Bu Help Net Security röportajında, Sumo Logic Küresel Operasyon Merkezi Başkan Yardımcısı Roland Palmer, sektörler arasında siber güvenlik uygulamalarını standartlaştırmayı amaçlayan NIS2 Direktifinin temel zorluklarını ve yeniliklerini tartışıyor.
NIS2, üye şirketler için risk bilgi sistemi güvenliği, kriz yönetimi önlemleri ve siber güvenlik eğitimine ilişkin politikaları kapsayan minimum siber güvenlik gereksinimlerini zorunlu kılar.
NIS2 Direktifinin siber güvenlikte ele almayı amaçladığı önemli zorluklar nelerdir ve bu yeni direktifte hangi önemli yenilikler getiriliyor?
NIS2 Direktifi, çok çeşitli sektörler tarafından benimsenecek standart bir yaklaşım oluşturarak siber güvenlik ortamını güçlendirmeyi amaçlamaktadır. Yeni yönergeler, siber saldırıların giderek daha karmaşık hale gelmesiyle mücadele etmek için siber güvenlik önlemlerini risk temelli bir yaklaşımla birleştirmeye yönelik AB’nin mevcut NIS1 direktifinin yerini alacak. Yeni özellikler arasında kapsamlı bir düzenleyici çerçeve ve sağlık, ulaşım ve dijital olarak işletilen şirketler gibi kritik güvenlik riski oluşturan sektörler de dahil olmak üzere yeni sektörlerin eklenmesi yer alıyor.
Düzenleyici çerçeve, güvenliği standartlaştıran ve katı cezalar ve zorunlu olay raporlama gereklilikleri kullanarak gereklilikleri uygulayan bir dizi en iyi uygulamayı içerir. Yeni direktif aynı zamanda kuruluşlar arasında şeffaflığı artırmak için AB çapında bir işbirliği ve güvenlik açığı paylaşım programını da vurguluyor.
NIS2 Direktifi kuruluşlar için hangi spesifik siber güvenlik önlemlerini ve risk yönetimi stratejilerini zorunlu kılıyor ve bu önlemler genel siber güvenlik direncini nasıl artırıyor?
NIS2, tüm üye şirketler için minimum gereksinim olarak kabul edilecek çeşitli güvenlik önlemlerinin ana hatlarını çiziyor. Bu önlemler aşağıdakileri içerir:
- Risk bilgi sistemi güvenliği ve risk analizine ilişkin politikalar oluşturuldu
- Kriz yönetimi ve süreklilik önlemleri (örn. yedekleme yönetimi)
- Siber hijyen ve siber güvenlik uygulamaları ve eğitimleri
- Risk yönetimi prosedürlerinin ve etkinliklerinin değerlendirilmesi
NIS2 aynı zamanda şirketleri direktife uymaya teşvik etmek için, uyumsuzluk nedeniyle artan para cezaları ve yönetim organlarının artan sorumluluğu dahil olmak üzere yeni teşvikler de sunuyor. Bu, kuruluşlarının NIS2 gerekliliklerini karşılayamaması durumunda güvenlik liderleri ve C-seviyesi üyelerinin daha büyük bir riskle karşı karşıya kalacağı anlamına gelir.
Güvenlik protokolleri için minimum gerekliliklerin oluşturulması ve sorumluluğun şirket karar vericilerine devredilmesi, güvenlik liderleri ve ekipleri açısından riskleri artırıyor. Sonuç olarak şirketler güvenlik duruşlarını daha ciddiye alabilir ve kendilerini ve müşterilerini saldırılardan korumak için daha fazla çaba gösterebilir.
NIS2 kapsamındaki raporlama yükümlülüklerini ve bunların önceki direktiften nasıl farklı olduğunu açıklayabilir misiniz? Kuruluşlar etkili olay yönetimi ve raporlamaya nasıl hazırlanmalı?
Güvenlik liderleri için en dikkate değer güncellemelerden biri, güvenlik olayı raporlama penceresinin kısaltılmasıdır; şirketlerin artık olayın farkına vardıktan sonraki 24 saat içinde bir uyarı vermeleri gerekmektedir. Bu uyarıyı, olayın zorunlu bir açıklaması (olayın üzerinden en fazla 72 saat geçtikten sonra) ve olayın meydana gelmesinden sonraki bir ay içinde olayın kapsamlı bir açıklaması takip edecektir.
