Birkaç ay içinde çok sayıda şirketin NIS2 direktifini uygulaması gerekecek. Yeni AB direktifi, siber güvenliğin sağlanması için sıkı önlemlerin uygulanmasını gerektiriyor.
İlk bakışta bu süre yeterince uzun görünebilir ancak yeterli bir güvenlik yapısının oluşturulması bir gecede gerçekleşmez. Önde gelen bir BT altyapı ve hizmetleri şirketi olan NTT Ltd., NIS2 Direktifi hakkındaki yanlış anlamaları giderir ve onu uygulamanın en iyi yolunu gösterir. NIS2 Direktifi, 16 Ocak 2023'te yürürlüğe giren AB çapında bir ağ ve bilgi güvenliği mevzuatıdır ve 17 Ekim 2024'e kadar üye ülkeler tarafından ulusal yasalara aktarılması gerekmektedir. Almanya'da halihazırda Federal İçişleri Bakanlığı'nın NIS 2 Uygulama Yasası (NIS2UmsuCG) hakkında bir yasa tasarısı taslağı var. Yeni direktif bu ülkede etkilenen şirketlerin sayısını büyük ölçüde artıracak; 30.000 ile 40.000 arasında şirket NIS2'nin daha katı gereklilikleri kapsamına girecek. Ancak, uymama durumunda ciddi cezalar olmasına rağmen birçoğu muhtemelen bunun farkında bile değil.
Acil sorular
NIS2 direktifinin kapsamına giriyor muyum? Yetkililer, yeni gerekliliklerin kendileri için geçerli olup olmadığını bir şirkete bildirmiyor. Bunun yerine şirketlerin “etkilerini” tanımlanan kriterlere göre kendilerinin belirlemesi gerekiyor. Prensip olarak kritik altyapı işletmecisi olarak sınıflandırılan herkes bu direktifin kapsamına girer. Bunlar arasında işlevselliği toplum, ülke güvenliği ve ekonomi açısından önemli olan ve arızalanması halinde önemli aksaklıklara yol açacak tesis, sistem ve sistemler yer almaktadır. Federal Sivil Koruma Dairesi'ne göre bunlar enerji ve su temini, telekomünikasyon ve bilgi teknolojisi, gıda tedariki, ulaştırma ve lojistik, finans ve sağlık sektörlerindeki şirketlerdir. NIS2 Direktifi aynı zamanda tedarik zincirinde kritik sektörlerle ilgili hizmet veya ürün sağlayan kuruluşları da etkiliyor. Bu, kapsamın önceden bilinen önemli şirketlerin çok ötesine geçtiği anlamına gelir. Gelecekte ilgili sektörlerde 50 veya daha fazla çalışanı olan ve yıllık cirosu en az on milyon avro olan şirket ve kuruluşlar kayıtlara geçecek. NIS2 özellikle "önemli" ve "temel" tesisler arasında ayrım yapıyor. İkincisi, ilgili sektördeki pazar paylarından dolayı çok önemli bir rol oynamaktadır.
NIS2 direktifinin düzenlemeleri
AB üç temel alandaki gereklilikleri sıkılaştırdı: denetim tedbirleri ve para cezaları, işbirliği ve iş birliği ile risk yönetimi ve dayanıklılık. Risk yönetimi ve dirençliliğe yönelik artan talepler, kuruluşların hem hasar önleme hem de hasarı en aza indirme tedbirlerini uygulaması gerektiği anlamına geliyor. Buna ağ güvenliği, risk yönetimi, tedarik zincirlerinde siber güvenlik, erişim kontrolü ve şifreleme gibi alanlar dahildir. NIS2, temel BT hijyenini sağlıyor ve tasarı taslağı, kritik tesisler için saldırı tespitini şart koşuyor. Şirketler ayrıca bir siber saldırı sonrasında iş sürekliliğinin nasıl sağlanacağını da düşünmelidir. Buna sistem kurtarma, acil durum prosedürleri ve kriz organizasyonunun kurulması da dahildir. Ayrıca güvenlik olayının öğrenilmesinden itibaren 24 saat içinde sorumlu makamlara erken uyarı niteliğinde bir ön rapor alınması gerekmektedir. 72 saat içinde, sözde uzlaşma göstergelerini açıklayan ayrıntılı bir raporun takip edilmesi gerekmektedir. Şirketler öncelikle BT güvenliklerinin olgunluk düzeyinin bütünsel mevcut durumunu belirlemek için yukarıdan aşağıya bir yaklaşım kullanmalı ve ardından gerektiği gibi teknik ve organizasyonel önlemleri uygulamalıdır. NIS2 kılavuzuna uyum sağlamak için ayrıca ISO 27001'e göre bir bilgi güvenliği yönetim sisteminin (ISMS) uygulanması tavsiye edilir. Aynı zamanda bir güvenlik operasyon merkezi (SOC) mantıklıdır. Bununla birlikte, bir SOC'yi işletmek çok maliyetlidir; bu nedenle, onu yönetilen hizmetler biçiminde harici bir hizmet sağlayıcıya dış kaynak olarak kullanmak iyi bir çözümdür.
