NIS2, siber güvenlik risk yönetimi uygulamaları, olay raporlaması ve güvenlik denetimleri için yeni ve değiştirilmiş yükümlülükler yoluyla AB esnekliğini güçlendirmeye odaklanmaktadır. NIS2, kritik sektörlerdeki kuruluşlara güvenlik açığı yönetimi ve açıklama ile ilgili kontroller de dahil olmak üzere çok sayıda siber güvenlik önlemini benimseme yükümlülükleri getirir. NIS2 ayrıca, bireysel üyelerdeki ulusal yetkililer için denetim önlemlerinin yanı sıra katı icra gereksinimleri de sunmaktadır.
Buna ek olarak, NIS2 AB genelinde koordineli güvenlik açığı açıklaması (CVD) için bir çerçeve oluşturur. NIS2, AB Üye Devletlerinin “KULLANICILARIN YÖNETİMİ, CVD’nin tanıtımını ve kolaylaştırılmasını kapsayan” ve her üye devletin CVD koordinatörü olarak bilgisayar güvenliği olay müdahale ekiplerinden (CSIRS) birini belirlemesi için politikalar oluşturmasını gerektirir.
NIS2 hakkında kısa arka plan
NIS2, 2016 yılında siber güvenlik konusunda ilk AB çapında mevzuat olarak tanıtılan orijinal NIS yönergesini oluşturuyor ve genişletiyor. Direktifin ilk yinelemesinden iki önemli farklılık, NIS2’nin, direktifin uygulandığı “temel” ve “önemli” varlıkları önemli ölçüde genişletmesi ve uyumsuzluk durumunda idari para cezaları uyguladığıdır.
NIS2, AB içinde Ek I’de (Yüksek Kritiklik Sektörleri) veya Direktifin Ek II’de (diğer kritik sektörler) listelenen bir hizmet sağlayan kamu veya özel kuruluşlar için geçerlidir. NIS2 uyarınca, “temel” veya “önemli” adlı atama, bir şirketin büyüklüğüne ve sağladıkları hizmetlerin kritikliğine dayanmaktadır. “Temel” varlıklar proaktif olarak denetlenirken, “önemli” varlıklar reaktif denetim altına girecektir.
NIS2 uyarınca, “temel” veya “önemli” hizmetler sunan varlıklar, güvenlik açığı işleme ve ifşa etme, güvenlik önlemlerinin etkinliğini test etme ve olay tepkisi gibi aynı 10 siber güvenlik risk yönetimi önlemi kümesine uymalıdır. Bu önlemlerin bazıları uygulama düzenlemesinde daha ayrıntılı olarak açıklanacaktır (burada bir taslak mevcuttur). NIS2, “asgari uyum” yasasıdır, yani üye devletlerin bazı alanlarda, uygulama yasalarına NIS2 direktifinde belirtilenlerin ötesinde ek yükümlülükler uygulayabileceği anlamına gelir. Bununla birlikte, uygulama düzenlemesinin kapsadığı konular Üye Devletler arasında tutarlı bir şekilde uygulanmalıdır.
NIS2’ye uygun olmayan kuruluşlar için, idari para cezaları 10 milyon avroya kadar veya şirketin “temel” varlıklar için yıllık gelirinin% 2’sine ulaşabilir, hangisi daha yüksekse. Özellikle, NIS2, uyumsuzluk durumunda şirket yöneticileri için kişisel sorumluluğu da zorunlu kılmaktadır.
Nasıl Hazırlanır: Kapsam içi varlıklar için güvenlik kontrolleri
NIS2’nin 21. maddesi, kapsam içi kuruluşlar tarafından kabul edilecek on siber güvenlik risk yönetimi önlemini özetlemektedir. Bu, ağ ve bilgi sistemleri edinme, geliştirme ve bakımın yanı sıra güvenlik açığı işleme ve açıklamadaki güvenliği içerir.
Penetrasyon testi gibi düzenli güvenlik testlerine ek olarak, sağlam bir güvenlik açığı açıklama süreci, kuruluşların NIS2’ye uymasını sağlamaya ve sistemlerindeki güvenlik zayıflıklarını daha hızlı ve etkili bir şekilde tanımlamaya ve iyileştirmeye yardımcı olacaktır. Güçlü bir CVD sürecinin uygulanması, aslında bir CVD politikası uygulamasını gerektiren Belçika transpozisyonunda olduğu gibi, Direktifin gereksinimlerinin ötesine geçen herhangi bir ulusal NIS2 transpozisyonunun gereksinimlerini karşılamaya yardımcı olacaktır.