Bu yeni yükümlülükler daha sıkı ve daha az bağışlayıcıdır ve bu nedenle şirketlerin daha dikkatli ve daha güçlü güvenlik protokolleri uygulamasını gerektirecektir.
Şirketler hazırlanmak için şu üç önemli adımı atabilir:
- Mevcut riski değerlendirin: Kuruluşlar, güvenlik açıklarını belirlemek ve mevcut güvenlik durumunu değerlendirmek için dahili bir risk analizi yapmalıdır.
- Bir olay müdahale planı oluşturun: Güçlendirilmiş, tutarlı bir olay müdahale planı, şirketleri yeni NIS2 yönergelerine hazırlayacak ve onları gelen güvenlik risklerinden koruyacaktır.
- Güvenlik eğitimine ve farkındalığına öncelik verin: Bir olay durumunda ne yapacaklarını bilmeleri için çalışanları güvenlik konusunda eğitin ve bilgilendirin.
Siber güvenlik tehditlerinin küresel doğası göz önüne alındığında, NIS2 Direktifinin çok uluslu şirketler ve siber güvenlikte sınır ötesi işbirliği açısından ne gibi sonuçları var?
Siber güvenlik tehditleri coğrafi hatlarla sınırlı değildir ve NIS2 yönergeleri bunu dikkate alır. Yeni direktif, Birleşik Krallık/AB merkezli tüm şirketlerin yanı sıra bölgede hizmet sunan tüm kuruluşlar için de geçerlidir. Bu, işletmeleri fiziksel olarak Birleşik Krallık/AB’de olmasa bile şirketlerin NIS2 ve bunun sonuçları konusunda dikkatli olmasını gerektirecektir. NIS2, komplikasyonları veya yanlış anlamaları önlemek amacıyla kuruluşları uyumluluk sağlamak amacıyla birbirleriyle ve ulusal makamlarla işbirliği yapmaya teşvik eder.
Yönerge ayrıca kuruluşları bir siber saldırı veya güvenlik olayıyla karşılaştıklarında birbirleriyle ve Avrupa Birliği Siber Güvenlik Ajansı (ENISA) ile bilgi paylaşmaya teşvik ediyor. Güvenlik sektörünün güçlendirilmesine yönelik bu işbirlikçi yaklaşımın, siber güvenlik ortamı ve ilerleyen süreçleri üzerinde büyük bir etkisi olabilir.
2024’ün ötesine baktığınızda, NIS2 Direktifinin gelişimini nasıl öngörüyorsunuz ve siber güvenlik ve ilgili alanlardaki profesyonellerin gelecekte ne gibi gelişmeleri beklemesi gerekiyor?
NIS2 Direktifi, siber güvenlik topluluğunun mevcut küresel tehdit ortamına yanıt verme konusundaki kapsamlı ihtiyacına değinmektedir. Güvenlik uzmanları, dijital tehditlerin her geçen dakika gelişip arttığını ve siber güvenlik sektörünün gelecekteki başarısı için NIS2 gibi düzenlemelerin gerekli olduğunu anlıyor. Ayrıca yapay zeka ve kuantum bilişim gibi ileri teknolojilerin yükselişi güvenlik ortamını dönüştürecek ve bunun sonucunda modern tehditlerin hızına ayak uydurmak için yeni ve güncellenmiş düzenlemelere ihtiyaç duyulacak.
NIS2’nin sıkılaştırılmış raporlama süreci, güçlendirilmiş güvenlik önlemi gereklilikleri ve güvenlik liderlerinin artan sorumluluğu ile NIS2, daha tek biçimli ve daha verimli bir güvenlik sektörüne doğru atılmış bir adımdır. Bu, SEC’in de 2023’te yeni yönergeler uygulamasıyla birlikte düzenleyici kurumların güvenlik protokollerini iyileştirmek için adım atması yönündeki potansiyel bir eğilime işaret ediyor ve diğer ülke ve birimlerin de aynı şeyi yaptığını görmeye başlayabiliriz.