NIS 2 Avrupa Birliği'nde siber güvenlik standardını belirlemek için farklı sektörlerdeki şirketlerin güvenlik stratejilerini belgelemeleri gerekiyor. Geri sayım başladı ve birlikte hazırlanmanın zamanı geldi!
Yeni AB Siber Güvenlik Direktifi – NIS 2 – 18 Ekim 2024'ten itibaren zorunlu hale geldi. Bu bağlayıcı düzenleme, Avrupa Birliği genelinde siber güvenlik standardını belirliyor ve farklı sektörlerdeki şirketleri güvenlik stratejilerini belgelendirmeye zorluyor.
Şirketler harekete geçmeye çağırılıyor.
NIS 2 nedir?
AB, Üye Devletler için NIS 2 (Ağ ve Bilgi Güvenliği Direktifi) biçiminde katı siber güvenlik düzenlemeleri getirmiştir. NIS 2, 2016 yılında yürürlüğe giren NIS Direktifinin devamı niteliğindedir. Bu nedenle bütünsel bir güvenlik stratejisinin uygulanması artık sadece siber saldırılara karşı korunmak için gerekli değil, aynı zamanda yasal bir zorunluluktur.
Üye Devletlerin 17 Ekim 2024 tarihine kadar NIS 2 Direktifi'ne uyum için gerekli önlemleri alması ve 18 Ekim 2024'ten itibaren bu önlemleri uygulaması gerekiyordu.
NIS 1'in NIS 2'den farkı nedir?
NIS 2, halihazırda AB'deki network ve bilgi sistemleri için yüksek düzeyde güvenlik sağlamayı amaçlayan ancak yine de bazı eksiklikleri bulunan 2016 NIS Direktifinin geliştirilmiş versiyonudur.
NIS 1 ile NIS 2 arasındaki temel farklar şunlardır:
-
Yeni versiyonda enerji, sağlık, ulaşım, dijital altyapı gibi toplum ve ekonomi için hayati önem taşıyan daha fazla sektör ve şirket yer alıyor.
-
NIS 2, etkilenen şirket ve kuruluşların etkili bir risk yönetimi sistemi çalıştırmasını ve ciddi veya önemli siber olayları, daha sonra gerekli önlemleri alabilecek sorumlu ulusal mercilere raporlamasını gerektirir. NIS 1 sadece güvenlik önlemlerine ve olayların raporlanmasına ilişkin genel spesifikasyonlar sağlamıştır.
-
Yeni Güvenlik Direktifi, Üye Devletlere, etkilenen şirket ve kuruluşların gerekli güvenlik önlemlerini uygulamaması ya da ciddi veya kayda değer siber olayları ilgili ulusal mercilere bildirmemesi durumunda 20 milyon Avro'ya veya küresel gelirin yüzde dördüne kadar çıkabilen daha katı yaptırımlar öngörmektedir. NIS 1, yaptırımların tanımını Üye Devletlere bırakmış ve bu da tutarsız uygulamalara yol açmıştır.
-
NIS 2, siber güvenlik konusunda yönetimin kişisel sorumluluğunun altını çizmekte ve ilk kez üst düzey yöneticilerin yasal düzenlemelere uymamaları durumunda kişisel varlıklarıyla sorumlu olacağını belirtmektedir.
Bu kimi etkiliyor?
Hangi şirketlerin NIS 2 Direktifini uygulaması gerekiyor?
Temel kuruluşlar: Bunlar, kritik altyapılar alanında faaliyet gösteren kuruluşlardan oluşur. Buna örneğin enerji, ulaşım, su yönetimi, sağlık hizmetleri veya bankalar dahildir.
Önemli kuruluşlar: Bu kategori, gıda ve kimya endüstrisindeki lider şirketlerin yanı sıra elektrikli ekipman, makine ve araç üretiminden sorumlu olan kuruluşları içerir.
Ek olarak, Üye Devletlerin kendileri de NIS 2'den etkilenen hedef grupların kapsamını genişletme seçeneğine sahiptir. Ulusal listelerine ek kuruluşlar dahil ederek yerel mercilerin, eğitim kuruluşlarının ve daha fazlasının direktifleri uygulamasını zorunlu kılabilirler.
Hangi cezalar var?
NIS 2 Direktifi, raporlama yükümlülüklerinin yerine getirilmemesi veya bunlara uyulmamasından kaynaklanan yüksek para cezaları da dahil olmak üzere sıkı bir şekilde uygulanmaktadır. Uygulanan cezaların kapsamı şirketlerin sınıflandırılmasına bağlıdır.
