Birçok şirket AB NIS2 direktifinin yeni baskısından etkilenmektedir. Bu, kritik altyapıların siber güvenliğine yönelik minimum gereksinimleri artırır. Firmaların iyi hazırlanması gerekiyor.
Kritik altyapılara yönelik siber saldırılar özellikle tehlikelidir. Bu nedenle AB, 2016 yılında Ağ ve Bilgi Güvenliği (NIS) Direktifinde minimum siber güvenlik gerekliliklerini tanımladı. Şimdi bunun yerini yeni bir baskı alıyor. NIS16 direktifi 2023 Ocak 2'ten bu yana yürürlükte ve AB üye devletlerinin bunu ulusal kanunlarına dahil etmeleri için Ekim 2024'e kadar süreleri var. Almanya'da bu, şu anda ikinci taslak olarak mevcut olan NIS2 Uygulama Yasası aracılığıyla yapılmaktadır. BT Güvenlik Yasası ve KRITIS Yönetmeliğinde değişiklikler bekleniyor. Artık birçok şirket NIS2'nin kendileri için ne anlama geldiğini merak ediyor.
Güvenlik yöneticilerinin şimdi neyi bilmesi gerekiyor ve en iyi şekilde nasıl hazırlanabilirler? indevis'in uyumluluk yöneticisi ve veri koruma sorumlusu Dirk Wocke, en önemli soruların yanıtlarını veriyor.
NIS2'den kimler etkilenir?
Eski mevzuata göre en önemli fark, verimliliğin önemli ölçüde artmasıdır. Yedi yeni KRITIS sektörü ekleniyor ve sayı on birden on sekize çıkıyor. Şu ana kadar yalnızca doğrudan KRITIS ortamındaki büyük kuruluşlar etkilenmiş olsa da, NIS2 aynı zamanda özel şirketler için de geçerlidir; hatta 50 çalışanı olan veya yıllık cirosu 10 milyon Euro olanlar bile. Bazı şirketler, büyüklükleri ne olursa olsun, kamu yararı açısından özellikle önemli olan "temel kuruluşlar" arasında yer almaları nedeniyle direktifin kapsamına girmektedir.
Ayrıca yeni olan şey, etkilenen şirketlerin tedarikçilerinin siber güvenliğini kontrol etmesi ve sağlaması gerektiğidir. Bu önemlidir çünkü tedarik zincirleri giderek daha karmaşık hale gelmektedir ve küçük bir bileşenin arızalanması bile kritik darboğazlara yol açabilmektedir. Örneğin Solarwinds saldırısı, tedarik zinciri saldırılarının ne kadar tehlikeli olabileceğini gösterdi. Sonuç olarak NIS2, pek çok şirketi etkilediğini ancak ikinci bakışta fark eden çok sayıda şirketi etkiliyor.
NIS2 ne gibi yenilikler getiriyor?
Yeni direktif minimum siber güvenlik gereksinimlerini artırıyor ve yöneticileri sorumlu kılıyor. Öngörülen standartlara uyulmasını sağlamak sizin sorumluluğunuzdadır. Bir siber saldırı meydana gelirse, GDPR'ye benzer şekilde katı raporlama gereklilikleri uygulanır. Şirketlerin daha sonra olayı belirli bir süre içinde BSI'ya bildirmesi gerekir. Bu şekilde yasama organı, etkilenenlerin itibarlarını korumak amacıyla bir siber saldırıyı örtbas etmelerini engellemek istiyor. NIS2 ayrıca Avrupa içtihatlarını keskinleştirir ve AB'de yetkililer ve operatörler arasındaki denetim ve işbirliğini derinleştirir. Örneğin, sınırlar ötesinde işbirliği yapacak ve bilgi alışverişinde bulunacak ulusal bilgisayar acil durum müdahale ekipleri kurulmalıdır. Aynı zamanda AB düzeyinde bir güvenlik açığı veri tabanı oluşturulacak.
Etkilenen şirketler şimdi ne yapmalı?
