NIS2 Direktifi, AB yasama organının blok genelinde siber güvenliği artırmak ve giderek dijitalleşen bir toplumun zorlukları ile artan siber tehditlere ayak uydurmak için attığı en son adımlardan biridir.
Adından da anlaşılacağı gibi, NIS2 Direktifi AB’nin AB düzeyinde uyumlu siber güvenlik kurallarını uygulamaya yönelik ilk girişimi değildir. Benzer hedeflere sahip önceki bir yasama çabası olan NIS Direktifini takip eder.
Bununla birlikte, NIS2 Direktifi selefiyle karşılaştırıldığında, 17 Ekim 2024 tarihine kadar AB Üye Devletlerinin ulusal hukukuna aktarılması gereken yeni Direktifin, mevcut yasal çerçevenin güncellenmesinden ziyade, AB siber güvenlik mevzuatında yeni bir dönemi başlattığı açıktır.
AB siber güvenlik mevzuatında yeni bir dönem
Öncelikle, Üye Devletlerin ulusal yasalarında uygulamaya koymaları gereken esas siber güvenlik gerekliliklerine ilişkin açık bir (d)evrim söz konusudur.
NIS2 Yönergesi kapsamındaki kuruluşların, sağlam siber yönetişim ve siber risk yönetimi önlemleri uygulayarak siber güvenliğe proaktif bir yaklaşım benimsemeleri gerekecektir. Bu, kapsam dahilindeki kuruluşların en azından aşağıdakileri kapsayan bir siber güvenlik programı uygulaması ve sürdürmesi gerekeceği anlamına gelir:
- Risk analizi ve bilgi güvenliği politikaları
- Olay yönetimi
- İş sürekliliği
- Tedarik zinciri güvenliği
- Ağ ve bilgi sistemleri edinimi
- Geliştirme ve bakım
- Siber güvenlik risk yönetimi önlemlerinin test edilmesi
- Temel siber hijyen uygulamaları ve siber güvenlik eğitimi
- Kriptografinin kullanımına ilişkin politikalar ve prosedürler
- İnsan kaynakları güvenliği
- Erişim kontrol politikaları ve varlık yönetimi
- Çok faktörlü kimlik doğrulama veya sürekli kimlik doğrulama çözümleri
- Güvenli ses, görüntü ve yazılı haberleşme ve acil durum haberleşme sistemleri.
Siber güvenlik programının geliştirilmesi ve uygulamaya geçirilmesi, şirketin yönetim organları tarafından denetlenmeli ve bu organlara siber güvenlikle ilgili eğitim verilerek anlamlı bir şekilde bunu yapmaları ve ek sorumluluklar almaya hazırlanmaları sağlanmalıdır.
NIS2 Yönergesi yalnızca asgari bir uyum standardı belirlediğinden, AB Üye Devletleri ulusal aktarım yasalarında daha açıklayıcı siber güvenlik gereklilikleri uygulamaya karar verebilir. Bu bağlamda, kapsam dahilindeki kuruluşların Üye Devlet düzeyinde var olan belirli gereklilikleri belirlemeleri gerekecektir. Ayrıca, AB ve Üye Devlet düzeyindeki yetkili makamlar, kuruluşun siber güvenlik risk yönetimi programının düzenleyici beklentilerini karşılayıp karşılamadığını belirlerken dikkate alınması gereken daha fazla rehberlik yayınlayabilir.
Siber yönetişim ve siber risk yönetimi önlemlerine ek olarak, NIS2 Yönergesi, ilgili Bilgisayar Güvenliği Olay Müdahale Ekiplerine veya yetkili makama ilk “erken uyarı” bildirimi için 24 saat kadar kısa zorlu son tarihlerle sıkı olay raporlama yükümlülükleri belirler. Bu olay raporlama yükümlülükleri, kapsam dahilindeki kuruluşların dahili olay işleme süreçlerini gözden geçirmelerini gerektirecektir.
NIS2 Yönergesi kapsamındaki kuruluşlar
NIS2 Direktifi, siber güvenlikle ilgili esaslı gereksinimler açısından yeni bir dönemi başlatmakla kalmıyor, aynı zamanda bu gereksinimlerin kapsamını da önemli ölçüde değiştiriyor.
