Ekim 2024’te yürürlüğe girmesi beklenen Ağ ve Bilgi Sistemleri Direktifi (NIS2), Avrupa Birliği’nde (AB) siber dayanıklılığı artırmayı amaçlıyor. Etkileri muhtemelen daha geniş kapsamlı olacak, daha sıkı süreçler ve kontroller getirecek ve ülke açısından kritik kabul edilen kuruluşlara hizmet sağlama şeklimizi yeniden tanımlayacak.
Zorunlu direktif, doğrudan sorumlu tutulabilecek ve gelecekte benzer pozisyonlarda bulunmalarının engellenebileceği, hem iş dünyası hem de üst düzey yönetim kurulu personeli için uyumsuzluk halinde katı cezalar içeren dişlere sahip olacaktır. Ayrıca üye devletler arasındaki istihbarat paylaşımını artırmayı ve tedarik zinciri güvenliğini artırmayı da hedefliyor. Bu son önlem, direktifin küresel bir etkiye sahip olduğunu gösterecektir.
NIS2’nin kapsamı önceki modele göre çok daha geniştir: artık bir üye ülkede önemli veya önemli bir role sahip olduğu kabul edilen küçük ve mikro işletmeler de dahil olmak üzere tüm işletmeler kapsanmaktadır. Ancak, AB’ye hizmet sağlayan AB dışındaki kişiler de dahil olmak üzere, kendi yetki alanı dışında kalanlar, ortaklık yoluyla bu kurallara uymak zorunda kalabilirler.
Tedarikçiler devreye girecek
Madde 21 uyarınca kuruluşların siber güvenlik risk önlemlerini uygulamaya koyması gerekmektedir ve Bölüm 21(2)(d) tedarik zinciri güvenliğine özeldir. Tedarikçilere, hizmet sağlayıcılara ve bunların siber güvenlik çözümlerine ve süreçlerine özgü güvenlik açıklarını belirlemek için dahili ve koordineli risk değerlendirmeleri yürütme ihtiyacını ayrıntılarıyla anlatıyor. Dolayısıyla, önemli veya temel olarak sınıflandırılan ve AB’de yerleşik bir işletmeye satış yapan, operasyonel açıdan kritik ürün veya hizmetlerin AB merkezli olmayan bir sağlayıcısı kapsam dahilinde olacaktır.
Alıcıların ve sağlayıcıların bu risk değerlendirmelerinin yanı sıra olay raporlama prosedürleri gibi NIS2 ile ilgili diğer unsurları gelecekteki sözleşmelere dahil etmelerini bekleyebiliriz. Bir ihlalin hemen ardından zorunlu bir erken uyarı içeren ve 24 saat içinde ilgili makama iletilmesi gereken katı raporlama yükümlülükleri bulunmaktadır. Tam bildirim raporunun 72 saat sonra, nihai raporun ise bir ay sonra sunulması gerekmektedir.
Bununla birlikte, daha önce NIS1’e tabi olmayanlar için uyumluluk maliyetinin %22 oranında artabileceğini öne süren raporlar nedeniyle, ek önlemlerin uygulanması maliyetli olabilir. Peki NIS2’yi karşılamaya hazırlanmak zorunda olan kuruluşlar harcamaları nasıl kontrol edebilir?
Diğer standartlar aracılığıyla uyumluluğun sağlanması
İlk olarak, NIS2 geniş kapsamlı olup risk yönetimini, en iyi siber güvenlik uygulamalarını ve iş sürekliliği/felaket kurtarma (BC/DR) unsurlarını kapsasa da, BGYS (bilgi güvenliği yönetim sistemi) gibi çeşitli gereksinimleri içerir. kuruluşun diğer standartlar uyarınca uyması.
Gereksinimlerin çoğu siber güvenlik ve risk standardı ISO27001 ile, geri kalanı ise BC/DR standardı ISO22301 ile eşleştirilebilir. Aynı zamanda IT/OT ortamlarına sahip olanlar da örneğin IEC62433’ü kullanabilir. Siber güvenlik veya olaylara müdahale ile ilgili olarak DORA veya PSD2 gibi bir AB yasal düzenlemesinin hâlihazırda uygulanmakta olduğu durumlarda, bu kararın öncelikli olduğunu, dolayısıyla aynı çabayı tekrarlamaya gerek olmadığını belirtmek de önemlidir.
