AVRUPA BİRLİĞİ’NİN SİBER GÜVENLİK STRATEJİSİNDE DÖNÜŞÜM: NIS2 DİREKTİFİ

Avrupa Birliği genelinde siber güvenlik risklerine karşı daha dirençli bir ekosistem oluşturulması amacıyla hazırlanan NIS2 Direktifinin, üye devletlerin iç hukuklarına aktarılması için belirlenen son tarih 17.10.2024 idi. Bu yazıda; NIS2 Direktifine duyulan ihtiyaç, düzenlemenin temel unsurları, kapsadığı sektörler ve uyumluluğun sağlanamadığı durumlarda karşılaşılacak yaptırımlar gibi hususlara ilişkin açıklamalarda bulunulacaktır.

Küresel ölçekte dijital dönüşüm hızla ivme kazanırken, siber güvenlik hem kurumlar hem de bireyler için stratejik bir öncelik hâline gelmiştir. Günümüzde siber tehditler yalnızca bilgi elde etmek ya da sistemlere zarar vermekle sınırlı kalmayıp, kritik altyapıları hedef alarak geniş çaplı güvenlik sorunlarına yol açmaktadır. Özellikle sağlık, finans ve enerji gibi kritik sektörlerdeki dijital ağlar ve bilgi sistemlerine yönelik siber saldırılar, siber güvenlik ihlallerinin etkilerini yalnızca kurumsal zararlarla sınırlı kalmayan toplumsal güvenlik meselelerine dönüştürmektedir.

Fidye yazılımı, oltalama ve DDoS gibi yaygın saldırılar, kurumların iş sürekliliğini tehdit ederken aynı zamanda kullanıcıların kişisel verilerinin güvenliğini ve mahremiyetini de tehlikeye atmaktadır. Bu saldırıların, kişisel verilerin gizliliğine yönelik riskleri artırması ve kurumları daha güçlü güvenlik tedbirleri almaya zorlaması, kapsamlı düzenlemelere olan ihtiyacı daha belirgin bir hâle getirmektedir. Tam da bu noktada, siber tehditlere karşı daha güçlü ve bütüncül önlemler alınması amacıyla hazırlanan NIS2 Direktifi, kritik altyapılarda güvenliği sağlamaya yönelik önemli bir adım olarak öne çıkmaktadır.

NIS Direktifi’nin Güncellenmesi Yönündeki İhtiyaç ve NIS2 Direktifi

2016/1148 sayılı NIS Direktifi (Network and Information Systems Directive), Avrupa Birliği’nin (AB) ilk kapsamlı siber güvenlik düzenlemesi olarak, Birlik içerisindeki ağ ve bilgi sistemlerinin dayanıklılığını artırmayı amaçlayan ve üye devletlerin ortak bir güvenlik düzeyine ulaşmasına yardımcı olan yatay bir iç pazar aracıdır. Bununla birlikte, dijital dönüşümün hızlanması ve COVID-19 krizinin etkisiyle birlikte genişleyen tehdit ortamı, yenilikçi ve uyarlanabilir güvenlik önlemlerinin benimsenmesini zorunlu hâle getirmiştir.

Bu bağlamda Avrupa Komisyonu (Komisyon), NIS Direktifinin etkisini analiz etmek ve eksikliklerini değerlendirmek amacıyla kapsamlı bir paydaş danışma süreci yürütmüştür. Bu sürecin sonunda, NIS Direktifinin temel sınırlamalarının ve eksikliklerinin şu hususlar olduğu belirlenmiştir:

·      AB’de faaliyet gösteren işletmelerin siber dayanıklılık seviyelerinin yetersizliği,

·      Üye devletler ve sektörler arasında siber dayanıklılığa ilişkin uyumsuzluklar,

·      Üye devletler arasında temel tehditler ve zorluklar hakkında ortak bir anlayışın eksikliği,

·      Ortak bir kriz müdahale yaklaşımının bulunmaması.

