Siber saldırıların ortaya çıkışında daha önce hiç olmadığı kadar bir artış yaşandı. Şirketler bulut bilişimi, yapay zeka odaklı teknoloji çözümlerini ve IoT teknolojilerini benimsiyor ve bu da veri ihlali olasılığını artırıyor. Siber güvenlik, sistemleri yalnızca çevrimiçi saldırılara karşı korumak anlamına gelmez; aynı zamanda hassas verileri korumak ve organizasyonel hesap verebilirliği ve kuruluşlar için sağlam bir güvenlik çerçevesi sağlamak için dünya çapındaki düzenleyici kurumların giderek artan gereksinimlerine uyumu da içerir. İşletmelerin, müşteri güvenini, itibarını ve ayrıca veri ihlali risklerini korumak için bu kural ve düzenlemelere uyması gerekir.
Uyumsuzluk, şirket için ağır para cezalarına ve yasal sonuçlara yol açar. Bu nedenle siber güvenlik uyumluluğu, yani hükümet veya endüstri tarafından belirlenen güvenlik standartlarına ve düzenlemelere bağlılık şirketin geleceği için çok önemlidir. Pristine Market Insights tarafından hazırlanan bu makalede, her CIO’nun (Baş Bilgi Yetkilisi), CISO’nun (Baş Bilgi Güvenliği Görevlisi) ve güvenlik profesyonelinin gözden kaçırmayı göze alamayacağı ve farkında olması gereken önemli siber güvenlik yönergelerini vurguladık.
2025’te Küresel Siber Güvenlik Düzenlemelerinde Yenilikler:
İşte en son siber güvenlik düzenleme yönergelerinin ve 2025 için önemli hususların bir dökümü:
Temel Küresel ve Bölgesel Düzenlemeler ve Çerçeveler:
- Avrupa (AB)
- NIS2 Direktifi: Ağ ve Bilgi Sistemlerinin Güvenliğinin Sağlanması
NIS2, “Ağ ve Bilgi Güvenliği Direktifi” anlamına gelir. NIS2 Direktifi, önceki AB siber güvenlik direktifi olan NIS’in eksikliklerini gideren güncellenmiş ve genişletilmiş bir versiyonudur. Orijinal yönergedeki eksikliklerin giderilmesi için düzeltmeler yapıldı. Üye devletlerin direktifi ulusal kanun olarak kabul etmeleri için 17 Ekim 2024 tarihine kadar süreleri vardı. AB’deki kritik altyapı ve hizmetlerin operatörleri, ağ ve bilgi sistemlerinin güvenliğini artırmak için uygun güvenlik önlemlerini uygulamalı ve her türlü olayı rapor etmelidir. NIS2 toplumun hayati alanları olan daha fazla sayıda sektörü kapsamaktadır. NIS2 gereklilikleri risk yönetimi, kurumsal hesap verebilirlik, raporlama gereklilikleri ve iş sürekliliğinin dört ana alanı, NIS1’inkinden daha katıdır. Bu gerekliliklerin karşılanmaması durumunda işletme önemli para cezalarına ve yasal sorunlara maruz kalabilir.
- Dijital Operasyonel Dayanıklılık Yasası (DORA)
Dijital Operasyonel Dayanıklılık Yasası veya DORA, 17 Ocak 2025’te yürürlüğe girdi ve öncelikle finansal kurumları hedef alıyor. Daha önce, ister siber saldırılar ister teknik arızalar olsun, Bilgi ve İletişim Teknolojisi (BİT) ile ilgili sorunları ele alacak tek tip bir yöntem yoktu. Ancak DORA ile finansal kurumların kendilerini bu sorunlardan korumak için katı kurallara uymaları gerekiyor. Bankalar, sigorta şirketleri ve yatırım bankaları gibi kurumların önemli operasyonel kesintilere direnmelerini, müdahale etmelerini ve bu kesintilerden kurtulmalarını sağlamanın yanı sıra siber saldırıları önleyip azaltmalarını da sağlar.
- Siber Dayanıklılık Yasası (CRA)
Hem donanım hem de yazılım artık kötü niyetli eylemlerin ana hedefleridir. Siber Dayanıklılık Yasası, dijital unsurlara sahip ürünlerin üreticileri, ithalatçıları ve distribütörleri için geçerli olup, ürünlerinin yaşam döngüsü boyunca siber güvenliği sağlar. Bu tür ürünlerin planlanmasını, tasarlanmasını, geliştirilmesini ve bakımını düzenleyen zorunlu siber güvenlik gereksinimlerini ortaya koyar. CRA’nın siber güvenlik olaylarının raporlanmasına ilişkin düzenlemeleri 11 Eylül 2026’da başlayacak. Kanunun diğer tüm gereklilikleri 11 Aralık 2027’ye kadar uygulanacaktır. Tıbbi cihazlar, arabalar ve kendi emniyet ve güvenlik kurallarına sahip diğerleri gibi ürünler bundan muaftır. CRA’nın ardındaki temel amaç, müşterinin dijital ürünlere olan güvenini artırmak ve veri ihlallerinden kaynaklanan maliyetleri azaltmaktır.
