Birçok açıdan, Kral’ın Konuşmasında duyurulan Siber Güvenlik ve Dayanıklılık Yasa Tasarısı uzun zamandır bekleniyordu. Yasa Tasarısı, “İngiltere’de acil bir güncelleme” olarak tanımlanıyor ve iki yıl önce yapılan Ağ ve Bilgi Güvenliği (NIS) düzenlemelerinin gözden geçirilmesinin ardından geliyor. Konuşma, NIS kapsamına giren temel hizmet operatörlerinin yalnızca yarısından biraz fazlasının, yürürlüğe girdiği 2018’den bu yana politikalarını ve süreçlerini güncellediğini veya güçlendirdiğini ortaya koydu. Kıtada ayrıca NIS’in revize edilmesi gerektiği konusunda artan bir farkındalık vardı ve bu da AB’yi Ekim ayında yürürlüğe girmesi planlanan NIS2’yi taslak haline getirip onaylamaya yöneltti.
Yasa tasarısı, kritik altyapı ve dijital hizmetlerin bu hizmetleri ve tedarik zincirlerini koruyarak güvenli olmasını sağlayarak İngiltere’nin siber savunmasını güçlendirmeyi amaçlıyor. NIS2 ile ortak bir zemin paylaşması bekleniyor ancak aynı zamanda belirgin şekilde eksik olan bazı unsurlar da var. Bu farklılıklar, Yasa Tasarısı’nın Avrupa’daki muadili kadar külfetli olmadığı anlamına gelebilir ancak aynı şekilde onu daha az etkili hale getirme riski de taşıyor. Peki, benzerlikler ve farklılıklar nelerdir?
Öncelikle, kapsam sorunu var. NIS2, kendi ekonomilerinin istikrarı için önemli veya elzem olarak sınıflandırılan iki tür kuruluşu kapsayan selefinden çok daha fazla kuruluşa uygulanacaktır. Uygulandığı dikeylerin sayısı yediden 17’ye iki katından fazla artacak ve 160.000’den fazla kuruluşu etkileyecektir. Ayrıca, çoğunlukla 50 veya daha az çalışanı olanlar hariç olmak üzere bazı KOBİ’lere de uygulanacaktır.
Buna karşılık, İngiltere Tasarısı daha fazla dijital hizmeti ve tedarik zincirini korumaya odaklanacak ve daha az spesifik olduğundan, kapsam dahilindeki beş sektörün (ulaşım, enerji, içme suyu, sağlık ve dijital altyapı) ve dijital hizmet sağlayıcılarının (çevrimiçi pazar yerleri, arama ve Bulut Hizmet Sağlayıcıları) ötesine geçip geçmeyeceğine dair gerçek bir gösterge yok, ancak o zamandan beri MSP’ler eklendi. Bu kapsam, çok hizmet odaklı olan İngiltere’nin doğasından kaynaklanıyor olabilir, önceki hükümet reformların ülke ekonomisine göre uyarlanacağını belirtmişti.
Daha fazla ortak nokta ise olay raporlamasına verilen önemin artmasıdır. Yasa, fidye yazılımları da dahil olmak üzere saldırıların türünü ve doğasını genişleterek olay raporlamasını zorunlu kılacaktır. Bunun, hükümetin tehditler ve bunların nasıl geliştiği konusunda daha doğru verilere erişmesini sağlayarak bir miktar öngörü sağlaması beklenmektedir. Ancak, Yasa, önemli kuruluşlar için önemli saldırılar açısından 24 saat içinde veya 72 saat içinde erken uyarı yapılması gerektiğini öngören NIS2’nin aksine, söz konusu süreci henüz detaylandırmamıştır. Resmi açıklama 72 saat içinde ve tam rapor bir ay içinde yapılmalıdır.
Tasarıda ayrıca, uygulanması gereken güvenlik kontrolleri konusunda ayrıntılara yer verilmiyor; NIS2 ise siber güvenlik sertifikasyonu, şifreleme ve açık kaynaklı siber güvenlik ürünlerinin kullanımı, siber güvenlik konusunda farkındalık eğitimi ve risk yönetimi önlemleri gibi BT ürünleri ve hizmetleri için gereklilikleri belirliyor.