"Önemli" olarak sınıflandırılan şirketler, bir önceki mali yılda 7 milyon Avro veya toplam küresel yıllık gelirlerinin maksimum %1,4'ü kadar para cezası ödemek zorunda kalabilirler. "Temel şirketler" ise 10 milyon Avro'ya kadar veya toplam küresel yıllık gelirlerinin maksimum %2'sine kadar para cezalarıyla karşı karşıya kalabilir.
Siber güvenlik söz konusu olduğunda gerekli özen vazgeçilmezdir ve üst yönetimin bu siber güvenlik önlemlerinin uygulanmasını ve izlenmesini denetleme görevi vardır.
Bu aslında sizin için ne anlama geliyor?
NIS 2 Direktifi, 16 Ocak 2023'te yürürlüğe giren bir AB direktifidir ve kritik altyapıların ve dijital hizmet sağlayıcıların siber güvenliğini ve dayanıklılığını artırmayı amaçlamaktadır. Direktif, etkilenen şirket ve kuruluşların etkili bir risk yönetimi sistemi uygulamalarını ve ciddi veya önemli siber olayları, daha sonra gerekli önlemleri alabilecek sorumlu ulusal mercilere bildirmelerini gerektirir. Kullanıcılara, çevreye ve kamu düzenine gelebilecek olası zararları en aza indirmek amacıyla güvenlik açıklarının erken aşamada tespit edilmesi ve bunlara karşı önleyici tedbirlerin alınması amaçlanmaktadır. İlgili tüm tarafların aynı yüksek standartlara uymasını sağlamak için, şirketler aynı zamanda tüm tedarik zincirinin güvenliğinin sağlanmasından ve gerekliliklerin kendi iş ortaklarına ve tedarikçilerine aktarılmasından da sorumludur. Diğer önlemler şunları içerir:
-
Veri ve hizmetlerin gizliliğini, bütünlüğünü, kullanılabilirliğini ve güvenilirliğini sağlamak için mevcut standartlara ve en iyi uygulamalara uyan, yerinde ve orantılı güvenlik önlemlerinin tatbik edilmesi.
-
Bir siber olay sonrasında normal çalışma koşullarının tekrar sağlanmasına olanak tanıyan bir iş sürekliliği planının oluşturulması ve güncellenmesi.
-
Yetkisiz erişimi önlemek için kendi network'lerine ve bilgi sistemlerine erişimde çok faktörlü kimlik doğrulama uygulanmalıdır.
Avrupa Birliği Siber Güvenlik Ajansı (ENISA), bu mevzuatın uygulanmasının izlenmesinde ve desteklenmesinde önemli bir rol oynayacaktır.
NIS 2 programı
NIS 2 Direktifi 16 Ocak 2023'te yürürlüğe girdi ve 17 Ekim 2024'e kadar ulusal yasalara dahil edilmesi gerekiyordu. Komisyon, 17 Ekim 2027 tarihinden itibaren her 36 ayda bir direktifin uygulanmasını kontrol edecek.
Artık harekete geçme ve hazırlanma zamanı.
NIS 2, 16 Ocak 2023'te zaten yürürlüğe girmişti
Çok amaçlı 360° güvenlik konseptimiz
360° güvenlik – tavizsiz kapsamlı ürün yelpazemiz
Siber güvenliğin dinamik dünyasında değişim süreklidir ve NIS 2 Direktifinin uygulamaya konulması bu gerçeğin altını çizmektedir. Direktifin tam olarak yürürlüğe girmesi için ulusal hukuka kabul edilmesini beklerken, harekete geçmenin aciliyeti inkâr edilemez.
NIS 2'nin sıkı gerekliliklerini karşılamak için temel yaklaşımımızı Avrupa standartlarına ve uluslararası standartlara dayandırmalıyız. Bu standartlar sadece güvenli ürünleri tanımlamakla kalmaz, aynı zamanda dayanıklı güvenlik sistemlerinin uygulanmasına yönelik ilkeleri de tanımlar. Mükemmel bir örnek, otomasyonda güvenliğe yönelik dünya çapında tanınan bir dizi standart olan IEC 62443'tür. Kapsamlı 360° güvenlik konseptimiz, ilgili IEC 62443 sertifikalarıyla desteklenen hem teknik hem de organizasyonel önlemleri içerir.