- AB Yapay Zeka Yasası
AB Yapay Zeka Yasası çoğunlukla yapay zeka düzenlemeleriyle ilgilidir ancak siber güvenlik için de önemli çıkarımlar içermektedir. Buna göre, yüksek riskli yapay zeka sistemlerinin uygun doğruluğu, sağlamlığı ve siber güvenliği sağlayacak ve bu nitelikleri tüm yaşam döngüsü boyunca koruyabilecek şekilde tasarlanması, geliştirilmesi gerekiyor. Bu performans seviyeleri AB Komisyonu tarafından ölçülecektir. Bu yapay zeka sistemleri taraflı çıktıları önlemeli ve yetkisiz tarafların manipülasyonuna karşı güvence altına alınmalıdır. Bu madde 2 Ağustos 2026 tarihinde yürürlüğe girecektir.
- Birleşik Krallık
- Siber Güvenlik ve Dayanıklılık Yasası
Birleşik Krallık’ın Siber Güvenlik ve Dayanıklılık Yasası, ülkenin siber savunmasını iyileştirmeyi ve dijital hizmet şirketlerinin güvendiği hayati kritik altyapıların güvenli olmasını sağlamayı amaçlıyor. Bu tasarı, güçlü siber güvenlik önlemlerinin uygulanmasını sağlayacak ve siber saldırılara ilişkin daha iyi veriler için olayın hükümete rapor edilmesini zorunlu kılacak. Hükümet, Temmuz 2024’te Siber Güvenlik ve Dayanıklılık Yasa Tasarısını mevcut parlamento oturumunda sunacağını duyurdu. Ayrıntıları Nisan 2025’te yayınladılar ve 2025’te Meclis’e sunulacaklar.
- Amerika Birleşik Devletleri
- Kritik Altyapı İçin Siber Olay Raporlama Yasası
CIRCIA, siber saldırılar hakkında daha iyi ve daha hızlı bilgi alarak ülkenin siber güvenliğini geliştirmeyi amaçlayan bir ABD yasasıdır. Kritik kuruluşları, bir siber saldırıya maruz kaldıklarında veya fidye ödediklerinde hükümetin siber güvenlik kurumu Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) bildirmeye zorlayarak siber tehdit ortamının net bir resmini sunar. Raporlama gerekliliklerinin, nihai kuralların 2025’te yayınlanmasının ardından 2026’da yürürlüğe girmesi bekleniyor.
- Hindistan
- Dijital Kişisel Verilerin Korunması Kanunu
Hindistan’ın DPDP kuralları veri korumasını ve gizliliğini iyileştirmeye çalışıyor. Hindistan için siber güvenlik alanında önemli bir adım olan Dijital Kişisel Verilerin Korunması Yasası (DPDPA), 2023 kapsamına girdi. Bu yasa, bir Veri Koruma Görevlisinin (DPO) bulunmasını zorunlu kılmaktadır. CISO’ların siber güvenlik stratejilerini uyumlu hale getirmek için DPO’larla yakın işbirliği içinde çalışması gerekecek.
CISO’lar Kendilerini Nasıl Hazırlayabilir?
CIO’lar ve CISO’lar, 2025 Mali Yılı’nda mevzuat uyumluluğunun geniş kapsamını ele almak için proaktif olmalıdır. Mevzuat uyumluluğundaki değişikliklere dayalı en son siber güvenlik prosedürlerine erişim sağlayarak, iç personel ile yakın işbirliği yaparak düzenleyici çerçevenin kurumsal sonuçlarını kavrayarak ve düzenleyici tavsiyeler için danışmanlar veya hukuk danışmanlarıyla işbirliği yaparak kuruluşların önde kalmasına yardımcı olabilirler. Ayrıca ekibi ve paydaşları bu değişikliklerin etkileri konusunda bilgilendirmek de zorunludur. İşletmenin mevcut konumunu anlamak, boşlukların tespit edilmesine ve dolayısıyla buna uygun olarak uyum için bir yol haritasının geliştirilmesine yardımcı olmak açısından çok önemlidir.
Yazar Hakkında
Teja Kurane, Pristine Market Insights Pvt.’de araştırma analistidir. Ltd. Teja, gelişen düzenleyici çerçeveler ve dijital risk ortamlarının yanı sıra sağlık bilişimi sektörü hakkında derin bir anlayışa sahip deneyimli bir siber güvenlik ve pazar istihbaratı analistidir. Küresel teknoloji trendlerini ve uyumluluk zorluklarını çözme konusunda uzun yıllara dayanan deneyimiyle, CISO’lara, CIO’lara ve karar vericilere günümüzün yüksek riskli siber güvenlik ortamında güvenle gezinmelerini sağlayan keskin, araştırmaya dayalı içgörüler sunuyor. Teja’ya iş e-posta kimliğinden çevrimiçi olarak ulaşılabilir [email protected] ve şirketimizin web sitesinde https://www.pristinemarketinsights.com/