Bu Help Net Security röportajında, Splunk SURGe Global Güvenlik Danışmanı Mick Baccio, NIS2 Direktifinin geleneksel BT güvenliğinin ötesindeki geniş kapsamlı sonuçlarını tartışıyor. NIS2’nin siber güvenlik yönetimini nasıl temelden değiştireceğini ve onu kurumsal strateji ve hesap verebilirliğin temel bir unsuru haline getireceğini açıklıyor.
Pek çok uzman, NIS2 Direktifinin BT güvenliğinin ötesinde geniş kapsamlı sonuçlara sahip olduğunu öne sürüyor. Şirketlerin bilmesi gereken teknik olmayan spesifik gereksinimleri genişletebilir misiniz?
NIS2 Direktifi, kuruluşlar içerisinde yönetişimi, risk yönetimini ve yönetici hesap verebilirliğini vurgulayarak odağını geleneksel BT güvenliğinin ötesine önemli ölçüde genişletmektedir.
Teknik olmayan kritik gereksinimlerden biri, üst yönetimin düzenli siber güvenlik eğitimi almasıdır. Bu, liderliğin siber tehditlerle ilişkili riskleri ve bunların iş üzerindeki potansiyel etkilerini tam olarak anlamasını sağlar. Sonuç olarak siber güvenlik, yalnızca teknik bir konu olmaktan çıkıp yönetim kurulu için merkezi bir endişe haline geliyor.
Direktif ayrıca, kuruluşların olayları belirli zaman çizelgeleri içerisinde raporlamasını zorunlu kılarak katı olay raporlama gereklilikleri de getirmektedir. Ayrıca, yasal, idari ve operasyonel ekipler arasında işlevler arası koordinasyonu gerektiren ayrıntılı belgelendirme ve uyumluluk ihtiyacını vurgulamaktadır.
Ayrıca kuruluşların ilgili siber otoritelere kaydolması ve onlar tarafından denetlenmesi gerekmektedir. Bu, gözetimi ve hesap verebilirliği artırarak yönetimin siber güvenlik önlemlerine aktif olarak dahil olmasını sağlar. Genel olarak, NIS2 kapsamındaki siber güvenlik, kuruluşun stratejik operasyonlarının önemli bir parçası haline geliyor.
NIS2 Direktifinden hangi birincil sektörler ve kuruluşlar etkilenecek? Kritik altyapı sağlayıcıları üzerindeki etkiyi nasıl öngörüyorsunuz?
NIS2 Direktifi, NIS1’e kıyasla kapsamını önemli ölçüde genişleterek artık telekomünikasyon, gıda üretimi, atık yönetimi, enerji, sağlık hizmetleri ve kimyasal üretim gibi kritik sektörleri kapsamaktadır. Bu genişleme, AB çapında en az 110.000 kuruluşu etkiliyor; bu, önceki versiyona göre yedi kat daha fazla.
Toplumsal ve ekonomik istikrar için hayati önem taşıyan bu yeni sektörlerin çoğu, AB’nin siber güvenlik uyumluluk çerçevesini ilk kez karşılamada daha büyük zorluklarla karşılaşacak. Siber güvenlik savunmalarını geliştirmeli ve teknolojiye, personel eğitimine, süreç ayarlamalarına, denetimlere ve uyumluluğu göstermek için sertifikasyona önemli yatırımlar gerektirebilecek karmaşık düzenleyici çerçevelerde gezinmelidirler.
Ayrıca, tüm tedarik zincirinin güvence altına alınması ve üçüncü taraf risklerinin yönetilmesi, kaynaklar üzerinde daha fazla talep oluşturacaktır. Ancak bu zorluklar aynı zamanda kuruluşların dayanıklılığını ve güvenliğini güçlendirme, temel sistem ve hizmetlerin siber tehditlere karşı korunmasını sağlama fırsatları da sunuyor.
NIS2, AB genelinde siber güvenlik uygulamalarını nasıl uyumlu hale getiriyor? Bunu daha birleşik güvenlik standartlarına doğru olumlu bir değişim olarak mı görüyorsunuz, yoksa siber güvenlik olgunluğu konusunda ulusal farklılıklarla ilgili herhangi bir zorluk bekliyor musunuz?
