2023 için iyi Siber Güvenlik niyetleri mi yoksa yasaların gerektirdiği Siber Güvenlik önlemleri mi?

NIS2, yeni Siber Güvenlik Yasası.

NIS2 (Ağ ve Bilgi Sistemleri) Direktifi Kasım 2022'de yeni Avrupa Siber Güvenlik Direktifi olarak kabul edildi ve siber suçluları dışarıda tutmak için kuruluşların uyması gereken çeşitli hususları zorunlu kılıyor. Henüz duymadınız mı? Belki de okumak için iyi bir şey! Çünkü NIS2 gerçek kişiler için idari sorumluluk ve yükümlülük de içermektedir.

Mevzuat 2024 ortasına kadar!

Gizlilik mevzuatı için Avrupa GDPR gibi, Avrupa NIS2 de aşağıda listelenen kuruluşlar için zorunlu mevzuat haline gelir. GDPR Hollanda'da AVG haline gelmiştir, NIS2'nin de Hollandaca bir adı vardır, NIB2 (Ağ ve Bilgi Güvenliği Direktifi). Hollanda mevzuatı olarak, 2024 yılının ikinci yarısında (Eylül) (kabul edildikten 21 ay sonra) uygulanması gerekecektir. Bu arada, bu 27 Avrupa üye ülkesinin tamamı için geçerlidir.

"2", NIS'in halihazırda, yani 2016'dan beri var olduğu gerçeğinden gelmektedir. Bu NIS'ten(1) 2018 yılında, dijital hizmet sağlayıcılara (DSP) ve elektrik şirketleri ve içme suyu sağlayıcıları gibi temel hizmet sağlayıcılara (AED) yasal bildirim yükümlülüğü ve güvenlik önlemleri getiren WBNI, Ağ ve Bilgi Sistemleri Güvenliği Yasası ortaya çıktı. Bu arada, NIS2'de DSP ve AED'den artık bahsedilmemektedir.

Son yıllarda birçok kuruluşun Ulusal Siber Güvenlik Merkezi tarafından da belirtilen "temel önlemleri" yeterince almadığı görülmüştür (https://www.ncsc.nl/onderwerpen/basismaatregelen ). Birçok kuruluşun siber saldırılara karşı savunmasız olduğu ortaya çıktı. Çoğu zaman, hedef alınan kuruluştan çok daha fazla kuruluş etkilendi, bu nedenle etki genellikle çok büyük oldu. NIS2, güvenlik seviyelerini yükselterek ve siber saldırıları önlemek ve etkilerini azaltmak için "temel önlemlerin" alınmasını zorunlu kılarak siber dayanıklılığı güçlendirmelidir.

NIS2 sadece NIS'in önemli bir güncellemesi değildir, bu nedenle artık yerel bir Hollanda yasası (NIB2) ve aynı zamanda diğer tüm AB üye ülkelerinde de olacaktır. Buna ek olarak, önemli bir değişiklik de kapsamdır. Daha önce esas olarak yukarıda bahsedilen DSP'lere ve AED'lere, çoğunlukla kritik altyapı için gerekli olan büyük kuruluşlara odaklanırken, şimdi bunun için önemli olan kuruluşları ve bunları tedarik eden kuruluşları da etkileyecektir. Ayrıca, büyüklük artık önemli değil. Dolayısıyla kuruluşunuzun NIS2 kapsamına girmesi çok olasıdır. Avrupa'da yaklaşık 160.000 kuruluşun ve Hollanda'da yaklaşık 4.500 kuruluşun NIS2 kapsamında olduğu varsayılmaktadır.

Buna ek olarak NIS2, sektörler ve AB üye ülkeleri arasında olay raporlamasını arttırmak ve hızlandırmak için işbirliği çabaları gösterilmesini de sağlayacaktır.

Kimler için geçerli?

NIS2, aşağıdaki temel sektörlerde 'temel faaliyetler' kapsamına giren ticari faaliyetleri olan kuruluşları kapsamaktadır:

• Enerji
• Nakliye
• Bankacılık
• Altyapı Finans piyasası
• Sağlık Hizmetleri
• İçme (atık) suyu temini
• Dijital altyapı
• ICT hizmetleri yönetimi (B2B)
• Hükümet
• Havacılık ve Uzay

Buna artık aşağıdaki gibi kilit faaliyetler sunan kuruluşlar da dahildir:

• Sosyal ağ platformları sağlayıcıları
• Dijital altyapı hizmetlerinin yan sağlayıcıları (kamusal elektronik iletişim ağları ve hizmetleri sağlayıcıları gibi)
• BİT hizmet yönetimi sağlayıcıları
• Devlet hizmetleri
• Posta ve kurye hizmetleri
• Kimyasalların imalatı, üretimi ve dağıtımı
• Gıda ürünlerinin üretimi, işlenmesi ve dağıtımında yer alan kuruluşlar
• Belirli üreticiler (örneğin tıbbi ekipman, BT veya elektronik bileşenler, makineler, motorlu taşıtlar veya diğer ulaşım araçları)
• İlaç şirketleri
• Araştırma kurumları
• Atık yönetimi