Ek olarak, üst düzeyde kişisel hesap verebilirlik için de hükümler içerir. C-suite ve Yönetim Kurulu, işletmenin risk duruşunun denetimine sahip olmalı, bu konuda eğitim almalı ve risk yönetimi kontrolleri uygulamalıdır. Bir ihlal durumunda, bu üst düzey personelin denetimi sürdürmede ve/veya bir olayı doğru şekilde ifşa etmede başarısız olduğu yargılanırsa, sorumlu tutulabilir ve gelecekte benzer pozisyonlarda bulunmalarının engellenmesine yol açabilir.
Bireyleri sorumlu tutma hamlesi, SEC’nin geçen yılın Temmuz ayında ifşa kurallarını sıkılaştırdığı ABD gibi diğer yargı bölgelerinde gördüğümüz bir şeydir. Ve yine de Tasarı, şimdiye kadar benzer bir girişimden bahsetmedi. Bu, korkuları yatıştırmak ve bir CISO göçünü önlemek için olabilir. Gartner, CISO’ların %25’inin işyeri baskısı nedeniyle 2025 yılına kadar sektörü terk etmesinin muhtemel olduğu konusunda uyardı ve İngiltere, siber güvenlik beceri eksikliklerinden en çok etkilenen yer – bir ISC2 raporu, siber güvenlik iş gücü açığının geçen yıl neredeyse %30 arttığını ve Avrupa’daki en yüksek seviye olduğunu gösterdi.
Yasa tasarısının, çabalarını finanse etme planları olan uygulama amaçları için daha fazla düzenleyiciyi bünyesine katması beklenirken, uyumsuzluk cezalarının ne olacağını henüz bilmiyoruz. NIS2 kapsamında, kuruluşlara temel kuruluşlar için 10 milyon avro veya küresel yıllık gelirin %2’si (hangisi daha yüksekse) ve önemli kuruluşlar için 7 milyon avro veya küresel yıllık gelirin %1,4’ü (hangisi daha yüksekse) para cezası verilebilir. Bu tür para cezaları tehdidi, şüphesiz kapsamdakiler için gereklilikleri karşılamaya yönelik gerçek bir teşvik görevi görecektir, ancak cezaların ayrıntılandırılmaması Birleşik Krallık Yasa Tasarısını etkisiz hale getirebilir mi?
Şimdiki sorun, birçok işletmenin her iki düzenleme setine de bakacak ve kafaları karışmış bir şekilde kafalarını kaşıyacak olmasıdır. Yasa tasarısının NIS2’nin yörüngesini izleyeceğini ve buna göre hazırlıklar yapacağını mı varsaymalılar yoksa daha hafif bir dokunuşa sahip olmaya devam edeceğini ve hatta kendileri için geçerli olmayabileceğini mi varsaymalılar? NIS2’nin önemli bir uyumluluk yükü getireceğine şüphe yok; bir rapora göre yıllık maliyeti 31,2 milyar avronun üzerinde olacak.
Sonra her iki düzenleme setine de uyması gerekenler, yani müşterilere tedarik yapan veya kıtada ofisi olan kuruluşlar sorunu var. Uyumluluk çabalarını uyumlu hale getirmek ve ölçek ekonomisi elde etmek için burada incelediğimiz ortak noktaları arayacaklar. Bunu yapmak için Siber Güvenlik ve Dayanıklılık Yasası ve gereklilikleri konusunda acilen netliğe ihtiyaçları var ve bunu Parlamento yeniden toplandığında umarız bekleyebiliriz.
Yasa Tasarısı yumuşak, yumuşak bir yaklaşım mı yoksa NIS2 tarafından benimsenen daha kuralcı bir yaklaşım mı benimsemeye devam edecek, bildiğimiz şey her iki düzenlemenin de siber güvenlik risk yönetimi ve olay müdahalesi söz konusu olduğunda çıtayı yükselteceğidir. Bu, bunları iyileştirmeye yönelik herhangi bir yatırımın daha etkili tehdit tespiti ve savunmayı güçlendirmeyle sonuçlanacağı ve bunun da nihayetinde bir olay olasılığını azaltacağı ve azaltma ile ilişkili maliyetleri düşüreceği için memnuniyetle karşılanmalıdır.