Kritik Altyapı Güvenliği, Devlet, Sektöre Özel
Avrupa Komisyonu 23 AB Üye Devletine Karşı İhlal Prosedürü Başlattı
Akşaya Asokan (asokan_akshaya) •
29 Kasım 2024
Avrupa Komisyonu Perşembe günü, ticaret bloğundaki kritik altyapı dayanıklılığını güçlendirmek için tasarlanan iki önemli siber düzenlemeyi uygulamadıkları için 20’den fazla üye ülkeye karşı ihlal prosedürlerini başlattı.
Ayrıca bakınız: FedRAMP ve StateRAMP’ı Anlamak
Komisyonun aldığı önlemler, aralarında Almanya, Fransa, İrlanda ve diğer 20 Avrupa Birliği üye devletinin de bulunduğu ülkeler, Avrupa Birliği Ağ ve Bilgi Güvenliği Direktifi’ni (NIS2) ulusal hukuka aktarmak için 17 Ekim’deki son tarihi kaçırdıktan sonra geldi (bkz.: Çoğu AB Ülkesi Yaklaşan NIS2 Son Tarihini Kaçıracak).
NIS2 Direktifi, finans, enerji, sağlık, uzay, BT ve kamu yönetimi dahil olmak üzere bir dizi kritik sektörde faaliyet gösteren kuruluşlara siber güvenlik risk yönetimi ve olay raporlama yükümlülükleri getirmektedir.
Avrupa Komisyonu, “Komisyon bu nedenle 23 üye ülkeye resmi bildirim mektupları gönderdi.” dedi. “Artık iki ay içinde cevap vermeleri, direktifin uygulamasını tamamlamaları ve tedbirleri komisyona bildirmeleri gerekiyor. Aksi takdirde komisyon bu ülkelere gerekçeli görüş gönderme kararı alabilir.”
Ülkelerin iki ay içinde yeterli yanıt vermemesi halinde Avrupa Komisyonu konuyu Adalet Divanı’na taşıyabilecek. Mahkeme bir uyum emri çıkarabilir ve eğer ülkeler hala uymazlarsa ceza verebilir. Yetkililer, bu tür davaların çoğunun mahkemeye sevk edilmeden çözüldüğünü söyledi.
Komisyon aynı zamanda, Kritik Varlıklar Direnç Direktifi kapsamında zorunlu kılınan, kritik altyapıya yönelik riskleri değerlendirmelerini gerektiren Ekim ayı ortasındaki ayrı bir süreyi kaçırdıkları için aralarında Almanya’nın da bulunduğu 24 üye ülkeden yanıt bekliyor.
Yeni direktif, kritik sektörlerin sayısını 2’den 11’e çıkarıyor.
“Direktif, kritik altyapıların ve kritik kuruluşların bir dizi tehdide karşı dayanıklılığını güçlendirerek enerji, ulaştırma, sağlık, su, bankacılık ve dijital altyapı gibi kilit sektörlerde toplumumuz ve ekonomimiz için hayati hizmetlerin sağlanmasını güvence altına alıyor, Avrupa Komisyonu, “doğal afetler, terör saldırıları, içeriden gelen tehditler veya sabotajlar dahil” dedi.
NIS2 Uygulama Gecikmesi
NIS2 cephesinde AB, direktifin “AB genelinde yüksek düzeyde siber güvenlik sağlamayı amaçladığını” söylüyor.
Şu ana kadar yalnızca altı ülke (Belçika, Hırvatistan, Yunanistan, Macaristan, Letonya ve Litvanya) NIS2’yi ulusal mevzuatına aktardı.
Alman federal hükümeti, önerilen NIS2 ulusal yasa tasarısını Temmuz ayında onayladı, ancak teklife ilişkin ilk parlamento tartışması, son uygulama tarihinden yalnızca bir hafta önce gerçekleşti. Benzer şekilde, Fransız Parlamentosu da milletvekilleri arasında siyasi fikir birliğinin bulunmadığı bildirildiği için bir yönetmelik taslağını henüz tamamlamadı.
Ekim son tarihini kaçıran ülkelerin çoğu, direktifi Mart 2025’e kadar uygulamaya hazır olacaklarını söyledi.
NIS2 Direktifi, kritik sektörleri büyüklük, sektör ve kritikliğe göre “temel” ve “önemli” olarak sınıflandırır. Yönetmelik, AB üye ülkelerindeki icra kurumlarının güvenlik denetimleri yapmasını, ihlallere ilişkin uyarılar yayınlamasını ve siber güvenlik olaylarını 24 saat içinde raporlamasını tavsiye ediyor. Ulusal siber güvenlik acil müdahale ekiplerinin siber tehditler, güvenlik açıkları ve olaylarla ilgili bilgileri paylaşması gerekmektedir.
Düzenlemenin herhangi bir şekilde ihlali, önemli olarak tanımlanan kuruluşlara 10 milyon avroya (10,6 milyon dolar) veya küresel yıllık gelirlerinin %2’sine (hangisi daha büyükse) mal olabilir. Önemli hizmetler için azami ceza 7 milyon euro (7,4 milyon dolar) veya kuruluşun küresel yıllık gelirinin %1,4’ü kadardır.