Uymazsanız ne olur?
Her ne kadar yalnızca temel tesisler denetlense de, gereklilikleri göz ardı eden kişiler, bir güvenlik olayı durumunda ciddi yaptırımlarla karşı karşıya kalabilir. “Temel” kategoride sınıflandırılan şirketler için para cezaları, hangisi daha büyükse, on milyon avroya veya yıllık küresel cironun yüzde ikisine kadar çıkabiliyor. “Önemli” kurumlar için azami ceza yedi milyon euro veya küresel yıllık cironun yüzde 1,4'ü kadar. Federal İçişleri Bakanlığı'nın tasarı taslağı aynı zamanda genel müdürlerin ve şirketlerin diğer yönetim organlarının, risk yönetimi tedbirlerine uyum konusunda özel varlıklarıyla sorumlu olmalarını da şart koşuyor. Ayrıca küresel yıllık cironuzun yüzde ikisi oranında para cezasıyla karşı karşıya kalırsınız. Bu nedenle NIS2, sorumluların çok ciddiye alması gereken bir uyumluluk riskidir. Buna ek olarak, uygun önlemlere yapılan yatırım başlangıçta bazı şirketlere yüksek görünse bile, zayıf veya var olmayan bir güvenlik çözümünün maliyeti önemli ölçüde daha yüksek olur. Diğer kılavuzlarda olduğu gibi, gerekli tedbirleri uygulamayan şirketlerin kamu ihalelerinde değerlendirmeye alınmama ihtimali de yüksek.
“NIS2 uyumluluğu öylece satın alıp uygulayabileceğiniz bir ürün değil. Tam tersine: Şirketler, yeni AB direktifinin uygulanmasının çok çeşitli alanlarda etkileri olan gerçekten kapsamlı ve uzun vadeli bir proje olduğunu anlamalıdır. Aynı zamanda, BT uyumluluğu uzun süredir şirketler için önemli bir stratejik konu olmuştur," diye açıklıyor NTT Ltd Hizmetler ve Siber Güvenlik Başkan Yardımcısı Bernhard Kretschmer. “Ancak uygulamalar birçok şirketin hâlâ gerekli önlemleri almadığını gösteriyor. Bu, NIS2'nin zamanında uygulanmasının önünde bir engel haline gelebilir. Çünkü çok az şirket gerekli gereksinimleri kendi BT ekibiyle karşılayabiliyor.”
NTT'de daha fazlası
NTT Hakkında
30 milyar dolarlık bir BT hizmetleri sağlayıcısı olan NTT DATA'nın bir parçası olarak, BT altyapısı ve hizmetleri şirketi NTT Ltd. Sahip olduğu teknolojiler ile Fortune Global 65'ün yüzde 500'i ve Fortune Global 75'ün yüzde 100'inden fazlası. Şirket, kuruluşların uçtan buluta ağ ekosisteminin temelini atıyor, karmaşık çoklu bulut iş yüklerini basitleştiriyor ve uçta yenilikler yapıyor ağ, bulut ve uygulamaların birleştiği BT ortamları. NTT, özel altyapılar sunar ve güvenli, ölçeklenebilir ve uyarlanabilir veri merkezlerinde tasarım ve operasyonlarda tutarlı en iyi uygulamaları sağlar. Yazılım tanımlı bir geleceğe giden yolda NTT, müşterilerini platform tabanlı altyapı hizmetleriyle destekliyor.
Konuyla ilgili makaleler