NIS2; işletmeler için riskler ve fırsatlar

Giriş ve yasal referanslar

NIS, "Ağ ve Bilgi Güvenliği" anlamına gelen bir kısaltmadır.

Avrupa Topluluğu, bu kısaltma ile tüm AB üye devletlerinde siber güvenliğe yönelik standart bir yaklaşım belirlemeye yönelik yasal çabayı ifade etmeyi amaçlamıştır.

2018 yılında, NIS1 (AB Direktifi 2016/1148) adlı ilk Avrupa yönetmeliği kabul edildi; bu yönetmelik, 18 Mayıs 2018 tarihli 65 sayılı Kanun Hükmünde Kararname ile ulusal mevzuata aktarılmıştır.

NIS Kararnamesi ayrıca, Avrupa CSIRT’leriyle işbirliği içinde siber olayların önlenmesi, bunlara müdahale edilmesi ve izlenmesi ile ilgili teknik görevleri üstlenecek İtalyan CSIRT’nin (Bilgisayar Güvenliği Olay Müdahale Ekibi) kurulmasını öngörerek bir “ulusal siber güvenlik stratejisi”nin benimsenmesini de öngörmüştür.

NIS1 daha sonra NIS2 (2022/2555 sayılı AB Direktifi) ile yürürlükten kaldırılmıştır; bu direktif, 4 Eylül 2024 tarihli 138 sayılı Kanun Hükmünde Kararname ile ulusal mevzuata aktarılmıştır.

NIS 2, NIS 1’in sınırlamalarını aşmayı amaçlamaktadır; zira NIS 1, mevzuatın iç hukuka aktarılması sürecinde üye devletlere aşırı takdir yetkisi bırakmış, bu da uyumlaştırma hedefinin gerçekleştirilememesine yol açmış ve ayrıca Avrupa pazarı açısından önemleri nedeniyle düzenlemeye tabi tutulması gereken belirli kuruluş kategorilerini kapsam dışı bırakmıştır.

Ayrıca; NIS2, tüm Üye Devletlerde yaşanan ve pandemi nedeniyle hızlanan dijitalleşme sürecine yanıt vermek amacıyla hayata geçirildi; bu durum, güvenlik sistemlerinde buna paralel bir artış olmaksızın siber saldırılara açık alanları genişletti.

Son olarak; NIS2’nin bir diğer amacı da, temel ve önemli hizmetlerin işletmecilerini ve dijital hizmet sağlayıcılarını, uygun güvenlik önlemlerini almaya ve olayları derhal yetkili makamlara ve hizmet kullanıcılarına bildirmeye mecbur kılmaktır.

Yeni direktif, aşağıdakiler de dahil olmak üzere diğer Avrupa sektör düzenlemeleriyle uyumlu hale getirilmiştir:

- Finans Sektörü için Dijital Operasyonel Dayanıklılık Direktifi (DORA). Bu, bilgilerin bütünlüğünü ve hizmetlerin siber güvenliğini garanti altına alan bir dizi zorunlu güvenlik önleminin uygulanması yoluyla finans sektörünün dayanıklılığı ve siber güvenliğini artırmak amacıyla 10 Kasım 2022 tarihinde onaylanan Yönetmeliktir;

- Kritik Varlık Dayanıklılığı Direktifi (CER); çeşitli direktifler arasında hukuki netlik ve tutarlılık sağlamayı amaçlamaktadır.

İlgili şirketler şu şekilde sınıflandırılmıştır:

• Temel sektörler (enerji; ulaşım; sağlık; su temini; kamu yönetimi; finans; uzay; dijital altyapı)
• Önemli sektörler (araştırma; kimyasallar; gıda; endüstriyel üretim; dijital hizmet sağlayıcıları; posta hizmetleri; atık yönetimi)
• Kamu kurumları: Merkezi yönetim (anayasal ve anayasayla ilgili kurumlar; Başbakanlık ve bakanlıklar; vergi daireleri; bağımsız idari makamlar) | Bölgesel yönetim (bölgeler ve özerk iller) | Yerel yönetim (büyükşehirler; 100.000'den fazla nüfusa sahip belediyeler; bölge başkentleri; yerel sağlık otoriteleri) | Diğer kamu kuruluşları (ekonomik düzenleme kurumları; ekonomik hizmet sağlayıcıları; dernekler; sosyal yardım; eğlence ve kültür hizmet sağlayıcıları; araştırma kurumları ve kuruluşları; deneysel hayvan sağlığı enstitüleri) | Diğer türdeki kuruluşlar (yerel toplu taşıma hizmetleri sunan kuruluşlar; araştırma faaliyetleri yürüten eğitim kurumları; kültürel faaliyetler yürüten kuruluşlar; kurum içi şirketler; yatırım yapılan şirketler ve kamu kontrolündeki şirketler)
• Tedarikçiler: NIS2’den etkilenen kuruluşlara kritik hizmetler sunan kuruluşlar, zorunlu sektörler arasında açıkça sayılsalar bile dijital güvenliklerini güçlendirmelidir.