Benzer şekilde, tekerleğin yeniden icat edilmesine gerek kalmadan, mevcut sistemler kullanılarak birçok kontrol gerçekleştirilebilmektedir. Güvenlik ve olay olay yönetimi (SIEM), örneğin merkezi günlük yönetimi ve olayları tespit etme ve bunlara yanıt verme yeteneği sağlamak için bir önkoşuldur. Yeni nesil SIEM’e sahip olmayan işletmeler, bu yeteneği yönetilen bir güvenlik hizmetleri sağlayıcısı (MSSP) aracılığıyla dış kaynaklardan sağlamayı tercih edebilir.
Neye ihtiyaç duyulduğunun belirlenmesi, halihazırda yürürlükte olan mevcut güvenlik önlemlerine göre NIS2 gerekliliklerinin yakından incelenerek boşluk analizi yapılmasını gerektirecektir ve ekstra ayak çalışması gerektiren bazı alanlar olacaktır.
Örneğin, teknoloji açısından bakıldığında, kriptografi ve şifreleme, NIS2’de belirli kontrollerle ilişkili olmaktan ziyade kendi başlarına önemli bir odak noktasıdır. Stratejik olarak, üst düzey yönetimin işletme genelinde risk farkındalığına öncülük etme rolüne de daha fazla vurgu yapılıyor. Ayrıca, NIS2 kısmen risk bazlı bir düzenleme olduğundan, ISO27001’e benzer şekilde değerlendirmelerin sürekli olarak gerçekleştirilmesini gerektirecektir.
NIS2 neden gereklidir?
NIS2 tartışmasız önemli bir dönüm noktasıdır ve ulusal çıkarlara yönelik büyüyen siber tehdide karşı bir yanıttır. Rusya’nın Ukrayna’yı siber silahları test etmek için bir siber menzil olarak kullandığını ve ulus devlet destekli saldırıların arttığını, APT’lerin çoğunluğunun artık Rusya, Çin, İran veya Kuzey Kore’ye atfedildiğini gördük.
Bu arada FBI Eylül ayında, dalgalanan enerji fiyatlarının ABD’deki kritik ulusal altyapı artışına yönelik saldırılara yol açabileceği ve piyasaların ne kadar birbirine bağımlı olduğunu ortaya çıkarabileceği konusunda uyardı.
Peki, NIS2’nin zamanın bir işareti olduğu göz önüne alındığında, başka bir yerde benimsenmesi muhtemel mi? NIS1’e uymaya devam eden Birleşik Krallık’ta, hizmet verdikleri kritik işletmeleri korumaya yardımcı olmak için düzenlemelerin yönetilen hizmet sağlayıcıları (MSP’ler) kapsayacak şekilde genişletilmesi gibi değişiklikler yapılmış olmasına rağmen, NIS2’nin kelimesi kelimesine benimsenmesinin pek mümkün olmadığı düşünülüyor. . Bununla birlikte Birleşik Krallık hükümeti, NIS düzenlemelerinin etkili kalmasını sağlamak için gelecekte değişiklik yapma yetkisini de kendisine verdi.
NIS2’nin, tıpkı GDPR’nin veri koruma düzenlemeleri konusunda olduğu gibi, ülkelere ekonomileri için kritik öneme sahip kuruluşları nasıl koruyacaklarına dair bir plan sunan bir öncü haline geldiğini görebilirdik. Yönerge, güvenlik açısından çıtayı daha yükseğe koyuyor, etkili bir şekilde yeni bir minimum temel oluşturuyor ve bir siber saldırının bir devletin işlevselliğini ciddi şekilde etkilemesini çok daha zorlaştıracak daha hızlı yanıt raporlaması sağlıyor. Bu iddialı bir girişim ve yalnızca AB içindekiler için değil, geniş yankı uyandıracak bir girişim.