İşletmeler, siber ihlal ve kesinti olaylarını ciddiye aldıklarından emin olmak için kurum içi kültürlerini değiştirmek için çok çalışıyor.
Andrew Brookes | Görüntü Kaynağı | Getty Photographs
Direktifin ilerleyişini izleyen araştırmalara göre, işletmelerin siber savunmalarını güçlendirmelerini gerektiren yeni Avrupa Birliği düzenlemeleri, pek çok üye devletin önemli bir uygulama son tarihini karşılamak için kuralları zamanında kabul edememesi nedeniyle yavaş bir başlangıç yapıyor.
AB’nin NIS 2 siber güvenlik direktifi, şirketler için kendi iç siber güvenlik sistemleri ve uygulamaları konusunda yüksek bir standart belirlemektedir. Siber ihlal durumunda danger yönetimi, şeffaflık yükümlülükleri ve iş sürekliliği planlaması konusunda daha katı gereksinimler getiriyor.
Perşembe günü, yeni direktif resmi olarak üye devletler tarafından uygulanabilir hale geldi. Bu, firmaların artık operasyonlarının kurallara uygun olduğundan emin olmaları gerektiği anlamına geliyor. Ancak çoğu AB üye ülkesi henüz NIS 2’yi kendi ulusal yasalarında uygulamamıştır, bu da uygulamanın muhtemelen eksik olacağı anlamına gelmektedir.
Bir rapora göre, iki ülke (Portekiz ve Bulgaristan) direktiflerin AB üye devletlerinin ulusal kanunlarına dahil edildiği NIS 2 için aktarım sürecini başlatmadı. takip aracı web araştırma kuruluşu DNS Araştırma Federasyonu’ndan. Portekiz ve Bulgaristan hükümetleri, Çarşamba günü CNBC ile temasa geçtiğinde yorum yapmak için hemen müsait değildi.
Fladgate’in ortağı ve teknoloji avukatı Tim Wright, CNBC’ye e-posta yoluyla “Uygulama durumu blok arasında önemli ölçüde değişiklik gösteriyor” dedi.
NIS2 nedir?
NIS 2 – veya Ağ ve Bilgi Güvenliği Direktifi 2 – bloktaki BT sistemlerinin ve ağların güvenliğini artırmayı amaçlayan bir AB direktifidir. İlk olarak 2020’de önerilen yasa, kısaca NIS olarak adlandırılan daha önceki bir direktifin güncellemesi olarak hizmet ediyor.
NIS 2, suçluların şirketleri hacklemenin ve hassas verilerini tehlikeye atmanın yeni yollarını bulmasıyla, daha güncel siber güvenlik sorunlarına ve tehditlerine yanıt vermek üzere selefinin kapsamını genişletiyor.
Direktif, AB içinde faaliyet gösteren ve bankalar, enerji tedarikçileri, sağlık kurumları, web sağlayıcıları, ulaştırma firmaları ve atık işleyicileri dahil olmak üzere tüketicilere temel hizmetleri sağlayan kuruluşlar için geçerlidir.
Yeni düzenleme kapsamında işletmelerin, siber güvenlik açıkları ve saldırılarla ilgili bilgileri diğer şirketlerle raporlama ve paylaşma konusunda bir “özen yükümlülüğü” olacak; bu, bir siber ihlalin kurbanı olmayı kabul etmek anlamına gelse bile.
Bir işletme bir siber ihlalin kurbanı olursa, yetkililere erken uyarı bildirimi göndermek için 24 saati olacaktır; bu, Genel Veri Koruma Yönetmeliği kapsamında firmaların bir veri ihlali konusunda yetkililere bildirimde bulunmak zorunda olduğu 72 saatlik pencereden daha katı bir zaman çizelgesidir. AB’de ayrı bir veri gizliliği kanunu.
Firmaların ayrıca teknoloji tedarikçilerini siber tehditler ve güvenlik açıkları açısından tek tek incelemeleri gerekecek.
Etkili olacak mı?
Fladgate’ten Wright, NIS 2’nin bir düzenleme olarak etkinliğinin büyük ölçüde AB üye ülkeleri genelinde tutarlı uygulama ve icraya bağlı olacağını söyledi.
CNBC’ye verdiği demeçte, “Kötü aktörler, NIS2 aktarımında geciken ülkeleri hedefleyebilir veya tedarik zincirlerindeki zayıflıkları arayarak daha küçük, daha az güvenli satıcıları ve tedarikçileri hedef alarak daha büyük, daha iyi korunan kuruluşlara erişim sağlayabilir” dedi.
İşletmeler, siber güvenlikle ilgili iç süreçlerini, kontrollerini ve daha geniş kültürlerini Perşembe günü son teslim tarihinden önce şekillendirmek için yıllardır çalışıyor.
Kurumsal teknoloji firması Cisco’nun AB kamu politikası lideri Chris Gow, NIS 2’nin uygulanmasındaki düzensizliklerin aynı zamanda “yasanın yerel olarak uyarlanmasıyla daha da kötüleştiğini” söyledi.
Gow, CNBC’ye e-postayla gönderdiği yorumlarda bunun da “özellikle sınırlı kaynaklara sahip küçük kuruluşlar için gezinmesi zor olabilecek tutarsızlıklar yarattığını” söyledi.
Kuruluşların, NIS 2’nin yerel uyarlamalarındaki farklılıklar nedeniyle “bunalmak” yerine “uygunluğu geniş ölçekte karşılamak ve göstermek için onlara fayda sağlayacak ortak bir güvenlik kontrolleri ve süreçleri çekirdeği belirlemeleri” gerektiğini tavsiye etti.
Bir şirket buna uymazsa ne olur?
Ulaştırma, finans ve su şirketleri gibi “önemli” kuruluşlar için NIS 2’ye uymamak, 10 milyon euroya (10,9 milyon dolar) veya küresel yıllık gelirin %2’sine (hangisi daha yüksekse) kadar para cezalarına yol açabilir.
Bu arada, gıda şirketleri, kimya firmaları ve atık yönetimi hizmetleri gibi “önemli” işletmeler, ihlallerden dolayı 7 milyon avroya veya küresel yıllık gelirlerinin %1,4’üne kadar para cezalarıyla karşı karşıya.
Firmalar, daha yakın denetimin yanı sıra NIS 2’ye uymamaları durumunda olası hizmet askıya alma işlemleriyle de karşı karşıya kalabilir.
EMEA siber güvenlik stratejisti Carl Leonard, “NIS 2 bunu açıkça ortaya koyuyor: büyük para cezaları, olası hizmet askıya alma ve uyumluluk izleme, kritik hizmetlerden sorumlu kuruluşları siber güvenlik tehditlerine ve bunlara verilecek yanıtlara dikkat etmeye teşvik etmek için bir araç olarak kullanılıyor.” Kanıt noktası, CNBC’ye söyledi.
Leonard, “Olayların ele alınması, personel eğitimi, liderliğin hesap verebilirliği ve diğerleri de dahil olmak üzere danger yönetimi ve hafifletme tedbirleri açısından bir temel belirlendi” diye ekledi.