Bu faaliyetlerle ilgili bir hizmet sağlayıcısıysanız ve 50'den fazla çalışanınız ve 10 milyondan fazla cironuz varsa, NIS2 kapsamına girersiniz. Ancak NIS2 tüm zincir için geçerlidir. Dolayısıyla, bu kuruluşlardan herhangi biriyle iş yapıyorsanız, siz de NIS2 kapsamına gireceksiniz veya size yükümlülükler getirilecek ve özellikle bu gerçek birçok kuruluşu etkileyecektir!

Devlet yaptırımları ve para cezaları

Giriş bölümünde de belirtildiği gibi, AB Üye Devletleri NIS2'yi yerel mevzuata çevirecek ve bunun 2024'ün başlarına kadar (ki bu çok yakında) gerçekleşmesi gerekmektedir. Üye Devletler kendi aralarında ve AB ile daha yakın işbirliği yapacak ve bir veya daha fazla Bilgisayar Güvenliği Olay Müdahale Ekibi kuracaktır. Hollanda'da bu CSIRTS'lerin bir kısmı belirli gruplar için halihazırda aktif durumdadır.

NIS2'ye uyulmaması halinde küresel cironun %2'sine varan ve en fazla 10 milyon Euro'ya kadar çıkabilen para cezaları söz konusu olabilir. Süreç GDPR-AVG'den farklı olacaktır, çünkü orada süreç sadece bir veri ihlalinden sonra yürürlüğe girmektedir. NIS2 ile bir veri ihlali şüphesi üzerine denetlenmek de mümkün olacak veya rastgele denetimler de yapılabilecektir. Önemli kuruluşların tam denetim altında olacağı unutulmamalıdır. Önemli kuruluşlar için denetim ex-post olacaktır. Bu arada, NIS2 ile idari sorumluluk ve yükümlülük söz konusudur!

Uygulamayı kimin ve nasıl gerçekleştireceği henüz belli değil. Bu görevin Telekom Kurumuna verilebileceğine dair bazı söylentiler dolaşıyor. Bu düzenleyici kurumun adı 1-1-2023 tarihinden itibaren geçerli olmak üzere Rijksinspectie Digitale Infrastructuur (kısaca RDI) olarak değiştirilmiştir, dolayısıyla belki de bununla bir bağlantısı vardır.

Nelere uymam gerekiyor?

• Kuruluşunuzun temel veya büyük faaliyetler kapsamına girmesine bağlı olarak, bir dizi gerekliliğe uymanız gerekecektir. Risk yönetimini bir süreç olarak yerleştirmek önemli hale gelir ve sonuç olarak risk analizleri ve risk tedavilerinin gerçekleştirilmesi gerekecektir.
• Kullanılabilirliği, bütünlüğü veya gizliliği ve ayrıca verilerin gerçekliğini etkiliyorsa güvenlik olaylarının kaydedilmesi zorunludur. AVG kapsamındaki bir veri ihlalinde olduğu gibi, bunlar 72 saat içinde bildirilmelidir. Hatta kullanılabilirlik tehlikeye girmişse 24 saat içinde ve bir ay içinde tam bir olay raporu sunulmalıdır. Ayrıca, iş sürekliliği, yedekleme yönetimi, felaket kurtarma ve kriz yönetimi önlemlerinin alınması gerekecektir.
• Tedarikçiler ve hizmet sağlayıcılarla ilgili olarak tedarikçi ve tedarik zinciri güvenliği;
• Genel siber güvenlik önlemleri ve eğitimi (aşağıdaki listeye bakınız)

Temel ve önemli faaliyetler sunan bu kuruluşlardan biriyle iş yapıyorsanız, genel güvenlik önlemleri işine de sahip olmanız gerekecektir. Sonuçta, bu kuruluşların tedarikçilere de kendilerinin de uyması gereken asgari temel önlemlerin alındığını göstermeleri için gereklilikler getirdiği açıktır. Sonuçta, NIS2 zincir için güvenlik gerekliliklerini belirlemektedir, bu nedenle aşağıdaki liste (kısmen NCSC'nin temel güvenlik gerekliliklerine dayanmaktadır) mükemmel bir temel oluşturmaktadır:

