NIS 2 Direktifi

NIS 2 Direktifi, Avrupa Birliği ülkelerinde üst düzeyde ortak siber güvenlik sağlamayı amaçlayan AB direktifidir. Bu direktif, 2016 tarihli orijinal NIS Direktifinin yerini alır ve güvenlik gerekliliklerini güçlendirir, tedarik zincirlerinin güvenliğine odaklanır ve uyumlaştırılmış cezalar ortaya koyar. NIS 2 Direktifi, Avrupa Parlamentosu ve AB Konseyi tarafından 2022 yılı sonunda kabul edilmiştir ve 18.10.2024 tarihinden itibaren AB'de uygulanmaktadır. Üye devletler, bu direktifi iç hukuklarına aktarmalıdır.

NIS 2 öncelikli olarak şirketlere yönelik gereksinimleri ele alır:

NIS 1 Direktifi esasen kritik altyapılar ve ilgili dijital hizmetlerin sağlayıcıları için geçerliyken, NIS 2 Direktifi, üretim ticaretini de kapsayacak şekilde sektörleri genişletir: mühendislik, bilgi işlem cihazları, elektronik ve optik ürünler, elektrikli ekipman, motorlu taşıtlar ve motorlu taşıt parçaları üreticileri ile diğer tüm araç yapım faaliyetleri. Bu sektörlerde, 50'den fazla çalışana sahip veya yıllık cirosu ya da yıllık bilançosu 10 milyon Euro üzerinde olan şirketler için bu direktif geçerlidir.

NIS 2 ile uyumluluğu sağlamak için, etkilenen kuruluşlar aşağıdakiler dahil olmak üzere çeşitli önlemler almalıdır:

• Risk yönetimi: Riskleri belirlemeye ve değerlendirmeye yönelik süreçlerin uygulanması.
• Güvenlik önlemleri: Riski azaltmaya yönelik teknik ve organizasyonel önlemlerin alınması.
• Olayların raporlanması: Güvenlik olaylarının yetkili makamlara bildirilmesine yönelik prosedürlerin uygulanması.
• İzleme ve denetimler: Güvenlik önlemlerinin düzenli olarak incelenmesi ve değerlendirilmesi.

NIS 2, AB Üyesi Devletlerdeki ulusal makamlar tarafından uygulanır ve bu makamlar direktife uyumluluğun sağlanmasından ve izlenmesinden sorumludur. Almanya'daki yetkili makam, Federal Bilgi Güvenliği Ofisi'dir (BSI).

Uygulama önlemleri:

1. Raporlama yükümlülükleri: Şirketler güvenlikle ilgili olayları bildirmelidir. NIS 2, şeffaflığı ve yanıt verme kapasitesini artırmak için üç kademeli bir raporlama sistemi ortaya koyar.
2. Denetim önlemleri: Alman Federal Bilgi Güvenliği Ofisi (BSI), güvenlik gerekliliklerine uyum sağlandığını doğrulamak için denetim ve teftiş yapma yetkisini genişletmiştir.
3. Cezalar: Direktife uyulmaması, ihlalin ciddiyet derecesine bağlı olarak değişen cezalarla sonuçlanabilir.

Destek ve tavsiye:
BSI, NIS 2'nin uygulanmasını kolaylaştırmak için direktifi uygulaması gereken şirketlere destek ve tavsiye sunar. Şirketler, BT güvenliklerini iyileştirmek ve yeni gerekliliklere hazır olmak için proaktif önlemler almalıdır. Avrupa Birliği Siber Güvenlik Ajansı (ENISA) siber güvenlik üzerine pek çok faydalı bilgi sunmaktadır.

NIS 2, Siber Dayanıklılık Yasası ve Makine Regülasyonu, siber güvenlik ve dayanıklılığı güçlendirmeye yönelik kapsamlı bir AB yönetmelik çerçevesinin parçasıdır. NIS 2 ağlar ile bilgi sistemlerinin güvenliğine ve kurumsal düzeyde gerekliliklere odaklanırken, Siber Dayanıklılık Yasası dijital unsurlar içeren ürünlerin siber güvenliğini iyileştirmeyi hedefler. Makine Regülasyonu, makine ve endüstriyel ürünlere yönelik güvenlik gerekliliklerini belirleyerek bu önlemleri tamamlamaktadır.

• İlave Endüstriyel Güvenlik spesifikasyonları (IEC 62443 dahil)
• Avrupa Birliği Siber Güvenlik Ajansı (ENISA)