**Sorumluluk reddi beyanı: Bu blog yazısının içeriği yalnızca genel bilgilendirme amaçlıdır ve hukuki tavsiye niteliğinde değildir. Siber güvenlik kuralları ve düzenlemeleri konusunda oldukça tutkuluyuz ve Detectify’ın aracının yasal gerekliliklere uymaya nasıl yardımcı olabileceğine dair bilgiler sağlayabiliriz. Ancak Detectify bir hukuk firması değildir ve bu nedenle hukuki tavsiye sunmamaktadır.**
Karmaşık ve sürekli değişen uyumluluk ortamında gezinmek birçok şirket ve kuruluş için zordur. Pek çok düzenleme nedeniyle işletmenizin uyumluluk ihtiyaçlarına uygun güvenlik araçlarının seçilmesi önemli bir zorluk haline geliyor.
Bu makale, AB genelindeki işletmelerin uyumluluk engellerini nasıl etkili bir şekilde aşabilecekleri ve güvenlik araçlarını seçerken bilinçli kararlar alabilecekleri konusunda bilgiler sunmakta ve özellikle Detectify’ın bu önemli süreçlerde oynayabileceği rolü vurgulamaktadır.
Ağ ve Bilgi Sistemleri Güvenliğine ilişkin AB Direktifi (NIS2 Direktifi), AB Dijital Operasyonel Dayanıklılık Yasası (DORA) ve AB Kritik Varlıklar Dayanıklılık Direktifi (CER), şirketler için endişe yaratabilecek en yeni gereksinimlerden bazılarıdır. Bu özel gereksinimlere ve özellikle Detectify’ın sunduğu hizmetlerin kuruluşların daha fazla uyumluluk elde etmelerine nasıl destek olabileceğine ilişkin bilgiler sunarak müşterilerimize destek olmayı amaçlıyoruz.
NIS2 Direktifi – (AB) 2022/2555
NIS2 Direktifi bir AB çapında siber güvenlik mevzuatı 16 Ocak 2023 itibarıyla yürürlüktedir ve 18 Ekim 2024’te ulusal mevzuatlar aracılığıyla geçerli olacaktır. NIS’nin (1 ve 2) amacı, tüm Avrupa Birliği’nde yüksek düzeyde siber güvenlik sağlamaktır. ağların ve bilgi sistemlerinin güvenliğine ilişkin gereksinimler ortaya koyarak. Gelişen siber güvenlik tehdidi ortamına ayak uydurmak amacıyla NIS1’in yerini alıyor ve modernize ediyor. Aynı zamanda uygulanabilirlik kapsamını da genişleterek yeni sektörlerin ve kuruluşların artık NIS2 kapsamına girmesini sağlayacaktır.
Kimler için geçerlidir?
NIS2’deki gereklilikler, enerji, ulaştırma, bankacılık, finansal piyasa altyapıları, içme suyu, sağlık ve dijital altyapı ve belirli dijital hizmetler gibi ekonomi ve toplum için hayati önem taşıyan ve ağırlıklı olarak BİT’e dayanan sektörlerdeki kuruluşlar için geçerlidir. sağlayıcılar (“temel ve önemli kuruluşlar”). Yukarıda belirtilen sektörlerdeki hem özel hem de devlet kurumları NIS2 kapsamındadır.
Gereksinimler nelerdir?
Kısacası NIS2, olay raporlama ve risk yönetimi yoluyla ağların ve bilgi sistemlerinin güvenliğine ilişkin gereklilikleri ve tabii ki üye devletlerin yönetmelik kapsamındaki eylemleri denetleme ve koordine etme sorumluluğunu ortaya koyuyor.
Siber tehditlerin ve saldırıların günlük işlerin bir parçası olduğu ve birçok kötü niyetli oyuncunun (küçük ölçekli oyuncular, profesyonel siyah şapkalılar ve kamu aktörleri) mevcut olduğu günümüz ortamında, kritik işletmeler ve sağlayıcılar için ortaya çıkan siber güvenlik gereksinimleri bir zorunluluktur.
– Cecilia Wik, Hukuk Başkanı, Detectify
NIS2 Madde 21.1 Temel ve önemli kuruluşların, operasyonları veya hizmetlerinin sağlanması için kullandıkları ağ ve bilgi sistemlerinin güvenliğine yönelik riskleri yönetmek ve bu riskleri önlemek veya önlemek için uygun ve orantılı teknik, operasyonel ve organizasyonel önlemler alması gerektiğini özetlemektedir. Olayların hizmetlerinin alıcıları ve diğer hizmetler üzerindeki etkisini en aza indirin.
Üstelik, Madde 21.2 10 farklı minimum gerekliliği ortaya koyuyor miktar. Detectify’ın önemli bir rol oynayabileceği minimum gereksinimlerden biri:
Madde 21.2 e) “Ağ ve bilgi sistemlerinin edinilmesi, geliştirilmesi ve bakımında güvenlik açığının ele alınması ve ifşa edilmesi de dahil olmak üzere güvenlik”
NIS2 Direktifi minimum uyumlaştırma direktifi olduğundan, üye ülkeler ulusal mevzuatlarında daha sıkı siber güvenlik gereklilikleri benimseyebilir. Direktif henüz üye devletler düzeyinde tam olarak kabul edilmediğinden, AB içinde bölgesel farklılıklar görebiliriz.
