Oscar Wong | An | Getty Pictures
Avrupa Birliği’nde şirketler, gelecek ay yürürlüğe girmesi planlanan sıkı siber güvenlik düzenlemeleri nedeniyle ağır para cezaları veya hatta hizmet askıya alma durumlarıyla karşı karşıya kalabilir.
AB’nin NIS 2 siber güvenlik direktifi 17 Ekim’de üye devletler tarafından uygulanabilir hale gelecek. Bu, şirketlerin operasyonlarının yeni yasayla belirlenen yükümlülüklerle uyumlu olduğundan emin olmak zorunda kalacakları anlamına geliyor.
Kurallar, şirketlere iç siber dayanıklılık stratejileri ve iç uygulamaları konusunda daha sıkı gereklilikler getiriyor.
CNBC, NIS 2 hakkında bilmeniz gereken her şeyi ele alıyor: Yasanın gerektirdiklerinden, işletmelerin ihlaller nedeniyle karşılaşabilecekleri olası cezalara kadar.
NIS 2 nedir?
Ağ ve Bilgi Güvenliği Direktifi 2 anlamına gelen NIS 2, blok genelinde BT sistemlerinin ve ağlarının güvenliğini artırmayı amaçlayan bir AB direktifidir. 2020’de tanıtılan yasa, basitçe NIS olarak adlandırılan daha önceki bir direktifin güncellemesi olarak hizmet vermektedir.
NIS 2, suçluların şirketleri hacklemek ve hassas verilerini tehlikeye atmak için yeni yollar bulmasıyla ortaya çıkan daha yeni siber güvenlik zorluklarını ve tehditlerini ele almak için selefinin kapsamını genişletiyor.
Yönerge, bankalar, enerji tedarikçileri, sağlık kuruluşları, web sağlayıcıları, ulaştırma şirketleri ve atık işleyicileri de dahil olmak üzere AB içinde faaliyet gösteren ve tüketicilere temel hizmetler sağlayan kuruluşlar için geçerlidir.
Ele alınacak temel alanlar arasında threat yönetimi, kurumsal hesap verebilirlik, raporlama yükümlülükleri ve siber ihlal durumunda iş sürekliliğinin planlanması yer alıyor.
Capgemini Küresel Siber Güvenlik Hizmetleri Başkan Yardımcısı Geert van der Linden, CNBC’ye yaptığı açıklamada, NIS 2’nin şirketler için vatandaşları korumak, operasyonları sürdürmek ve siber saldırılara karşı dirençli kalmak için kabul edilebilir olanın ne olduğu konusunda yeni bir temel oluşturduğunu söyledi.
“NIS 2, uygulanabilir hale geldiğinde hakimler tarafından küresel bir standart olarak görülecektir” diye ekledi Van der Linden. “Müşterilerimiz için, düzenlemede temel veya önemli olarak görülüp görülmemelerine bakılmaksızın, bu temel çizgiye bakmaları ve uyumlu olduklarından emin olmaları gerekir.”
Van der Linden, şirketlerin bu temel çizgiyi karşılayarak kendilerini iddialara karşı etkili bir şekilde koruyacaklarını ekledi. Bunu, evinizi hırsızlardan korumak için ev sigortası yaptırmaya benzetti.
“Hırsızlar nereye gidiyor? Her zaman en az korunan ev orasıdır. İçeriye nereden girebileceklerini görmek için her kapıyı açıyorlar,” dedi. Aynı şey, kendilerini siber saldırılardan korumak isteyen şirketler için de geçerli olmaya başlıyor, diye ekledi Van der Linden.
NIS 2 kapsamında, şirketler ayrıca dijital tedarik zincirlerini siber tehditler ve güvenlik açıkları açısından incelemek zorunda kalacak. Günümüzde şirketler her gün birden fazla farklı ürün ve araç kullanıyor ve bu da suçlulara daha fazla potansiyel saldırı yolu sağlıyor.
Cisco’nun AB kamu politikaları ekibinin başkanı Chris Gow, CNBC’ye yaptığı açıklamada, şirketlerin teknoloji tedarikçilerini tarayarak olası riskleri değerlendirmek zorunda olduğu NIS 2 kapsamında bir “haritalama çalışması” yapılacağını söyledi.
İşletmeler ayrıca NIS 2 kapsamında siber güvenlik açıkları ve saldırılarla ilgili bilgileri diğer şirketlere bildirme ve paylaşma konusunda bir “özen yükümlülüğüne” sahip olacaklar; bu, bir siber saldırının kurbanı olduklarını kabul etmek anlamına gelse bile.
