalarının uygulanmasına ilişkin kılavuzlar yayınladı. İşbirliği grubu, AB Üye Devletleri, Avrupa Komisyonu ve Avrupa Birliği Siber Güvenlik Ajansı’ndan (ENISA) temsilcilerle AB işbirliğine yönelik bir platformdur. Kılavuzlar, CVD’nin uygulanmasında etkili bir araç olarak hata ödül programları gibi güvenlik açığı ödül programlarını açıkça onayladı.
AB Üye Devletleri için CVD
NIS2’nin 12. Maddesinde belirtildiği gibi, her Üye Devlet kendi CSIRT’lerinden birini ulusal CVD programının koordinatörü olarak atamak zorundadır. CSIRT koordinatörü, bir güvenlik açığının ifşa edilmesine dahil olan kuruluşları tanımlayacak ve onlarla iletişime geçecek, bir güvenlik açığını bildirenlere yardımcı olacak, açıklama zaman çizelgelerini müzakere edecek ve birden fazla varlığı etkileyen güvenlik açıklarını yönetecektir.
Buna ek olarak ENISA, “Avrupa güvenlik açığı veritabanının güvenliğini ve bütünlüğünü sağlamak için…” uygun bilgi sistemleri, politikaları ve prosedürlerini içeren bir Avrupa güvenlik açığı veritabanı geliştirmeli ve sürdürmelidir. ABD merkezli Ulusal Güvenlik Açığı Veritabanının (NVD) işlevlerini yansıtan bu AB veritabanı, bir güvenlik açığını, etkilenen ürünleri veya hizmetleri, ilgili ciddiyeti ve ilgili yamaların ve düzeltme kılavuzlarının kullanılabilirliğini açıklayan bilgileri içerecektir.
NIS2 Sonraki Adımlar
Avrupa Komisyonu’nun önümüzdeki günlerde nihai bir Uygulama Yönetmeliği yayınlaması bekleniyor. Uygulama Yönetmeliği, olay raporlama eşikleri ve siber güvenlik önlemlerine ilişkin tutarlı bir AB yaklaşımı sağlayacaktır. Aynı zamanda üye devletler, aktarma olarak bilinen bir süreçle NIS2’yi kendi ulusal kanunlarına aktarmakla meşguller.
NIS2’nin aktarımının son tarihi 17 Ekim 2024 olarak belirlendi. Belçika gibi bazı Üye Devletler aktarımı zaten gerçekleştirdi; ancak Hollanda gibi diğer bazı Üye Devletler, muhtemelen 2025’e kadar daha uzun bir aktarım süreci beklediklerini kamuoyuna açıkladılar.
Avrupa Komisyonu’nun yakında yayınlanacak olan Uygulama Tüzüğü’nün yanı sıra Üye Devletlerin NIS2’yi kendi ulusal yasalarına aktarma konusundaki ilerlemelerini takip etmek önemli olacaktır. Bunları ve diğer gelişmeleri takip etmek, işletmelerin NIS2 uyumluluğu konusunda AB kurumlarının ve Üye Devletlerin ne beklediğini bilmesine yardımcı olacaktır.
Çözüm
İşletmeler, NIS2’nin önümüzdeki haftalar ve aylarda AB düzeyinde yürürlüğe gireceğini öngörmelidir. Hazırlanmaya yardımcı olmak için, AB’deki işletmelerin NIS2 kapsamında olup olmadıklarını ve hangi belirli Üye Devlet yetki alanlarında olduklarını belirlemelerini öneriyoruz. İşletmeler, mevcut güvenlik kontrollerinin NIS2 kapsamında gerekli olan risk yönetimi önlemlerini karşılayıp karşılamadığını belirlemek için BT ve uyumluluk ekipleriyle birlikte çalışmalıdır. HackerOne’ın güvenlik açığı izleme ve Essential VDP hizmetlerimizi de içeren güvenlik açığı yönetimi çözümleri, NIS2 güvenlik açığı yönetimi ve açıklama gereksinimlerini karşılamaya başlamanın mükemmel bir yoludur.
NIS2, önemli ve temel kuruluşların güvenlik uygulamalarını güçlendirerek sağlık ve güvenliğin korunmasına yardımcı olacak ve kritik hizmetlerin kesintiye karşı dayanıklı olmasını sağlayacak. HackerOne, Avrupa çapında yüksek bir ortak güvenlik düzeyi elde etmek için çalışmayı sabırsızlıkla bekliyor.