17 Ocak 2023 (İtalya'da 16 Ekim) tarihinde yürürlüğe giren NIS2 Direktifi, bir önceki NIS Direktifine göre köklü bir değişikliği temsil etmektedir. Bu düzenleyici çerçeve, tüm AB üye ülkeleri için ortak bir siber strateji oluşturmayı amaçlamakta olup, temel hedefi AB genelinde dijital hizmetlerin güvenlik seviyelerini arttırmaktır
Bilgi güvenliği yönetimi yaklaşımında önemli bir değişikliği temsil eden Avrupa NIS2 direktifinin uygulama sezonu resmen başladı.
Ulusal Siber Güvenlik Ajansı'nın (NCA) baskıcı ve yaptırımcı süreci aktif katılımın teşviki karşısında ikinci plana atan iletişim çabasını takdir etmekle birlikte, Direktif'in hedeflerini uygulama sürecinin sadece güvenlik yönetim sistemine resmi bir itaatle çözülemeyeceği - genellikle 'kağıt güvenliği' olarak adlandırılan - bunun yerine somut ve sürdürülebilir güvenlik hedeflerinin tanımlanması için önemli bir çaba gerektirdiği açıktır.
NIS2 direktifi, Avrupa çapında paylaşılan daha fazla siber güvenlik ve esnekliğe yönelik önemli bir adımı temsil etmektedir. Yönetmelikler ve direktifler söz konusu olduğunda, birçok şirket uyumu nihai hedef olarak görmektedir: asgari gereklilikleri karşılayarak uymak zorunda oldukları bir şey. Ancak bu, daha yüksek siber güvenlik seviyelerine ulaşmak için bir başlangıç noktası olarak görülmelidir.
NIS2 Direktifi, NIS'in büyük ölçüde elden geçirilmesinden kaynaklanmaktadır ve güvenlik olayları durumunda dijital hizmetlerin sürekliliğini sağlamak için Üye Devletler tarafından yeterli koordineli ve yenilikçi yanıtlar sağlayarak Avrupa siber stratejisinin tam olarak tanımlanmasına yönelik bir başka önemli adımı işaret etmektedir.
NIS2, atık yönetimi, ulaşım, gıda endüstrisi, içme suyu temini ve dağıtımı, dijital altyapı, kamu yönetimi, ilaç ve tıbbi cihazların üretimi, araştırılması ve geliştirilmesi ve uzay sektörü gibi önemli sektörleri de içerecek şekilde, önceki NIS Direktifine kıyasla uygulama kapsamını önemli ölçüde genişletmektedir.
NIS2 Direktifini İtalyan hukukuna aktaran 138/2024 sayılı Kanun Hükmünde Kararname, hükümlerin 16 Ekim 2024 tarihinden itibaren uygulanacağını belirtmektedir.
Düzenleme, işletme RCE Direktifi anlamında 'kritik' olarak tanımlanmadığı, kamuya açık elektronik iletişim ağları sağlayıcısı, güven hizmeti sağlayıcısı olmadığı veya gerekli olduğu düşünülen diğer belirli kategorilere girmediği sürece küçük işletmeler için geçerli olmayacaktır.
NIS2 ayrıca, bir Üye Devlette temel bir hizmet sunmaları, sundukları hizmetin kamu güvenliği, emniyeti veya sağlığı açısından hayati önem taşıması ya da temel veya önemli bir şirketin tedarik zincirinin bir parçası olmaları halinde 50'den az çalışanı olan şirketler için de geçerlidir.
Bu operasyonel karmaĢıklık Ġtalyan yasa koyucunun seçtiği "katmanlı" modele de yansımaktadır. İlk katman standart katmandır, yani küçük işletmeler için büyüklük sınırlarını aşan temel veya önemli konulardan oluşur. İkinci katman, büyüklükleri veya ciroları ne olursa olsun, belirli öngörülen kategorilere giren kuruluşlardan oluşur.
Önemli bir sorun, iş dünyasında her zaman mutlak bir görüş netliği olmayan 'bağlı kuruluşlar' kavramına atıfta bulunulması nedeniyle, büyüklük boyutunun gerçek ölçümü ile ilgilidir.
İki veya daha fazla şirket arasındaki bağlantı, teorik olarak, gerçek bir resmi grup oluşturma niyetinden bağımsızdır; bunun sonucu olarak, tek başlarına ele alınsalar bile kural tarafından öngörülen büyüklük sınırlarına ulaşamayacak olan kuruluşlar küçük ve orta ölçekli şirketler grubunun dışında tutulmaktadır.
Sürecin düşünselliğinden somut yaklaşıma indiğimizde, temel yapısını çok sayıda küçük ve orta ölçekli işletmenin oluşturduğu bir ülkenin ekonomik boyutuyla çatıştığı için konu oldukça farklıdır. Bu durum NIS2'nin uygulanmasında önemli bir zorluk teşkil etmekte olup, küçük işletmeler için aşırı külfetli olabilir.
Avrupa Birliği'nin siber güvenliğini arttırmak amacıyla oluşturulan NIS2 Direktifi'nin cezaları tamamen idari ve cezai niteliktedir. Temel operatörler 10 milyon Euro'ya ya da toplam küresel cironun yüzde 2'sine kadar idari para cezasına tabi tutulabilir. Büyük operatörler ise 7 milyon Avro'ya ya da dünya çapındaki toplam küresel cironun yüzde 1,4'üne kadar para cezasına çarptırılabilir.