İsveç’te, İsveç hükümeti tarafından toplanan bir uzman grubu tarafından 5 Mart 2023’te yayınlanan bir raporda, 1 Ocak 2025’te yürürlüğe girecek yeni bir Siber Güvenlik yasası önerildi. Direktif uyarınca NIS2’nin kapsamı 18 sektörü kapsayacaktır. NIS1 kapsamındaki yalnızca 7 sektöre kıyasla. Ek olarak, uyumsuzluk cezaları, GDPR’dekine benzer şekilde, küresel yıllık gelire göre hesaplanacağı için öncekinden daha yüksek olacak. İsveç’teki ve AB genelindeki çoğu şirketin NIS2 hakkında bilgi sahibi olması ve sistemlerinin güvenliğine yönelik risk bazlı bir yaklaşım benimsemesi gerekecektir.
İsveç Koruyucu Güvenlik Yasası (2018:585)
Nerede ağlar Ve bilgi sistemleri NIS kapsamında İsveç’te Koruyucu Güvenlik Yasası (SW: Säkerhetsskyddslagen), İsveç’in ulusal güvenliği açısından önem taşıyan kuruluşların tüm operasyonlarını korumayı ve belirli kriterleri karşılamayı amaçlamaktadır. Bu tür kuruluşlar hassas bilgilere sahip olabilir veya ulusal çıkarları korumak için terörizme, casusluğa ve sabotajlara karşı özel koruma gerektiren güvenlik açısından hassas faaliyetler yürütebilir.
Koruyucu Güvenlik Yasası, kuruluşların gizli bilgilerin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak ve güvenliğe duyarlı faaliyetleri yürütmek için kullanılan sistemleri zararlı etkilerden korumak için önleyici tedbirler almasını özellikle gerektirir.
NIS ve Koruyucu Güvenlik Yasası örtüşebilir ve aynı anda uygulanabilir, ancak Koruyucu Güvenlik Yasası aşağıdakilere dayalı olarak önceliğe sahiptir: özel kanun prensip.
Detectify’ın devreye girdiği yer
NIS2 Direktifi mevzuatının ana odak noktası olan kamu sektörü, teknoloji ve dijital hizmetler gibi belirli sektörler ile Detectify’ın EASM aracının üstün olduğu alanlar arasında önemli paralellikler olduğunu fark ettik. EASM çözümümüz, hızlı dijital inovasyon gibi sorunlarla karşı karşıya kalan, giderek daha geniş bir saldırı yüzeyine yol açan ve tüm saldırı yüzeyi üzerinde tam görünürlüğü korurken güvenli bulut barındırma ihtiyacı gibi sorunlarla karşı karşıya olan bu gibi sektörler için özel olarak tasarlanmıştır.
CER Direktifi – (AB) 2022/2557
Bir diğer AB düzenlemesi, kritik kuruluşların hibrit tehditler, doğal afetler ve Kuzey Akımı’nın 2022’de sabote edilmesi gibi terör suçları gibi “fiziksel” tehditlere karşı yüksek dirençli olmasını sağlamayı amaçlayan CER Direktifidir. CER Direktifi olsa bile NIS2’ye benzer şekilde ağlarda ve BT sistemlerinde risk yönetimine ilişkin gereklilikleri içerir, siber tehditler daha doğal olarak NIS2’nin kapsamına girer. Bu iki direktifin üye devlet düzeyinde uyumluluğunu sağlamak üye devletlerin sorumluluğunda olacaktır.
Detectify’ın devreye girdiği yer
Detectify’ın Harici Saldırı Yüzey Yönetimi (EASM) platformu, “temel ve önemli varlıklar” için risk yönetiminde önemli bir rol oynayabilir. Titiz keşif ve %99,7 oranında doğru güvenlik açığı değerlendirmeleri ile Detectify’ın platformu, binlerce müşteriye harici saldırı yüzeyinde tam kapsama alanı sağlar.
Detectify EASM platformu iki üründen oluşur: Yüzey İzleme Ve Uygulama Taraması. Yüzey İzleme, barındırılan tüm Internet’e yönelik varlıkların sürekli keşfi ve izlenmesi yoluyla müşterilere saldırı yüzeylerinin kapsamlı bir görünümünü sunarak müşteri saldırı yüzeyinin haritalandırılmasında anahtar rol oynar. Aynı zamanda Uygulama Taraması, gelişmiş tarama ve bulanıklaştırma ile özel oluşturulmuş uygulamalara ve iş açısından kritik gerçek güvenlik açıklarına ilişkin daha derin bilgiler sağlar.
Detectify’ın EASM platformuyla müşteriler, riskleri gerçekleşmeden önce haritalandırarak, tanımlayarak ve proaktif bir şekilde yöneterek sistemlerini ve dijital hizmetlerini tehdit eden hem bilinen hem de bilinmeyen güvenlik açıklarından kaynaklanan dış riskleri yönetmek için uygun teknik önlemleri uygulayabilirler. Saldırı yüzeyinizin haritasını çıkarmak, risk yönetimi perspektifinden orada ne olduğunu anlamanın ilk adımıdır.
