Teknoloji düzenleme ortamı, AB genelinde siber güvenliği ve dayanıklılığı artırmayı amaçlayan, daha yaygın olarak NIS2 olarak bilinen, yakında çıkacak olan Ağ ve Bilgi Güvenliği 2 Direktifi ile sürekli olarak gelişmektedir. AB Üye Devletlerinin 17 Ekim 2024’e kadar NIS2 güvenlik gerekliliklerini ulusal yasalara aktarmaları gerekiyor.
Artan dijital tehditlere ve siber saldırılardaki artışa yanıt olarak ortaya çıkan Direktif, güvenlik gerekliliklerini geliştirmeyi, tedarik zinciri güvenliğini ele almayı, raporlama yükümlülüklerini kolaylaştırmayı ve olmayanlar için uyumlulaştırılmış sonuçlar da dahil olmak üzere daha sıkı denetim önlemleri ve uygulama standartlarını uygulamayı amaçlıyor. -AB genelinde uyumluluk.
Birleşik Krallık, artık AB mevzuatına bağlı olmadığı için NIS2’yi uygulamasa da, AB içinde temel hizmetleri yürüten Birleşik Krallık işletmelerinin buna uyması ve kapsamlı tedbirleri uygulamaya şimdiden hazırlanmaya başlaması gerekecek. Direktifin kapsamına giren bu tür Birleşik Krallık şirketleri, temsilcilerini kaydettikleri üye devletin otoritesi tarafından yaptırımlarla karşı karşıya kalabilir.
Bununla birlikte, yalnızca Birleşik Krallık içinde temel hizmetlerin işletmecisi olan Birleşik Krallık’taki işletmelerin de yeni gerekliliklere tam olarak ayak uydurması gerekmektedir; çünkü Birleşik Krallık, AB NIS2’yi uygulamayacak olsa da bilgi güvenliği mevzuatını şu şekilde güncellemeyi planlamaktadır: benzer gereksinimler. Bunlar arasında, yönetilen hizmet sağlayıcılara yönelik düzenleme ve iki kademeli bir denetim rejimi yer alıyor; önerilen Birleşik Krallık NIS reformları hükümetin teknik incelemesinde özetleniyor.
Bunun ışığında, burada işletmelerin nasıl hazırlanabileceğine dair tavsiyelerle birlikte NIS2’ye genel bir bakış sunuyorum. Direktifin sıkı gereksinimlerinin çoğunun karşılanmasında ve sağlam veri korumasının sağlanmasında şifrelemenin kritik rolünü tartışacağım.
NIS2’yi Anlamak – hedefler ve hususlar
Hangi sektörlerin NIS2’ye uyması gerektiğini anlamak, Birleşik Krallık’taki işletmeler için, özellikle de AB merkezli kuruluşlarla çalışan veya onlara hizmet sağlayanlar için çok önemlidir. Birleşik Krallık şirketleri doğrudan Direktife tabi olmasa da, AB içindeki kritik altyapı ve temel hizmetlerle etkileşimde bulunan endüstrilerin, risk analizleri ve güvenlik uyumluluk raporları gibi NIS2’ye özgü belgeleri sağlaması giderek daha fazla gerekli hale gelecektir. Birleşik Krallık’taki işletmelerin hangi sektörlerin etkilendiği konusunda bilgi sahibi olması, ilgili çözümler sunmalarına olanak tanıyarak, düzenleyici talepleri karşılayarak ve güçlü ortaklıkları sürdürerek AB pazarında rekabetçi kalmalarını sağlar.
Hangi işletmeler etkilendi?
NIS2 Direktifi, temel hizmetlerin operatörleri ile dijital hizmet sağlayıcıları arasındaki ayrımı ortadan kaldırmaktadır. Kuruluşları, posta hizmetleri ve kamu yönetimi gibi ilk NIS Direktifi kapsamına girmeyen sektörler de dahil olmak üzere temel ve önemli kuruluşlar halinde sınıflandırır.
Temel varlıklar enerji, ulaştırma, bankacılık, sağlık ve dijital altyapı gibi sektörleri içerir. Önemli kuruluşlar posta hizmetlerini, atık yönetimini, kimyasalları, gıdayı ve dijital sağlayıcıları kapsamaktadır. NIS2, net bir şirket büyüklüğü eşiği getirerek bu sektörlerdeki orta ve büyük şirketler için geçerli olup önceki sürümde belirtilenlere göre daha sıkı gözetim, daha sıkı uygulama ve uyumsuzluk durumunda daha yüksek para cezaları uygulamaktadır.
NIS2 Direktifini Anlamak: 8 temel gereklilik
1. Verileri korumak için kriptografi ve şifreleme yöntemlerini uygulayın: Kuruluşlar, verileri korumak için şifreleme yöntemleri kullanmalı, verilerin yetkisiz kişiler tarafından okunmamasını ve sağlam güvenlik standartlarını karşılamasını sağlamalıdır. Altın standart sıfır bilgi, uçtan uca şifrelemedir (E2EE). Veriler gönderenin cihazında şifrelenir ve yalnızca alıcının cihazında şifresi çözülür; servis sağlayıcının içeriğe ve şifreleme anahtarlarına erişimi yoktur. Şifreleme, tedarik zinciri boyunca güvenli e-posta ve veri paylaşımı sağlayarak hem dahili hem de harici iletişimler için çok önemlidir; bu da uygun bir şekilde ikinci gereksinime yol açar.