Kanun Hükmünde Kararname bir kesinlik getirmektedir: yönetim ve idare organlarının sorumluluğu söz konusu olacaktır. Şirketlerin yönetim organlarından mevzuata uyum konusunda aktif rol oynamaları istenecek, güvenlik riski yönetimi tedbirlerinin uygulanmasını onaylamaları, mevzuatta belirtilen yükümlülüklerin uygulanmasını denetlemeleri gerekecek ve ihlallerden sorumlu tutulacaklardır.
Transpozisyon kararnamesi, hizmet sunumu üzerinde önemli bir etkisi olan olayların gecikmeksizin CSIRT İtalya'ya bildirilmesini şart koşarak olay raporlama gerekliliklerini güçlendirmektedir. Bildirim süreci katı zaman çizelgeleri öngörmektedir: 24 saat içinde bir ön bildirim, olaydan sonraki 72 saat içinde bir bildirim ve olaydan sonraki bir ay içinde nihai bir rapor.
NIS2 direktifi, yüksek düzeyde siber güvenlik sağlamak için kuruluşların karşılaması gereken bir dizi ana gerekliliği ortaya koymaktadır. Bu gereklilikler arasında risk analizi ve bilgi sistemi güvenlik politikaları, risk yönetimi önlemlerinin etkinliğini değerlendirme stratejileri ve temel dijital hijyen uygulamaları ve siber güvenlik eğitimi yer almaktadır.
NIS2 Direktifini iç hukuka aktaran mevzuatın sadece çok kritik veya kritik olduğu düşünülen sektörlere değil, aynı zamanda uzak görüşlü bir şekilde tedarikçilerine de odaklandığı ve böylece Kanun Hükmünde Kararnamenin uygulanmasından etkilenmesi muhtemel konuların sayısını önemli ölçüde artırdığı ortaya çıkmaktadır.
NIS 2 Direktifi, yükümlü kuruluşların, her bir kuruluş ile doğrudan tedarikçileri veya hizmet sağlayıcıları arasındaki ilişkiye dair güvenlik hususları da dâhil olmak üzere tedarik zinciri güvenliğini de göz önünde bulundurarak, bilgi sistemleri ve ağlarına yönelik güvenlik risklerini yönetmek için uygun ve orantılı teknik, operasyonel ve organizasyonel tedbirler almasını öngörmektedir.
Böylece Ekim 2026'ya kadar tamamlanması gereken uyumluluk yarışı başlıyor. 2025'in başına kadar, NIS2 öznesi olarak tanımlanan işletmeler, BT güvenlik yönetim sistemleri ve yönetim sorumlulukları da dahil olmak üzere planlanan tüm önlemlerle çalışır durumda olmalıdır. Mayıs 2025'e kadar işletmelerin kurumsal platformdaki verilerini güncellemeleri gerekmektedir. Ocak 2026'da, önemli olayların zamanında rapor edilmesine ilişkin resmi yükümlülük yürürlüğe girecek ve Eylül 2026'ya kadar kuruluşlar gerekli tüm güvenlik önlemlerini almış olacaktır.
16 Ekim 2024 tarihi itibariyle yeni Ağ ve Bilgi Güvenliği (NIS) yönetmeliği yürürlüğe girmiştir. ACN, NIS Yetkili Makamı ve tek temas noktasıdır. 1 Aralık 2024'ten 28 Şubat 2025'e kadar, orta ve büyük ölçekli işletmeler, bazı durumlarda küçük ve mikro işletmeler ve yeni mevzuatın uygulandığı kamu idareleri ACN hizmet portalına kaydolmalıdır.
Toplumun giderek birbirine bağlanması ve dijitalleşmesi, kurumları, işletmeleri ve vatandaşları siber tehditlere giderek daha açık hale getirmiştir.
Ulusal Siber Güvenlik Ajansı'nın üst yönetimi, ülkenin artan tehditlerle başa çıkma becerisi açısından gerçekten bir dönüm noktası olabilecek bu süreci sürdürülebilir kılmak için kamuya açık bir taahhütte bulunmuştur. Ülkenin üretken ve idari yapısının, oldukça açık bir şekilde derin bir kültürel dönüm noktası olan ve sezgisel olduğu üzere ne parkta yürüyüş ne de 'maliyet nötr' olacak bu sürece nasıl yanıt verebileceğini bekleyip görmek gerekecektir.
Bu nedenle NIS2'ye adaptasyon sadece standarda uyma meselesi değildir, aynı zamanda BT güvenlik seviyesini önemli ölçüde yükseltebilecek teknik ve organizasyonel en iyi uygulamaların yanı sıra bir güvenlik kültürünü şirkete tanıtmak için de iyi bir fırsat olabilir. Bununla birlikte, çeşitli şirket varlıklarını ve personelini uygun periyodik eğitim döngüleriyle aşamalı olarak hizaya getirmek için hemen bir adaptasyon planı hazırlamaya başlamak önemlidir.
NIS2 Direktifine uymakla yükümlü şirketlerden biri olmasanız bile, siber riskler konusunda bir farkındalık kursuna başlamanız işletmenizin geleceğini korumak açısından önemlidir.
Dolayısıyla NIS2, İtalyan şirketleri için karmaşık ancak gerekli bir meydan okumayı temsil etmektedir. Külfetli görünebilecek yeni yükümlülükler ve sorumluluklar getirirken, BT güvenliğini sadece bir maliyet olarak değil, stratejik bir unsur olarak yeniden düşünme fırsatı da sunmaktadır.
.svg)
.svg)
.svg)
.jpeg)
.jpeg)