Ağ ve Bilgi Güvenliği (NIS) 2 Direktifi muhtemelen Avrupa’da şimdiye kadarki en önemli siber güvenlik düzenlemelerinden biridir. 27 AB Üye Devleti, güvenlik koşullarını güçlendirmek ve siber saldırılar hakkında daha kısa teslim tarihleriyle daha düzenli raporlama yapmak için artan gereklilikler getiren NIS2’ye uymak için gerekli standartları benimsemek ve yayınlamak için 17 Ekim 2024’e kadar süreye sahiptir.
NIS2 direktifinin kapsamı önemli ölçüde genişletilmiştir: Bazı ülkelerde, kapsanan kuruluş sayısı yaklaşık 30.000’e çıkacaktır – daha önce yalnızca 3.000’i etkileyen NIS1’e kıyasla. Ayrıca, standartları karşılamayan kuruluşlar için çok daha büyük sonuçlar vardır, örneğin son tarihlere uyulmaması durumunda ağır para cezaları ve bu işletmeleri temsil eden C-suite liderleri için kişisel sorumluluk.
Ancak işletmeler bu yeni uyumluluk dönemine hazırlanırken şu soru sorulmalıdır: NIS2’nin kıta genelinde siber güvenlik inovasyonu üzerinde nasıl bir etkisi olacak? Siber yatırımlarda bir artış görüp yeni bir çözüm dalgası mı başlatabiliriz? Ya da diğer yandan, düzenlemenin yoğunluğu inovasyonu engelleyip şirketleri sürekli bir yakalama oyununa mı zorlayabilir?
Gelişmiş düzenlemeye ihtiyaç var
Daha sıkı siber güvenlik önlemlerine duyulan ihtiyaç yadsınamaz. Palo Alto Networks’ün son IDC araştırmasına göre, EMEA ve LATAM genelindeki CISO’ların yalnızca %28’i olay müdahale planlarını düzenli olarak test ediyor.
Bu, özellikle üretken yapay zeka nedeniyle tehdit manzarasının hızla evrildiği bir zamanda geliyor. Örneğin, Palo Alto Networks’ün 42. Birimi yakın zamanda kötü niyetli kişilerin sadece 14 saatte 2,5 terabayt veri çıkardığını ve daha önce hiç görülmemiş bir verimlilik seviyesi gösterdiğini gözlemledi. Bu istatistikleri göz önünde bulunduran Avrupa Komisyonu, çığır açan düzenlemesinin siber dayanıklılığın sonradan akla gelen bir şey olmaktan çıkıp kurumsal kültürün temel bir unsuru haline gelmesini sağlamasını umuyor.
Yeniliğin katalizörü mü yoksa karşıtı mı?
Eleştirmenler, NIS2 direktifinin potansiyel olarak “aşırı düzenlemeye” doğru çok ileri gittiğini, çünkü direktifte yer alan bazı kuruluşların “kritik” öneme sahip olmadığı iddiasında bulundu. Sıkı düzenleyici hükümler ve uyumsuzluk için ceza olasılığı, kuruluşları siber güvenliğe yönelik yaklaşımlarında ihtiyatlı olmaya itebilir; bu yaklaşım, tehdit ortamının daha hızlı evrildiği ve daha karmaşık hale geldiği bir dünyada artık amacına uygun olmayabilir.
Örneğin, işletmeler daha yeni, AI destekli tespit sistemleri daha kesin tehdit tanımlaması sunabilse bile yaygın olarak kabul görmüş eski teknolojileri kullanmayı tercih edebilir. Neyse ki, NIS2 Direktifi – gerekçelerinde – önemli ve temel kuruluşları “yeteneklerini ve ağ ve bilgi sistemlerinin güvenliğini artırmak için yapay zeka veya makine öğrenimi sistemleri gibi siber güvenliği artıran teknolojilerin entegrasyonunu sürdürmeye” çağırıyor.
Önceden veya sonradan risk önlemleri
Akademisyen Donald David Stewart Ferguson, NIS2 Direktifinin sınırlı etkililiğinin temel olarak siber güvenlik risk yönetimi önlemlerinin dar kapsamına bağlı olduğunu, buna siber saldırının keşif aşamasına odaklanan özel önlemlerin bulunmaması da dahil olduğunu savunuyor.
Avrupa Komisyonu’nun 2024 yılı sonlarında yayınlayacağı Uygulama Yasası’nda, kurumların ağlarındaki kötü niyetli davranışları bir olay meydana gelmeden önce tespit etmek için hangi önleyici adımları atmaları gerektiği konusunda daha fazla rehberlik sağlaması umuluyor.
Makine öğrenimi ve yapay zekayı kullanan teknolojiler, önleyici tedbirlerin uygulanmasına yardımcı olabilir ve bu nedenle AB üye ülkelerinin NIS2 uygulama yasaları tarafından uygulanması teşvik edilmelidir.
Ayrıca, NIS2’nin AB Üye Devletleri genelinde tek tip siber güvenlik standartlarına ve raporlama görevlerine vurgu yapması, belirli kurumsal gereksinimlere ve zorluklara göre özelleştirilmiş siber güvenlik uygulamalarında uyarlama ve yeniliği caydırabilir. Örneğin, finansal hizmetler sektörünün siber güvenlik ihtiyaçları, her ikisi de NIS2 kapsamına giren posta hizmetlerinin ihtiyaçlarından çok farklıdır.