NIS2 son tarihi yaklaştıkça, kapsam içi kuruluşlar bir güvenlik açığı açıklama programı (VDP) oluşturarak şimdi harekete geçmelidir. Eylül ayında Hackerone, HackerOne yanıtının ücretsiz, self-servis katmanı olan Wordanfeyent Ifplasyon Programı (VDP) ürünümüz olan Essential VDP’yi piyasaya sürdü. Bu ürün, siber güvenlik riski yönetimi NIS2’ye uygunluklarının bir parçası olarak güvenlik açığı işleme ve açıklama önlemleri uygulamak zorunda olan “temel” ve “önemli” şirketler için yararlı olacaktır.
Ayrıca, 2023 yılında NIS İşbirliği Grubu, Üye Devletler için ulusal CVD politikalarının uygulanması konusunda yönergeler yayınladı. İşbirliği Grubu, AB Üye Devletleri, Avrupa Komisyonu ve Avrupa Birliği Siber Güvenlik Ajansı (ENISA) temsilcileriyle AB işbirliği için bir platformdur. Yönergeler, CVD’yi uygulamak için etkili bir aracı olarak Hata Bounty programları gibi güvenlik açığı ödüllerini açıkça onayladı.
AB Üye Devletleri için CVD
NIS2’nin 12. Maddesi’nin ana hatları olduğu gibi, her üye devlet CSIRT’lerinden birini ulusal bir CVD programı için koordinatör olarak atamalıdır. CSIRT Koordinatörü, bir güvenlik açığı açıklamasında yer alan varlıkları belirleyecek ve iletişime geçecek, bir güvenlik açığı bildirenlere yardımcı olacak, açıklama zaman çizelgelerini müzakere edecek ve birden fazla varlığı etkileyen güvenlik açıklarını yönetecektir.
Buna ek olarak, ENISA, Avrupa güvenlik açığı veritabanının güvenliğini ve bütünlüğünü sağlamak için “uygun bilgi sistemleri, politikaları ve prosedürleri…” ile bir Avrupa güvenlik açığı veritabanını geliştirmeli ve sürdürmelidir. ABD tabanlı ulusal güvenlik açığı veritabanının (NVD) işlevlerini yansıtan bu AB veritabanı, bir güvenlik açığını, etkilenen ürünleri veya hizmetleri, ilişkili ciddiyeti ve ilgili yamaların kullanılabilirliğini ve iyileştirme kılavuzunu açıklayan bilgileri içerecektir.
NIS2 Sonraki Adımlar
Avrupa Komisyonunun önümüzdeki günlerde nihai bir uygulama düzenlemesi yayınlaması bekleniyor. Uygulama düzenlemesi, olay raporlama eşiklerine ve siber güvenlik önlemlerine tutarlı bir AB yaklaşımı sağlayacaktır. Aynı zamanda, üye devletler NIS2’yi kendi ulusal yasalarına aktarmakla meşgul, transpozisyon olarak bilinen bir süreç.
NIS2’nin transpozisyonunun şu anda 17 Ekim 2024 tarihli bir son tarihe sahiptir. Belçika gibi bazı üye devletler zaten transpozisyon elde etmiştir, ancak Hollanda gibi diğer bazı üye devletler, daha uzun bir transpozisyon sürecini, muhtemelen 2025’e kadar daha uzun bir transpozisyon sürecini öngördüklerini belirtmişlerdir.
Avrupa Komisyonu’nun uygulama düzenlemesi hakkında yayınlanacak yayınlanmasını ve üye devletlerin NIS2’nin ulusal yasalarına aktarılmasını izlemek önemli olacaktır. Bunları ve diğer gelişmeleri izlemek, işletmelerin AB ajanslarının ve üye devletlerin NIS2 uyumluluğu konusunda ne beklediğini bilmelerine yardımcı olacaktır.
Çözüm
İşletmeler, NIS2’nin önümüzdeki haftalar ve aylar boyunca AB düzeyinde yürürlüğe gireceğini öngörmelidir. Hazırlanmaya yardımcı olmak için, AB’deki işletmelerin NIS2 için kapsamda olup olmadıklarını ve belirli üye devlet yargı bölgelerini belirlemeleri gerektiğini öneriyoruz. İşletmeler, mevcut güvenlik kontrollerinin NIS2 kapsamında gereken risk yönetimi önlemlerini karşılayıp karşılamadığını belirlemek için BT ve uyum ekipleriyle birlikte çalışmalıdır. HackerOne’un güvenlik açığı izleme ve temel VDP hizmetlerimiz de dahil olmak üzere güvenlik açığı yönetimi çözümleri, NIS2 güvenlik açığı işleme ve açıklama gereksinimlerini yerine getirmeye başlamak için mükemmel bir yoldur.
Önemli ve temel varlıkların güvenlik uygulamalarını güçlendirerek NIS2, sağlık ve güvenliği korumaya yardımcı olacak ve kritik hizmetlerin bozulmaya esnek olmasını sağlayacaktır. Hackerone, Avrupa genelinde yüksek ortak bir güvenlik seviyesi elde etmek için çalışmayı dört gözle bekliyor.