DORA – Dijital Operasyonel Dayanıklılık Yasası (DORA) – AB Düzenlemesi 2022/2554
DORA’nın amacı, finansal firmaların ve daha da önemlisi bulut hizmet sağlayıcıları gibi belirli BİT sağlayıcılarının BİT ile ilgili her türlü soruna dayanabileceklerinden, yanıt verebileceklerinden, hafifletebileceklerinden ve iyileşebileceklerinden emin olmaları gereken düzenleyici bir çerçeve oluşturmaktır. kesintiler ve siber tehditler. Başka bir deyişle, finansal firmaların odak noktası yalnızca geleneksel finansal dayanıklılığa odaklanmaktan ziyade güçlü bir dijital dayanıklılığa da odaklandı.
Finans sektörü kuruluşlarının 17 Ocak 2025’ten itibaren DORA’ya uyması gerekiyor. Son versiyonları hazır olan bir taslak metin mevcut ancak henüz resmi olarak kabul edilmedi.
Kimler için geçerlidir?
DORA, AB’deki 22.000’den fazla şirketi kapsayacağı ve finans sektörünün operasyonel dayanıklılığını yalnızca finansal kurumlar için değil aynı zamanda bulut hizmet sağlayıcıları gibi bu tür kurumlara kritik hizmetler sağlayan üçüncü taraf hizmet sağlayıcılar için de uyumlu hale getireceği için önemlidir. DORA, ESA (Avrupa Denetleme Otoritesi) tarafından yönetilecektir.
Gereksinimler nelerdir?
DORA 5 merkezi alanı düzenler:
1) Yönetişim ve Risk Yönetimi
2) Olay Raporlaması
3) Dijital Operasyonel Dayanıklılığın Test Edilmesi
4) BİT Üçüncü Taraf Risklerinin Yönetimi
5) Bilgi Paylaşımı
Detectify’ın devreye girdiği yer
Detectify, finansal kuruluşların ve BİT hizmet sağlayıcılarının dayanıklılığının güçlendirilmesine şu yollarla yardımcı olabilir:
1. Risk ve yönetişim çerçevesinde koruma ve önleme tedbirlerinin aşağıdaki yollarla oluşturulması:
- Öncelikle bir organizasyonun haritasını çıkarmak harici saldırı yüzeyibilinmeyen varlıkların bile tespit edilebildiği;
- İkincisi, bu tür varlıkları sürekli gözetim altında tutacak Yüzey İzleme’nin kurulması;
- Son olarak, müşterilerin riskleri (zafiyetleri) ve tehdit ortamının gerçek kapsamını tanımlayabildiği Uygulama Taramasının uygulanması.
2. Detectify kullanıcıları şunları yapabilir: Anormal faaliyetleri anında tespit edin Uygulama Taramayı kullanarak ve Detectify’ın altında belirli izleme kuralları ayarlayarak Saldırı Yüzeyi Özel Politikaları.
3. Belirlenen güvenlik açıklarına ilişkin öngörüler elde etmeekiplerin tehditleri daha etkili bir şekilde önceliklendirmesine ve düzeltmesine yardımcı olacak eylemsel iyileştirme ipuçları.
4. Büyük güvenlik açıklarının sorumlu bir şekilde ifşa edilmesine olanak sağlama Gerektiğinde Detectify’ın sağladığı güvenlik açığı bilgileri yardımıyla yetkililere iletilebilir.
Kapanış konuşması
Düzenlemeler ve bunların etkileri hakkında daha fazla bilgi aldıkça bu yazıya güncellemeler eklemeye devam edeceğiz. Yukarıdaki düzenlemelerde olduğu gibi Detectify, proaktif siber güvenliği vurgulamaktadır ve müşterilerinin daha güvenli olmasına yardımcı olma konusunda tutkuludur. Bu makalede, AB’de geçerli olan yalnızca birkaç güncel düzenlemeyi ele aldık ve geçerli olabilecek çok daha fazla spesifik standart ve düzenlemenin bulunduğunu biliyoruz.
Detectify ile Saldırı Yüzeyi Özel Politikalarıkullanıcılar üretimde meydana gelen politika ihlallerini izleyebilir. Bir politika ihlali tespit edilirse, düzeltmeyi hızlandırmaya yardımcı olacak faydalı bilgiler içeren bir uyarı üretilir.
Saldırı Yüzeyi Özel Politikaları, Yüzey İzleme Saldırı yüzeyinizin boyutu ne olursa olsun, açıkça tanımlanmış güvenlik ilkelerinizin uygulanmasını sağlamak için harici saldırı yüzeyinizi sürekli olarak izlemek. Müşterilerimizin çoğu, açığa çıkan web varlıklarında kendi kişiselleştirilmiş uyumluluk kurallarını oluşturmuştur.
Detectify hakkında daha fazla bilgi edinmek ister misiniz? 2 haftalık ücretsiz denemeyi başlatın veya uzmanlarımızla konuşun.