Peki ya bir şirket uyum sağlayamazsa?
Yeni yasaya uymayan şirketler, diğer cezai yaptırımların yanı sıra büyük miktarda para cezasıyla karşı karşıya kalabilir.
Ulaştırma, finans ve su şirketleri gibi elzem kabul edilen kuruluşlar için NIS 2’ye uyulmaması durumunda 10 milyon avroya (11,1 milyon dolar) kadar para cezası veya küresel yıllık gelirin %2’si (hangisi daha yüksekse) kesilebilecek.
Bu arada, gıda şirketleri, kimya firmaları ve atık yönetim hizmetleri gibi temel öneme sahip olduğu düşünülen şirketler, uyumsuzluk durumunda 7 milyon avroya veya küresel yıllık gelirlerinin %1,4’üne kadar para cezasıyla karşı karşıya kalıyor.
Şirketler ayrıca NIS 2’ye uymamaları durumunda hizmetlerinin askıya alınmasıyla karşı karşıya kalabilir ve uyumlu hale gelip gelmediklerinin daha sıkı denetlenmesi gerekebilir.
Bir işletme siber ihlalin kurbanı olursa, yetkililere erken uyarı bildirimi göndermek için 24 saati olur. Bu, firmaların AB’de ayrı bir veri gizliliği yasası olan GDPR (Genel Veri Koruma Yönetmeliği) kapsamında bir veri ihlali hakkında yetkililere bildirimde bulunmak için sahip olduğu 72 saatlik zaman aralığından daha katıdır.
Proofpoint’in EMEA siber güvenlik stratejisti Carl Leonard, CNBC’ye yaptığı açıklamada, “NIS 2’ye hazırlanmak, neleri başarabileceğinizi görmek için bir yarış değil, daha çok en güçlü kuruluşların temel çizgiyi aşarak bu çabayı kendi rekabet avantajlarına dönüştürdüğü bir yarıştır” dedi.
“Kuruluşların Avrupa Birliği düzeyinde koordineli çabalarla daha iyi destekleneceğini öngörüyorum,” dedi Leonard. “Bu, paylaşılan tehdit istihbaratını, daha yüksek ortak siber güvenlik seviyesini ve ‘birlikteyiz’ zihniyetini içerecek.”
İşletmeler hazır mı?
İşletmeler, siber güvenlikle ilgili iç süreçlerini ve kontrollerini ve daha geniş kültürlerini 17 Ekim tarihine kadar şekillendirmek için yarışıyor.
Cisco’dan Gow, yeni düzenlemelerin tehdidi olmasa bile işletmelerin siber ihlaller ve kesinti olayları tehdidini ciddiye aldıklarından emin olmak için şirket içi kültürlerini değiştirmek için çok çalıştıklarını söyledi.
“Düzenleyici tarafta olup bitenlerin yanı sıra, CISO’dan raporlama yapıldığını görüyoruz [chief information security officer] “Yönetim kuruluna ve yöneticilere kadar her seviyede.”
Ancak NIS 2’nin, işletmelerin siber kontrollerini ve uygulamalarını yeni kurallara uygun hale getirme konusunda daha hızlı hareket etmelerine neden olduğunu da sözlerine ekledi.
“Kesinlikle bir etkisi var,” dedi. “Bunu kendim görüyorum. Şirket içi insanlar satış ve yönetimden gelen sorularla öne çıkıyor ve ‘Bu bizim için nasıl sonuçlanacak?’ diye soruyorlar.” İşletmelerin NIS 2 gerekliliklerini karşıladıklarından emin olmak için “şu anda yapılması gereken hazırlıklar” olduğunu da sözlerine ekledi.
Yine de, siber güvenliğin yönetim kurullarında çok daha fazla ön plana çıkarılmasına rağmen, bu durum siber saldırıların gerçekleşmesini engelleyemedi.
Bu yılın başlarında, İngiltere’deki özel bir sağlık hizmeti sağlayıcısı olan Synnovis’e yapılan bir fidye yazılımı saldırısı, 3.000’den fazla hastane ve GP randevusunu aksattı. Qilin adlı Rusya merkezli bir bilgisayar korsanı grubu olan saldırgan, 40 milyon sterlinlik bir fidye ödemesi talep etti.
Gow, yeni düzenlemelerin gelecekte benzer olayların yaşanmasını önleyebileceğini varsaymanın bir hata olacağını, ancak NIS 2’nin “genel güvenlik seviyelerinin nasıl yükseltileceğini göstermek için bazı incelemeler yapılmasına ve kaynakların bu konuya odaklanmasına yardımcı olduğunu” söyledi.