• Temel siber güvenlik önlemlerinin alınması ve eğitim.
• Şifreleme kullanımı için yönergeler ve prosedürler.
• Erişim güvenliği, Varlık Yönetimi ve İK güvenliği
• Her uygulamanın ve sistemin yeterli günlük bilgisi oluşturduğundan ve uygun envanteri aldığından emin olun.
• Gerektiğinde çok faktörlü kimlik doğrulama uygulayın
• Verilerinize ve hizmetlerinize kimlerin erişimi olduğunu belirleyin
• Segment ağları
• Hassas iş bilgileri içeren depolama ortamlarını şifreleyin
• Hangi cihaz ve hizmetlerin internetten erişilebilir olduğunu kontrol edin ve bunları koruyun
• Sistemlerinizi düzenli olarak yedekleyin ve test edin
• Yazılım güncellemelerini yükleyin
• Virüslerden ve diğer kötü amaçlı yazılımlardan kaçının
• Düzenli risk değerlendirmeleri ve güvenlik açığı taramaları gerçekleştirerek güvenlik açıklarının envanterini çıkarın.

Kanıtlanabilirlik önemli mi, ISO 27001 sertifikası? Yoksa başka bir şekilde mi?

NIS2 sertifikası yoktur (henüz). Uygulamada, birçok temel sağlayıcı ve kilit faaliyet sağlayıcı NIS2 uyumluluğunu göstermek isteyecektir. Tedarik zinciri sorumlulukları göz önüne alındığında, tedarikçilerinden de bunu kanıtlanabilir hale getirmelerini isteyeceklerdir. Bilgi güvenliği için ISO 27001 gibi bir standardın bu amaçla daha sık kullanılması beklenmektedir. Sonuçta, NIS2'de önlem olarak belirtilen çoğu konu bu standartta da ele alınmaktadır ve kanıtlanabilirlik açısından bu standart NIS2 kanıtlanabilirliğine giden kolay bir yol olacaktır. Zincirdeki bir tedarikçi olarak, temel sağlayıcılar ve kilit faaliyetlerin sağlayıcıları ile iş yapmaya devam etmek çok daha kolay hale gelecektir.

NIS2 uygulaması ve uyumluluğuna hızlı bir şekilde başlama.

Entegre CyberManager yönetim sistemlerimiz BGYS, GBYS, SGYS ve İSYS (bilgi güvenliği, gizlilik, siber güvenlik ve iş sürekliliği için) ile hem KOBİ'lere hem de büyük kuruluşlara yukarıda belirtilen konuları ölçeklenebilir bir şekilde uygulamak ve yönetmek için bir çözüm sunuyoruz. İster NIS2 kapsamında temel veya kilit faaliyetlerin sağlayıcısı olun, ister biraz farklı gereksinimleri olan bir tedarikçi olun, NIS2 ve örneğin ISO 27001 standardı için her zaman uygun bir abonelik vardır.

CyberManager'da, bu makalede bahsedilen önlemlerle bağlantılı bir NIS2 kontrol paneli mevcuttur ve bu sayede öncelikle NIS2 gerekliliklerine odaklanmanıza ve bunların uyumluluğunu göstermenize olanak tanır. ISO 27001'i uygulamak için aynı önlemlerin yanı sıra ek önlemler de kullanabilirsiniz. Bu, ISO 27001 standardının yanı sıra NIS2'yi de adım adım uygulamanıza olanak tanır.

CyberManager BGYS yazılımı, standart risk yönetimi işlevselliği, güvenlik olaylarının, veri ihlallerinin, güvenlik açıklarının veya etkilenenlere e-posta bildirimleri de dahil olmak üzere diğer iş akışlarının kaydedilmesi ve ele alınmasının yanı sıra PIMS aracılığıyla gizlilik yönetimi sunar. Buna ek olarak, entegre edilebilir bir e-öğrenme yönetim sistemi mevcuttur, böylece Risk Farkındalığı eğitimi verilebilir ve İş Sürekliliği Yönetim Sistemi aracılığıyla İş Sürekliliği Değerlendirmelerinizi ve Planlamanızı yönetebilirsiniz. Daha önce de belirtildiği gibi, ISO 27001'in yanı sıra NIS2 için de gösterge tabloları mevcuttur.

NIST CSF, CSIR/BIACS, IEC 62443 gibi standartları veya örneğin hem BGYS hem de OT-Güvenliği için CIS kontrollerini kullanan kuruluşlar, bunları CyberManager yönetim sistemleri BGYS veya SGYS aracılığıyla da kontrol edebilir.

Daha fazla bilgi edinmek için bizimle buradan veya ortaklarımız aracılığıyla iletişime geçin. CyberManager BGYS, GBYS, SGYS ve İSYS çözümlerimiz hakkında daha fazla bilgi edinmek için buraya tıklayın.

Kaynak:
NIS2'ye buradan çeşitli dillerde ulaşabilirsiniz

https://eur-lex.europa.eu/eli/dir/2022/2555/oj

https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.pdf

https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience 

https://www.ncsc.nl/onderwerpen/basismaatregelen