Finansal hizmetler, doğrudan finansal istikrarı etkileyen ve daha yüksek güvenlik yatırımı seviyeleri ve sıkı düzenleyici uyumluluk gerektiren tehditlerin daha karmaşıklığı ve ciddiyetiyle karşı karşıyadır. Posta hizmetleri doğrudan finansal işlemleri aynı ölçekte ele almayabilir ancak yine de kişisel verileri korumak ve operasyonel hizmetlerinin sürekliliğini sağlamak için sağlam güvenlik önlemlerine ihtiyaç duyar. Elbette, siber güvenlikle ilgili sektöre özgü yasalar zaten mevcuttur ancak işletmelerin gerçek bütünsel siber güvenliğe ulaşabilmeleri için özel bir yaklaşım benimsemeleri gerekir.
Mevcut siber güvenlik düzenlemeleri kritik güvenlik zorluklarını ele almakta yetersiz kalmaktadır. NIS2 tarafından önerilen gibi daha evrensel olarak katı bir yaklaşım bir çözüm sağlayabilir. İyi tanımlanmış çerçevesi, kuruluşlara uyumluluk için net bir yol haritası sağlayarak daha fazla pazar kesinliği aşılamak için çalışacaktır. Bu yaklaşım, NIS2’ye bu standartları karşılayan ve bireysel kuruluşlara uygun yenilikçi çözümler geliştirmeye yatırımı teşvik etme potansiyeli verir.
Düzenleme yoluyla inovasyonu teşvik etmek
NIS2’nin siber güvenlik sektöründe inovasyonu yönlendirmesinin birkaç yolu vardır. İlk olarak, daha geniş bir yelpazedeki varlıkları ve sektörleri kapsayan NIS2’nin daha geniş kapsamı, siber güvenlik çözümleri ve hizmetleri için önemli ölçüde daha büyük bir pazar yaratacaktır. Talepteki bu artış, şirketler gelişen ihtiyaçlara hitap eden çözümler geliştirmek için yarışırken dönüşüm için güçlü bir katalizör görevi görebilir.
Büyük bir dönüşüm, uç noktalar, ağlar ve bulut ortamları arasında kapsamlı bir siber durum resmi oluşturamayan birden fazla, izole teknolojiyi yamalamak yerine teknolojilerin ve veri kaynaklarının entegrasyonunu ve konsolidasyonunu destekleyen bir siber yaklaşımın benimsenmesi olacaktır. Bu şekilde işletmeler tehditlere yönelik görünürlüklerini artırabilir, bunları tespit edebilir ve daha hızlı hareket edebilir.
Bu yaklaşım ayrıca işletmelerin siber güvenlik operasyonlarını kolayca ölçeklendirmelerine ve çoğu zaman manuel olarak gerçekleştirilen birçok görevi otomatikleştirmelerine olanak tanır; bu da tüm kuruluşta NIS2 ile uyumlu olduklarından emin olmalarına yardımcı olur. Dahası, işletmeler tek bir pencereden görünürlük ve gerçek zamanlı uyarılar sayesinde NIS2 kapsamındaki daha kısa raporlama son tarihlerini karşılamada çok daha etkili olacaktır.
NIS2’nin uyumluluk gerekliliklerini karşılamak, gelişmiş tehdit algılama ve olay yanıtlama yetenekleri gibi yeni siber güvenlik teknolojilerinin ve uygulamalarının benimsenmesini de gerektirecektir. Örneğin, otomasyon ve yapay zekayı entegre eden gelişmiş olay yanıtlama platformları, güvenlik olaylarına yanıt vermek için gereken zamanı ve kaynakları önemli ölçüde azaltabilir ve eylemlerin tutarlı ve en iyi uygulamalarla uyumlu olmasını sağlayabilir. Yapay zeka ayrıca gelişmiş güvenlik hizmetleri sağlayabilir, örneğin karmaşık web tabanlı tehditleri, sıfırıncı gün tehditlerini, kaçamak komuta ve kontrol saldırılarını ve DNS ele geçirme saldırılarını önlemek için filtreleme ve tehdit önlemeyi kullanabilir.
Son olarak, NIS2 uyumluluğuna ulaşma ortak hedefi, kuruluşlar, endüstri paydaşları ve düzenleyici kurumlar arasında iş birliğini ve bilgi paylaşımını teşvik edecektir. İş birliği, inovasyonun ayrılmaz bir parçasıdır ve en iyi uygulamaları, bilgiyi ve yeni teknolojileri paylaşmak siber güvenlik alanında önemli ilerlemelere yol açabilir.
Yeni fırsatların kilidini açın
Özellikle ağır para cezaları ve kişisel sorumluluk yaptırımlarının getirilmesiyle birlikte, işletmelerin NIS2 gerekliliklerini karşılama konusunda endişeleri olduğu açıktır.
Ancak siber güvenlik sektöründeki inovasyon potansiyeli yadsınamaz. NIS2 tarafından yaratılan geniş yeni pazar, işbirliği ve bilgi paylaşımına vurgu ile birleştiğinde, bildiğimiz şekliyle genel manzarayı dönüştürmeye hazırlanan siber güvenlik sektöründe yaratıcılığın önünü açacaktır.