Ulusal Siber Güvenlik Ajansı (Nacsa), yeni yürürlüğe giren Siber Güvenlik Yasası 2024 kapsamında kritik altyapı listelerini yenilemeye hazırlanıyor. Nisan ayında Malezya’nın Dewan Rakyat tarafından onaylanan ve resmi olarak 26 Ağustos 2024’te yürürlüğe giren bu kapsamlı mevzuat, ulusal siber güvenliği artırmayı amaçlayan bir dizi önemli değişikliği beraberinde getiriyor.
Siber Güvenlik Yasası 2024’ün uygulanmasının bir parçası olarak Nacsa, Ulusal Kritik Bilgi Altyapısı (NCII) olarak belirlenen kuruluşların listesini gözden geçirecek ve güncelleyecektir. Nacsa İcra Kurulu Başkanı Dr. Megat Zuhairy Megat Tajuddin, yakın zamanda yaptığı bir brifingde, kurumun Ulusal Güvenlik Konseyi Direktifi No. 26’nın yönergeleri altında şu anda listelenen 299 kuruluşu yeniden değerlendireceğini vurguladı.
Siber Güvenlik Yasası 2024 ile Ulusal Kritik Bilgi Altyapısı (NCII) Listesinin Revize Edilmesi
Dr. Megat Zuhairy, Siber Güvenlik Yasası 2024 tarafından belirlenen yeni kriterlerin NCII kuruluşlarının belirlenmesinde daha fazla netlik ve kesinlik sağlamak için tasarlandığını belirtti. “Yeni kriterler daha kapsamlı ve ayrıntılı hale geldikçe NCII kuruluşlarının sayısının muhtemelen artacağını öngörüyoruz. Ayrıca, sektör başkanlarına kendi sektörlerindeki NCII kuruluşlarını tanımlama yetkisi verildi” diye açıkladı.
Siber Güvenlik Yasası 2024, ülkenin siber güvenlik çerçevesini güçlendirmeyi amaçlayan birkaç kritik önlem getiriyor. Malezya Kralı Majesteleri Sultan İbrahim tarafından 18 Haziran’da resmen onaylanan ve 26 Haziran’da resmi gazetede yayınlanan Yasa, siber güvenlik yönetimi ve müdahalesine daha sağlam bir yaklaşım emrediyor.
Siber Güvenlik Yasası 2024, siber güvenlik protokollerini geliştirmek için dört temel düzenleme getiriyor. Suçların Bileşik Hale Getirilmesine ilişkin düzenleme, belirli suçların yargısal işlemler yerine mali cezalarla çözülmesine olanak tanır. Bu yaklaşım, küçük ihlallerin ele alınmasını kolaylaştırmayı ve mahkeme sistemi üzerindeki yükü azaltmayı amaçlamaktadır.
Bir diğer önemli düzenleme olan Siber Güvenlik Olayları Bildirimi, Ulusal Kritik Bilgi Altyapısı (NCII) olarak belirlenen kuruluşların herhangi bir siber güvenlik olayını NC4 e-posta sistemi aracılığıyla derhal bildirmesini zorunlu kılar. İlk bildirimler, bir olay keşfedildikten sonraki altı saat içinde, daha ayrıntılı raporların 14 gün içinde sunulmasıyla birlikte, güvenlik ihlallerinin zamanında ve kapsamlı bir şekilde iletilmesini sağlar.
Yasa ayrıca Risk Değerlendirmesi ve Denetiminin önemini vurgular. Siber güvenlik önlemlerinin güncel ve etkili kalmasını sağlamak, olası güvenlik açıklarını yönetmek için proaktif bir yaklaşım sağlamak için düzenli risk değerlendirmeleri ve denetimleri gereklidir.
Son olarak, Siber Güvenlik Hizmet Sağlayıcılarının Lisanslanması yönetmeliği, siber güvenlik hizmetleri sunan kuruluşlar için bir lisanslama sistemi kurar. Bu sistem, yalnızca nitelikli ve yetenekli sağlayıcıların temel siber güvenlik desteğini sunmaya yetkili olmasını sağlayarak sektördeki yüksek standartları korur.
Sektöre Özel Düzenlemeler ve Gizlilik Önlemleri
Siber Güvenlik Yasası 2024, her biri ülkenin kritik bilgi altyapısı için elzem olarak tanımlanan 11 ayrı sektörü etkiler. Bu sektörler arasında hükümet, bankacılık ve finans, ulaşım, savunma ve ulusal güvenlik, bilgi ve iletişim teknolojisi, sağlık hizmetleri, su yönetimi, kanalizasyon ve atık yönetimi, enerji, tarım ve plantasyon, ticaret ve sanayi ile bilim ve teknoloji yer alır.
Dr. Megat Zuhairy, NCII listesinin gizliliğini vurgulayarak, bu kuruluşların potansiyel siber tehditlere maruz kalmasını önlemek için kamuoyuna açıklanmayacağını belirtti. Bunun yerine, yalnızca sektör başkanlarının listesi Nacsa web sitesinde yayınlanacak. “NCII kuruluşlarının listesi, siber saldırıların hedefi olmalarını önlemek için sınıflandırılmıştır” dedi.
Siber Güvenlik Yasası 2024 kapsamındaki önemli değişikliklerden biri de NCII kuruluşları için sıkı raporlama gereklilikleridir. Siber Güvenlik Yönetmelikleri’ne (Siber Güvenlik Olay Bildirimi) 2024 göre, herhangi bir siber güvenlik olayı tespit edildikten sonraki altı saat içinde NC4 sistemi aracılığıyla bildirilmelidir. İlk rapor, yetkili iletişimin adı, etkilenen kuruluş hakkında bilgi, olayın niteliği ve ciddiyeti ve keşif yöntemi gibi ayrıntıları içermelidir.
İlk raporun ardından, 14 gün içinde Nacsa’ya daha ayrıntılı bir hesap sunulmalıdır. Bu süreç, siber güvenlik olaylarının derhal ve kapsamlı bir şekilde ele alınmasını ve NCII sektörlerinin genel dayanıklılığının artırılmasını sağlamayı amaçlamaktadır.
Siber Güvenlik Yasası 2024, uygulanmasını desteklemek için çeşitli yasal hükümleri de ana hatlarıyla belirtir. Yetkili memurlara, bilgisayarlı verilere erişme, aramalar yapma ve siber güvenlik olayları hakkında ilgili bilgiye sahip kişilerin katılımını talep etme yetkileri verilir. Bu hükümler, kapsamlı soruşturmaları kolaylaştırmak ve Yasaya uyumu sağlamak için tasarlanmıştır.
Ayrıca, Kanun, müdahaleye karşı koruma ve soruşturma sürecinin bütünlüğünü sağlama önlemlerini içerir. Örneğin, yetkili memurların görevlerini yapmasını engelleyen veya engelleyen kişiler önemli para cezaları ve potansiyel hapis cezası ile karşı karşıyadır.