NIS2'nin içeriği

NIS2’nin içeriğinde yer alan genel yükümlülükler dört ana temel üzerinde özetlenebilir:

Yönetişim: Yönetim, kuruluş tarafından benimsenen risk yönetimi önlemlerini onaylamalı ve bunların zaman içindeki etkinliğini değerlendirmelidir: siber güvenlik konularında düzenli eğitimler almalı ve çalışanlara da benzer eğitimler sunmalıdır.

Risk yönetimi: Kuruluş, güvenlik ve ağ risklerini değerlendirmeli ve hizmet alıcıları üzerindeki olayların etkisini önlemek veya en aza indirmek için uygun ve orantılı teknik, operasyonel ve organizasyonel önlemler almalıdır.

İş sürekliliği: Kuruluş, sunduğu hizmetlerdeki kesintilerin etkisini en aza indirgemek amacıyla iş sürekliliğini sağlayacak çözümler (örneğin yedeklemeler, felaket kurtarma planı ve kriz yönetimi prosedürü) benimsemelidir.

Tedarik zinciri: Şirket, her bir doğrudan tedarikçinin zayıf noktalarını ve tedarikçilerinin ürünlerinin genel kalitesini ile siber güvenlik uygulamalarını değerlendirmelidir. Bu değerlendirme, kuruluşun NIS2 kapsamına dahil edildiği hizmetin kesintiye uğramasına neden olabilecek BİT tedarikçilerini ve diğer kritik tedarikçileri kapsayacaktır.

Bu nedenle şirketlerin aşağıdakileri ölçebilmesi ve raporlayabilmesi gerekecektir:

• Risk analizi ve bilgi sistemi güvenlik politikaları
• Olay yönetimi prosedürleri
• İş sürekliliği çözümleri (yedekleme ve felaket kurtarma) ile kriz yönetimi ve iletişim prosedürleri
• Tedarik zinciri güvenlik politikaları (tedarikçiler ve hizmet sağlayıcılar)
• Bilgi sistemleri ve ağ güvenlik açıklarının tespit edilmesi, geliştirilmesi, bakımı ve yönetimi

NIS2 Zaman Çizelgesi

Şirketler ve kamu kurumları, NIS2 Direktifi’nin yükümlülüklerine tabi olup olmadıklarını anlamak için bir değerlendirme yapmak zorunda kalacaklar.

1 Aralık 2024 ile 28 Şubat 2025 tarihleri arasında; şirketler, SPID kimlik bilgilerini kullanarak ACN (Ulusal Siber Güvenlik Ajansı) Portalı'nda kimlik doğrulaması yapmalıdır. Bu süre zarfında; /Kayıt Hizmeti olarak belirlenmiş kullanıcılar.

Özellikle; şirketlerin aşağıdakileri yerine getirmesi gerekmektedir:

• İşletmenin bir şirketler grubunun parçası olup olmadığını belirtin ve varsa ana şirketin vergi numarasını verin.
  
• İlgili şirketleri listeleyin ve vergi numaralarını belirtin.
  
• Kuruluşun faaliyetini tanımlayan ATECO kodlarını listeleyin.
• İlgili Avrupa Birliği sektör düzenlemelerini belirtiniz.
• Şirketin kategorisini belirlemek için ciro, bilanço ve çalışan sayısı verilerini sağlayın.
• Şirketin bağlı olduğu kuruluş türlerini sıralayın.

17 Ocak 2025 tarihine kadar; üst düzey alan adı kayıt kuruluşlarının işletmecileri; alan adı sistemi ve alan adı kayıt hizmeti sağlayıcıları; bulut bilişim; veri merkezleri; içerik dağıtım ağı sağlayıcıları; yönetilen hizmet sağlayıcıları; yönetilen güvenlik hizmeti sağlayıcıları; ayrıca çevrimiçi pazar yeri sağlayıcıları; çevrimiçi arama motoru sağlayıcıları ve sosyal ağ hizmeti platformu sağlayıcıları bu platforma kayıt yaptırmış olmalıdır.

31 Mart 2025 tarihine kadar; ACN, platform üzerinden alınan kayıtlara dayanarak temel ve önemli kuruluşların bir listesini hazırladı.

1 Nisan 2025 ile 15 Nisan 2025 tarihleri arasında; ACN, ilgili kuruluşlara, kendilerinin temel veya önemli kuruluşlar listesine dahil edilip edilmediklerini bildirdi.

15 Nisan 2025 tarihine kadar; bildirimi alan kuruluşların, kararnamenin yükümlülüklerini yerine getirmekle sorumlu bir birimi, özel bir karar yoluyla atamaları gerekmekteydi.