Bu eksiklikleri gidermek ve dijitalleşme ile artan tehditlere yanıt vermek amacıyla Komisyon, Aralık 2020’de NIS Direktifinin revize edilmesine yönelik bir dizi kural önermiştir. Bu öneriler, AB’nin siber dayanıklılığını artırmaya yönelik “geleceğe uygun” bir düzenlemeler bütünü olarak hazırlanmış ve 2022/2555 sayılı NIS2 Direktifi 27.12.2022 tarihli AB Resmî Gazetesi’nde yayımlanmıştır. NIS2 Direktifi, 16.01.2023 tarihinde yürürlüğe girmiş ve üye devletlere düzenlemeyi iç hukuklarına aktarmaları için 17.10.2024 tarihine kadar süre tanınmıştır. 17.10.2024 tarihinde Komisyon, NIS2 Direktifi kapsamında ilk uygulama kurallarının kabul edildiğini de duyurmuştur.

NIS2 Direktifinin Temel Unsurları

• NIS Direktifinin eksikliklerini gidermek ve mevcut gereksinimlere uygun bir siber güvenlik çerçevesi sağlamak amacıyla hazırlanan NIS2 Direktifi, önceki düzenlemenin yönelmediği sektörleri de kapsayacak şekilde genişletilmiştir. Bu bağlamda, seçilmiş sektörlerdeki tüm orta ve büyük ölçekli işletmelerin, düzenleme kapsamına dahil edileceği net bir büyüklük eşiği belirlenmiş ve yüksek güvenlik riski profiline sahip küçük işletmelerin de düzenleme kapsamına dahil edilmesine ilişkin olarak üye devletlere takdir yetkisi tanınmıştır.
• “Temel (essential) hizmet operatörleri” ile “dijital hizmet sağlayıcıları” arasındaki ayrım kaldırılmıştır. Kuruluşlar önemlerine göre “temel” ve “önemli” olmak üzere iki kategoriye ayrılmış ve bunların farklı denetim rejimlerine tabi tutulacağı düzenlenmiştir.
• Uygulanması gereken temel güvenlik unsurlarını içeren asgari bir liste oluşturulmuş ve olayların bildirilme/raporlanma süreci, raporların içeriği ve zaman çizelgelerine ilişkin daha net düzenlemeler getirilmiştir.
• Tedarik zinciri güvenliğine yönelik adımlar atılmış ve şirketlerin tedarik zinciri risklerini ele almaları zorunlu kılınmıştır. Ayrıca, AB düzeyinde temel bilgi ve iletişim teknolojilerine yönelik tedarik zinciri güvenliğini güçlendirme çalışmaları yürütüleceği belirtilmiştir. 
• Ulusal otoriteler için daha sıkı denetim ve yaptırım gereklilikleri öngörülmüş, üye devletler arasında yaptırım rejimlerinin uyumlu hâle getirilmesi hedeflenmiştir.
• Üye devletler arasında stratejik politika kararlarının şekillendirilmesinde İş Birliği Grubu’nun rolü güçlendirilmiş ve ulusal otoriteler arasında bilgi paylaşımı ve iş birliği desteklenmiştir. Diğer yandan, büyük ölçekli siber güvenlik olaylarının ve krizlerinin koordineli bir şekilde yönetilmesini desteklemek amacıyla “AB Siber Kriz İrtibat Organizasyonu Ağı” (EU-CyCLONe) oluşturulmuştur.
• Yeni keşfedilen güvenlik açıklarının AB genelinde koordineli bir şekilde bildirilmesini sağlayacak temel bir çerçeve oluşturularak, AB Siber Güvenlik Ajansı (ENISA) tarafından işletilecek olan AB güvenlik açığı veri tabanının oluşturulması düzenlenmiştir. Bu veri tabanı ile, bilgi teknolojileri ürünleri ve hizmetlerindeki güvenlik açıklarının takip edilmesi amaçlanmıştır.