2. Tedarik zincirlerinde veri korumasını sağlayın: Güçlü siber güvenlik uygulamalarını yalnızca şirket içinde değil, aynı zamanda tedarikçiler ve yüklenicilerle veri paylaşırken de sürdürmek, tüm işbirliği araçlarının dijital varlıkları korumasını sağlamak çok önemlidir.
3. Siber güvenlik olaylarına hazırlıklı olun: İşletmelerin veri ihlalleri ve olaylara karşı kapsamlı bir müdahale planı geliştirmesi gerekiyor. Bir olay sırasında hassas bilgilere erişimi sınırlayan yüksek güvenlikli bulut çözümleri bunda hayati bir rol oynayabilir.
4. İş sürekliliğini koruyun: Kuruluşların, kriz sırasında operasyonların devam edebilmesini sağlamak için felaket kurtarma ve yedekleme çözümleri uygulaması gerekir. Su temini ve sağlık hizmetleri gibi kritik kaynakları yönetenlerin iş kesintileri daha geniş bir topluluk üzerinde ciddi sonuçlar doğurabileceğinden bu çok önemlidir.
5. Güvenlik açığı bilgilerini güvenli bir şekilde paylaşın: NIS2, sistem açıklarına ilişkin bilgilerin gerektiğinde ilgili makamlarla ve üçüncü taraflarla paylaşılmasının önemini vurguluyor. İşbirliği siber riskleri azaltmanın anahtarı olsa da, sistem açıklarıyla ilgili ayrıntıları paylaşmak en üst düzeyde güvenlik gerektirir. Uçtan uca şifrelenmiş bir işbirliği platformu, bu gereksinime uygunluğun kolaylaştırılmasına yardımcı olabilir
6. Siber hijyeni güçlendirin: Güvenlik protokollerinin atlanmasını önlemek için tüm çalışanlara düzenli siber güvenlik eğitimi vermek ve siber güvenlik araçlarının kullanıcı dostu olmasını sağlamak hayati önem taşıyor.
7. Erişim kontrolünü ve varlık yönetimini uygulayın: Tüm donanım ve yazılımların doğru kayıtları tutulmalı ve hassas verilerin korunması için bu varlıklara yalnızca yetkili çalışanların erişimi olmalıdır.
8. Bir BT güvenliği bakım stratejisi geliştirin: Kuruluşlar, BT altyapısını düzenli olarak güncellemeli ve gelişen siber tehditlerle mücadele etmek için tüm yeni yazılımların veya dijital platformların sıklıkla yamalanmasını ve güncellenmesini sağlamalıdır.
NIS2 uyumluluğuna yardımcı olmak ve bulut işbirliğini kolaylaştırmak
Tüm platformlarda sıfır bilgili uçtan uca (E2E) şifreleme sağlayan bulut işbirliği araçları, işletmelerin NIS2’ye uyum sağlamasına ve üretkenliği sürdürmesine şu yollarla yardımcı olur:
Veriler için üstün koruma sunar: E2E şifreleme sayesinde tüm dosyalar benzersiz anahtarlarla şifrelenir ve sunucular ihlal edilse bile yalnızca yetkili kullanıcıların bu dosyalara erişebilmesi sağlanır.
Erişimi güvence altına alma: Kuruluşlar, hangi cihazların ve konumların dosyalara erişebileceğini kontrol edebilir, izinleri ayrıntılı düzeyde yönetebilir ve gerektiğinde erişimi sınırlayabilir veya iptal edebilir.
Güvenlik politikalarını uygulama: Kuruluşlar, 2 adımlı doğrulama ve IP filtreleme gibi güvenlik önlemlerini birleşik bir arayüz aracılığıyla uygulayabilir ve yönetebilir.
E-posta eklerini şifreleme: İşletmelerin, e-posta eklerini otomatik olarak şifrelemek ve bunları mevcut e-posta hesaplarını kullanan güvenli paylaşım bağlantılarıyla değiştirmek için Gmail ve Outlook ile sorunsuz bir şekilde entegre olmasına olanak tanır.
NIS2 yaklaştıkça, AB’de faaliyet gösteren Birleşik Krallık işletmelerinin siber güvenlik standartlarına uyum için hazırlık yaparak siber güvenlik yeteneklerini geliştirmeleri gerekiyor. Uçtan uca şifrelenmiş belge işbirliği araçlarının benimsenmesi çok önemli olacaktır. Birleşik Krallık NIS2’yi uygulamasa da benzer yerel siber güvenlik yasalarına hazırlanmak ve güçlü şifreleme ve risk yönetimine odaklanmak güvenliği güçlendirecek ve uyumluluğu sağlayacaktır.
Reklam