Bundan sonra, Direktifin kapsamına giren kuruluşlar aşağıdaki ek şartlara uymak zorunda kalacaklar:

• 1 Ocak 2026 tarihine kadar; kaza bildirim yükümlülüğü
• 1 Ekim 2026 tarihine kadar; idari organlar ve güvenlik önlemlerine ilişkin yükümlülüklerin yerine getirilmesi gerekmektedir

ACN, her yıl ilgili kuruluşların listesini güncelleyecektir. Kendilerini ilgili kuruluşlar arasında sayan şirketler ve kamu kurumları, her yıl Ocak ve Şubat ayları arasında kayıt yaptırma imkânına sahip olacaklardır.

Şirketler için riskler, ama aynı zamanda fırsatlar da

NIS2’nin yürürlüğe girmesinin ve ilgili işletmecilerin belirlenmesinin ardından; yetkili makamlar, bu işletmecilerin Direktife uygunluğunu doğrulamak amacıyla gözetim ve yerinde denetimler gerçekleştirebilir. Uygunsuzluk durumunda; ilgili şirketlere yaptırımlar uygulanacaktır.

Cezalar oldukça ağırdır: büyük şirketler için 10 milyon avroya kadar veya küresel cirosunun %2'si; orta ölçekli işletmeler için ise 7 milyon avroya kadar veya küresel cirosunun %1,4'ü.

Yönetmeliklere uyum, şirketler açısından belirgin bir çaba ve yatırım gerektirse de; bu yönetmeliklerin kendilerinin, İtalyan şirketlerinin hâlâ oldukça savunmasız olduğu ve imaj kaygıları nedeniyle sıklıkla örtbas etmeye eğilimli oldukları siber saldırı sorununa önemli bir çözüm getirmeyi amaçladığı da kabul edilmelidir. Ekonomik açıdan bakıldığında, şirketin cirosundan bağımsız olarak, her bir siber saldırının yol açtığı tahmini ortalama zarar 2 milyon avronun üzerindedir.

ERA, NIS2 uyumluluk yönetiminde nasıl yardımcı olabilir?

Yukarıda belirtilenlere rağmen – ki bu durum, şirketlerin siber güvenlik konularına son derece ilgi duyduğunu ve bu konulara aktif olarak dahil olduğunu düşündürebilir – özellikle küçük ve orta ölçekli işletmeler arasında, bu konularda çok az adım atmış ya da hiçbir adım atmamış ve şu anda maruz kaldıkları riskler karşısında hem teknik açıdan hem de mevcut çeşitli düzenlemelere uyum açısından konumlarını net bir şekilde belirleyemeyen şirketlere rastlamak hiç de nadir değildir.

Bazı şirketler siber güvenlik sorununu sigorta kapsamı yoluyla ele almaktadır. Ancak sigorta şirketleri, siber alanda hiçbir zaman somut adım atmamış şirketlere bu tür bir koruma sunma konusunda genellikle isteksiz davranmaktadır. Bunun nedeni, bir siber saldırının yol açtığı zararı doğru bir şekilde tahmin etmek için güvenilir bir yöntem bulunmamasıdır. Sonuç olarak, "NIS2 paketleri" siber risk değerlendirme hizmetlerine odaklanmaktadır; ancak eksiklikleri gidermek için gerekli önlemleri almayı şirketlere bırakmaktadır. ERA, son derece rekabetçi ticari koşullarda yüksek nitelikli tedarikçilerden oluşan bir ağa dayanarak daha kapsamlı bir hizmet sunabilir.

Ayrıntılı olarak; ERA'nın desteği şunlardan oluşmaktadır:

• Şirketin organizasyonel ve teknik yapısının değerlendirilmesi; önceden belirlenmiş göstergeler içeren öz değerlendirme anketleri yardımıyla;
• Farkındalık artırma ve eğitim kursları; tüm personel için temel kurslar ve üst ve orta kademe yöneticiler için ileri düzey modüller; NIS2 kılavuzlarına uygun olarak;
• Güvenlik açığı analizi, kimlik avı önlemleri ve fidye yazılımı risk değerlendirmesi konularında spesifik ve yüksek nitelikli testler;
• Değerlendirme aşamasının ardından düzeltme sürecinde uzman danışmanlardan alınacak destek;
• Siber güvenlik alanında stratejik kararların alınmasına rehberlik edecek, bu alana odaklanmış danışmanlardan uzman desteği.

Çözümümüz, şüphesiz en acil konu olan NIS2 düzenlemelerine uygunluğun analizini içermektedir; ancak aynı zamanda, müşterinin düzeltme aşamasının proje yönetiminde de ona eşlik edebilir; yani, müşterinin teşhis sürecinde tespit edilen çeşitli "eksiklikleri" gidermesi gereken aşama; ve bu aşama, hem iç beceriler hem de zaman ve kaynakların mevcudiyeti açısından bazı şirketlerin karşılaştığı zorlukların en belirgin şekilde ortaya çıktığı aşamadır.