NIS2, en gelişmiş teknik ve organizasyonel güvenlik önlemlerini belirler. Bu, örneğin siber riskleri değerlendirmeye yönelik bir metodolojiyi ve hizmet ve iş sürekliliğini sağlamaya yönelik bir stratejiyi içerir. Siber olayları önlemeye, tespit etmeye ve yönetmeye yönelik önlemler de zorunludur. Temel olarak, bir bilgi güvenliği yönetim sistemi (ISMS) oluşturmakla ilgilidir. Bu, şirketteki siber güvenliği yönetmek ve kontrol etmek için kuralları, süreçleri, yöntemleri, araçları ve sorumlulukları tanımlar.
Örneğin, BSI Grundschutz ve ISO/IEC 27001 rehberlik sunmaktadır Çoğu şirket şu ana kadar bir BGYS yapbozunun yalnızca parçalarını oluşturmuştur. Öncelikle boşlukları tespit etmek ve ardından bunları adım adım kapatmak önemlidir. Çok sayıda rolün doldurulması ve politikaların tanımlanması gerekir. Bütün bunlar genellikle beklenenden daha karmaşıktır ve zaman alır. Bu nedenle sorunun mümkün olan en kısa sürede çözülmesi tavsiye edilir. BGYS'yi tanıtma ve daha da geliştirme konusunda deneyimi olan bir dış hizmet sağlayıcı, tavsiye ve destekle destek sağlayabilir.
Şirketler NIS2 gerekliliklerini göz ardı ederse ne olur?
GDPR'ye benzer şekilde yasama organı, ihlallere yüksek para cezaları uygulayarak gerekliliklerini güçlendiriyor. Cezalar ve icra işlemleri önemli ölçüde genişletilecek ve sektöre bağlı olarak en az yedi ila on milyon avroluk maksimum cezalara ulaşılacak. NIS2 gerekliliklerine uygunluğu kontrol etmek için BSI denetimler gerçekleştirebilir veya üçüncü taraflardan denetim yaptırabilir. Eksiklikler tespit edilirse, etkilenen şirketlere iyileştirme yapmaları için bir son tarih verilir. Son olarak, bir siber olaya ilişkin adli soruşturmanın şirketin güvenlik gerekliliklerini göz ardı ettiğini ortaya çıkarması durumunda, genel müdürler kişisel olarak sorumlu olacaktır.
Bir fırsat olarak NIS2
KRITIS alanına atanmış olan herkes muhtemelen NIS2'nin gerektirdiği şeylerin çoğunu zaten uygulamıştır. Yeni şirketler için çaba daha yüksektir. Bu nedenle mümkün olan en kısa sürede başlamanız tavsiye edilir. NIS2 başlangıçta çalışma gerektirse bile yatırım buna değer. Artan tehdit durumu göz önüne alındığında siber güvenliğin artırılması hayati önem taşıyor.
Uygulamada, güvenlikten sorumlu olanlar genellikle güvenlik önlemleri için bütçe ayırmayı zor buluyor. Bu nedenle yasal gerekliliklerin baskısına ihtiyaç vardır. NIS2 artık siber güvenlik konusunu yönetim seviyesinin en üstüne yerleştirerek değişimin önünü açıyor. Gelecekte güvenlik yöneticilerinin, CEO'ları siber güvenliğe daha fazla yatırım yapmaya ikna etme konusunda daha kolay bir zamana sahip olmaları gerekecek. NIS2 uyumluluğunu olabildiğince hızlı ve verimli bir şekilde sağlamak için deneyimli bir yönetilen güvenlik hizmetleri sağlayıcısıyla çalışmanızı öneririz. Güvenlik stratejisinin gözden geçirilmesine, bir BGYS kurulmasına ve uygun güvenlik teknolojisinin seçilmesine ve çalıştırılmasına yardımcı olabilir.
Daha fazlası Indevis.de'de
Indivis Hakkında
Uluslararası ISO/IEC 27001 standardına göre sertifikalandırılmış olan indevis GmbH, Almanya'nın önde gelen Yönetilen Güvenlik Hizmeti Sağlayıcılarından (MSSP) biridir. Şirket, 20 yılı aşkın süredir bilgi teknolojisinde güvenlik standartlarını belirliyor ve her büyüklükteki ve sektördeki müşterilerine ağlar, veri merkezleri ve bulut için uygun BT güvenlik çözümleri sunuyor.