NIS2 Direktifinin Kapsadığı Sektörler ve Kuruluş Türleri

NIS2 Direktifi, aşağıdaki sektörlerde faaliyet gösteren kuruluşları kapsamaktadır:

Yüksek Kritiklikteki Sektörler:

-       Enerji (elektrik, merkezi ısıtma ve soğutma, petrol, gaz ve hidrojen)

-       Ulaşım (hava, demir yolu, su ve kara ulaşımı)

-       Bankacılık,

-       Finansal pazar altyapıları,

-       Sağlık (aşı ve ilaç üretimi dâhil olmak üzere),

-       İçme suyu,

-       Atık su,

-       Dijital altyapı (internet değişim noktaları, DNS hizmet sağlayıcıları, TLD isim kayıt şirketleri, bulut bilişim hizmet sağlayıcıları, veri merkezi hizmet sağlayıcıları, içerik dağıtım ağları, güven hizmeti sağlayıcıları, kamuya açık elektronik iletişim ağları ve kamuya açık elektronik iletişim hizmetleri sağlayıcıları),

-       Bilgi ve iletişim teknolojileri hizmet yönetimi (yönetilen hizmet sağlayıcıları ve yönetilen güvenlik hizmet sağlayıcıları),

-       Kamu yönetimi,

-       Uzay.

Diğer Kritik Sektörler:

-       Posta ve kurye hizmetleri,

-       Atık yönetimi,

-       Kimya,

-       Gıda,

-       Tıbbi cihaz, bilgisayar ve elektronik, makine ve ekipman, motorlu taşıtlar, römork ve yarı römork ile diğer ulaşım ekipmanlarının üretimi,

-       Dijital sağlayıcılar (çevrim içi pazar yerleri, çevrim içi arama motorları ve sosyal ağ platformları),

-       Araştırma kuruluşları.

NIS2 Direktifinin Gerekliliklerine Uyulmamasının Yaptırımı

NIS2 Direktifinde belirtilen siber güvenlik risk yönetimi ve raporlama yükümlülüklerinin ihlaline yönelik olarak asgari bir idari yaptırım listesi oluşturulmuştur. Bunlar arasında; bağlayıcı talimatlar, bir güvenlik denetiminin tavsiyelerini uygulama emri, güvenlik önlemlerini Direktifin gereklilikleriyle uyumlu hâle getirme emri ve idari para cezaları gibi yaptırımlar yer almaktadır.

İdari para cezaları açısından bakıldığında, yükümlülüklerin adil bir şekilde dengelenmesini sağlamak adına “temel kuruluşlar” ile “önemli kuruluşlar” arasında ayrıma gidilmiştir.

-       Temel kuruluşlar açısından; 10 milyon avroya kadar veya yıllık küresel cirosunun %2’sine kadar (hangisi daha yüksekse),

-       Önemli kuruluşlar açısından; 7 milyon avroya kadar veya yıllık küresel cirosunun %1.4’üne kadar (hangisi daha yüksekse) idari para cezası uygulanabilmektedir.

Ayrıca NIS2 Direktifi, kurumsal düzeyde siber güvenlik önlemleri için gerçek anlamda hesap verebilirliği sağlamak amacıyla, düzenlemenin kapsamına dâhil olan kuruluşlarda üst düzey yönetici pozisyonlarında bulunan gerçek kişilerin sorumluluğuna ilişkin hükümler getirmektedir.

Sonuç olarak bakıldığında NIS2 Direktifi, dijital dönüşümün günden güne hız kazandığı bu dönemde, AB genelinde siber güvenlik standartlarını yükselterek kritik altyapıların ve dijital hizmetlerin güvenliğini sağlamayı hedefleyen kapsamlı bir düzenleme olması yönüyle önem taşımaktadır. Bu bağlamda Direktif, özellikle risk yönetimi, tedarik zinciri güvenliği ve kurumlar arası iş birliğini güçlendiren hükümleriyle, üye devletler arasında uyumlu ve güçlü bir siber güvenlik altyapısı oluşturulmasına katkı sağlayacak niteliktedir.

Dijital dünyada karşılaşılan güvenlik zorluklarının üstesinden gelmede NIS2’nin sağladığı bütüncül yaklaşım, toplumsal güvenliği desteklemekte ve dijital ekosistemin daha güvenilir bir hâle getirilmesine katkı sağlamaktadır. Bu yönleriyle NIS2 Direktifi, geleceğe yönelik güçlü bir siber güvenlik altyapısı kurulması yolunda, AB’nin dijital güvenlik stratejisinde kritik bir işlev görmektedir. Diğer yandan bu düzenleme, AB sınırları içerisinde yüksek güvenlik standartları sağlamanın ötesinde, küresel boyutta siber güvenliğin sağlanması açısından da önemli bir çerçeve sunmaktadır.