NIS2 Direktifi ile AB yasama organı, Üye Devletlerin en katı yükümlülükler kapsamındaki varlıkları özel olarak belirlemesi gereken önceki yaklaşımı (eski NIS Direktifi altında) terk ediyor. Bunun yerine, NIS2 Direktifi, daha fazla Üye Devlet müdahalesine gerek kalmadan doğrudan kapsamdaki varlıkları tanımlıyor (Üye Devletlerin ek varlıkları kendi yerel NIS2 aktarım yasalarına tabi tutmaları için hala bir miktar esneklik olmasına rağmen).
NIS2 Direktifi’nin Ek I ve Ek II’sinde, orta ölçekli şirketler için belirlenen eşiğin karşılanması veya aşılması durumunda kapsam dahilinde değerlendirilecek kuruluşların iki listesi yer almaktadır.
Ek I, “” olarak değerlendirilecek kuruluş türlerini tanımlar.temel varlıklar(örneğin; enerji, ulaştırma, bankacılık, finans piyasaları, sağlık, içme suyu, dijital altyapı, B2B BİT hizmet yönetimi, kamu yönetimi ve uzay sektörlerinde faaliyet gösteren kuruluşlar).
Ek II, NIS2 Direktifine tabi olacak kuruluş türlerini şu şekilde tanımlamaktadır:önemli varlıklar(örneğin atık yönetimi, posta hizmetleri, kimyasallar ve gıda, tıbbi cihaz üreticileri, dijital sağlayıcılar ve elektronik üreticileri alanlarında faaliyet gösteren kuruluşlar).
NIS2 Direktifi, kamu elektronik iletişim ağları sağlayıcıları veya kamuya açık elektronik iletişim hizmetleri sağlayıcıları ve güven hizmeti sağlayıcıları gibi büyüklüklerine bakılmaksızın belirli kuruluşlar için de geçerli olacaktır.
Bölgesel erişim
NIS2 Direktifi, buna tabi olacak tüzel kişilerin türünü açıkça tanımlarken, bölgesel kapsamı daha belirsizdir. Bu bağlamda, Madde 2, NIS2 Direktifinin “hizmetlerini sağlayan veya faaliyetlerini AB içinde yürüten” tüzel kişilere uygulanacağını öngörmektedir.
İlk bakışta, bu, NIS2 Yönergesi’nin, AB ile tek gerekli bağın bir kuruluşun AB’de hizmet sağlaması veya faaliyet yürütmesi olduğu güçlü bir ekstraterritorial erişime sahip olduğunu gösterir. Ancak, NIS2 Yönergesi’nin bölgesel kapsamı hakkında daha doğru bir anlayışa sahip olmak için, “yargı yetkisi ve bölgesellik” bölümündeki 26. Madde de dikkate alınmalıdır. Bu Madde, NIS2 Yönergesi’nin güçlü bir ekstraterritorial erişim belirli türdeki varlıklar ve daha fazlası için sınırlı ekstraterritorial erişim Başkaları için.
Güçlü ekstraterritorial rejim (Madde 26(2 ve 3)) yalnızca DNS servis sağlayıcıları, bulut bilişim servis sağlayıcıları ve çevrimiçi pazar yeri sağlayıcıları, çevrimiçi arama motorları veya sosyal ağ servis platformları gibi sınır ötesi nitelikte hizmetler sağlayan belirli teknoloji kuruluşlarına uygulanabilir.
Bu kuruluşlar için, NIS2 Direktifinin geçerli olması için AB’de hizmet sağlamak veya faaliyet yürütmek yeterlidir, AB’de yerleşik olmasalar bile. İkinci durumda, bu kuruluşların AB’de bir temsilci belirlemeleri gerekecektir ve temsilcinin yerleşik olduğu Üye Devletin yargı yetkisi altında olacaklardır.
Sınırlı ekstraterritorial rejim diğer çoğu kuruluş için geçerlidir (elektronik iletişim ağları/hizmetleri ve kamu yönetimi için özel kurallar vardır) ve bir kuruluşun kurulduğu Üye Devletin yargı yetkisi altına gireceğini gerektirir (Madde 26(a)). Sonuç olarak, bu tür kuruluşlar AB’de kurulmamışsa, NIS2 Direktifi onlar için geçerli olmayacaktır.
Katkıda bulunan yazar: Tiago Sérgio Cabral, Ortak, Hunton Andrews Kurth