NIS2, AB genelinde siber güvenlik uygulamaları için güçlü, birleşik bir temel oluşturmayı, parçalanmayı önlemeye yardımcı olmayı ve daha uyumlu bir güvenlik ortamı oluşturmayı amaçlıyor. Ancak, her üye devletin direktifi ulusal hukuka aktarma şekli arasındaki farklılıklardan dolayı zorluklar ortaya çıkacaktır. Pek çok üye devletin aktarım son tarihini kaçırmasının beklenmesi nedeniyle, geçerli gereklilikler kıtadaki kuruluşlara farklı zamanlarda açıklanacak ve ulusal yasaların kuruluşların bu gereksinimleri karşılaması için farklı zaman çerçeveleri oluşturmasını ve bunun da kademeli uyum zaman çizelgelerine yol açmasını bekliyoruz. Ayrıca, tüm hizmetler tek noktadan yargı yetkisi rejiminden yararlanamadığından, bazı kuruluşlar 27’ye kadar farklı kayıt, denetim ve icra rejimiyle karşı karşıya kalacaktır.
Olgun siber güvenlik çerçevelerine sahip işletmeler NIS2’ye geçişi muhtemelen daha sorunsuz bulacak, daha az olgun programları olan veya daha önce düzenleyici çerçevelere tabi olmayan işletmelerin ise kapanması gereken daha büyük bir uyumluluk açığı olabilir. Ek olarak, farklı ulusal rejimlere tabi kuruluşların tedarik zincirlerinde yer alan şirketlerin, akış gereksinimlerindeki bu farklılıkları yönetmesi gerekecektir.
Bu zorlukları yönetmek için kuruluşların değişen ulusal uygulamaları izlemesi, uyumluluk boşluklarını haritalaması, gereksinimleri ortak güvenlik kontrollerine ayırmanın yollarını belirlemesi ve bunları karşılamak için bir yol haritası belirlemesi hayati önem taşıyacak. Cisco’nun Bulut Kontrol Çerçevesi (CCF), çeşitli düzenleme ve standartlardaki güvenlik gereksinimlerini ölçeklenebilir bir şekilde eşleştirerek düzenleyici değişikliklerde gezinmek için yararlı bir kaynak sunar. Toplumun geniş kesimlerinin kullanımına açıktır.
Ayrıca ENISA’nın (Avrupa Birliği Siber Güvenlik Ajansı) bu ay güvenlik kontrollerini ortak standartlarla eşleştirerek kuruluşların NIS2 gereksinimlerini daha iyi anlamalarına ve karşılamalarına yardımcı olacak bir kılavuz yayınlamasını bekliyoruz.
NIS2 yönetişim ve risk yönetimine daha fazla önem verilmesini gerektirdiğinden, CISO’ların kuruluşlar içindeki stratejik karar alma süreçlerinde nasıl bir rol oynadığını düşünüyorsunuz?
NIS2 kapsamında CISO’nun rolü kurumsal liderlik içerisinde daha stratejik bir konuma yükseltilecek. Yönetişim ve risk yönetimine daha fazla vurgu yapan direktifle CISO’lar, risk değerlendirmelerinin yürütülmesinde, güvenlik açıklarının kapatılmasında ve siber güvenlik stratejilerinin daha geniş iş hedefleriyle uyumlu olmasını sağlamada önemli bir rol oynayacak. Ayrıca olaylara müdahale hazırlığının artırılmasından ve mevzuata uygunluğun denetlenmesinden de sorumlu olacaklar.
Siber güvenlik, iş sürekliliği planlamasında kritik bir faktör haline geldikçe, CISO’lar yönetim kurulu düzeyindeki kararlarda daha etkili bir söz sahibi olacak ve güvenlik kaygıları ile iş hedeflerinin dengelenmesine yardımcı olacak. Bu değişim, siber güvenliğin yalnızca verileri korumakla ilgili olmadığını, aynı zamanda uzun vadeli iş başarısını destekleyecek şekilde riskleri yönetmekle de ilgili olduğunu vurguluyor.