ETİK
KÜLTÜR & SANAT
NIS2 Direktifi: AB'de Yüksek Düzeyde Ortak Siber Güvenlik Bölüm-1
.jpg)
NIS2 Direktifi
AB'de Yüksek Düzeyde Ortak Siber Güvenlik
Bölüm-1
.png)
EPRS | Avrupa Parlamentosu Araştırma Servisi
Yazar: Mar Negreiro
Üyelerin Araştırma Servisi
PE 689.333 - Şubat
.png)
Çeviri düzenleme: Sabri Günaydın
Aşağıdaki yazı AB Parlamentosu web sitesindeki orjinal İngilizce versiyonundan alınarak ETP Sabri Günaydın tarafından yapay zeka çevri yazılımları kullanarak Türkçe'ye tercüme edilerek düzenlenmiştir.
Kaynak: https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333
Yazı iki bölüm halinde yayınlanacaktır. AB Parlamentosu ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP Sabri Günaydın Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.
Türkçe çeviride göreceğiniz olası hataları " iletisim@etp.com.tr " adresine e-posta göndermenizi rica ederiz.
Bu yazının ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e teşekkür ederiz.
Sabri Günaydın
.png)
Kaynak: https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333
Yazı iki bölüm halinde yayınlanacaktır. AB Parlamentosu ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP Sabri Günaydın Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.
Türkçe çeviride göreceğiniz olası hataları " iletisim@etp.com.tr " adresine e-posta göndermenizi rica ederiz.
Bu yazının ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e teşekkür ederiz.
Sabri Günaydın
NIS2 Direktifi
AB'de Yüksek Düzeyde Ortak Siber Güvenlik
Bölüm-1
Genel bakış
Ağ ve Bilgi Güvenliği (NIS) Direktifi, AB çapında siber güvenlikle ilgili ilk mevzuattır ve özel amacı Üye Devletler arasında yüksek düzeyde ortak bir siber güvenlik sağlamaktır. Üye Devletlerin siber güvenlik kapasitelerini arttırmış olsa da, uygulanması zor olmuş ve iç pazarda farklı düzeylerde parçalanmaya yol açmıştır.
Dijitalleşme ve siber saldırılardaki artışla birlikte artan tehditlere yanıt vermek üzere Komisyon, NIS Direktifini değiştirmek ve böylece güvenlik gerekliliklerini güçlendirmek, tedarik zincirlerinin güvenliğini ele almak, raporlama yükümlülüklerini düzene sokmak ve AB genelinde uyumlaştırılmış yaptırımlar da dâhil olmak üzere daha sıkı denetim önlemleri ve daha katı uygulama gereklilikleri getirmek üzere bir teklif sunmuştur. NIS2'nin kapsadığı alanın genişletilmesi önerisi, daha fazla kuruluş ve sektörün önlem almasını etkin bir şekilde zorunlu kılarak, uzun vadede Avrupa'da siber güvenlik düzeyinin artırılmasına yardımcı olacaktır.
Avrupa Parlamentosu'nda dosya Sanayi, Araştırma ve Enerji Komitesi'ne havale edildi. Komite raporunu 28 Ekim 2021'de kabul ederken, Konsey de 3 Aralık 2021'de tutumunu kabul etti. Ortak yasa koyucular 13 Mayıs 2022 tarihinde metin üzerinde geçici bir anlaşmaya vardılar. Siyasi anlaşma Kasım 2022'de Parlamento ve ardından Konsey tarafından resmen kabul edildi. Anlaşma 16 Ocak 2023 tarihinde yürürlüğe girmiş olup, Üye Devletlerin önlemleri ulusal hukuka aktarmak için 17 Ekim 2024 tarihine kadar 21 ay süreleri bulunmaktadır.
.png)
Direktif (AB) 2022/2555 için lütfen aşağıdaki linki tıklayınız.
OJ L 333, 27.12.2022, s. 80-152.
Giriş
Siber saldırılar, dünya çapında en hızlı büyüyen suç türleri arasında yer almanın yanı sıra ölçek, maliyet ve karmaşıklık açısından da büyümektedir. 2017 yılında Cybersecurity Ventures, küresel fidye yazılımı hasar maliyetlerinin 2021 yılına kadar 20 milyar ABD dolarına ulaşacağını ve bu rakamın 2015 yılındaki miktardan 57 kat daha fazla olacağını tahmin etmiştir.
Ayrıca, şirketlerin 2016 yılında her 40 saniyede bir fidye yazılımı saldırısı ile karşı karşıya kalacağı öngörüsü, 2021 yılına kadar her 11 saniyede bir gerçekleşti.
Sonuç olarak, işletmelerin siber uzayı kendileri ve müşterileri için daha güvenli hale getirmek için daha fazla yatırım yapmaları gerekiyor. Sadece şirketler değil, vatandaşlar ve tüm ülkeler de bu durumdan etkilenmiştir; bir ülkeye yönelik bilinen ilk siber saldırı Nisan 2007'de Estonya'ya düzenlenmiş ve bankaların, medya kuruluşlarının ve devlet kurumlarının çevrimiçi hizmetlerini haftalarca etkilemiştir. O zamandan bu yana, elektrik güç sistemleri, hastaneler veya su tesisleri gibi kritik altyapılar da dahil olmak üzere birçok ülke siber saldırılara maruz kalmıştır. Bir Eurobarometer anketine göre, katılımcıların yaklaşık dörtte üçü (%76) siber suç kurbanı olma riskinin arttığına inanmaktadır. 2019 yılında ABD nüfusunun yaklaşık %64'ü bir veri ihlali yaşamış ve dünya genelindeki kuruluşların %88'i 'spear-phishing' girişimlerine maruz kalmıştır.
Siber saldırıların artan sayısı ve maliyeti göz önüne alındığında, bilgi güvenliğine yapılan harcamalar da dünya çapında artmaktadır. Küresel güvenlik pazarı şu anda yaklaşık 150 milyar ABD doları değerindedir ve bu rakamın 2023 yılında 208 milyar ABD dolarına, 2026 yılında ise 400 milyar ABD dolarına yükseleceği tahmin edilmektedir.
Ulaşım, enerji, sağlık ve finans gibi kritik sektörler, temel işlerini yürütmek için dijital teknolojilere giderek daha fazla bağımlı hale gelmiştir. Artan dijital bağlanabilirlik muazzam fırsatları beraberinde getirirken, ekonomileri ve toplumları siber tehditler ile karşı karşıya bırakmaktadır. Siber güvenlik olaylarının sayısı, karmaşıklığı ve ölçeği artmakta, ekonomik ve sosyal etkileri de büyümektedir.
Koronavirüs pandemisi, dünyanın dört bir yanındaki toplumların dijital dönüşümünde öngörülemeyen bir ivmeyi tetikledi. Bununla birlikte, dijital bölünme ( Bilgi teknolojilerine erişimde eşitsizlik) gibi mevcut sorunları da şiddetlendirdi ve siber güvenlik olaylarında küresel bir artışa katkıda bulundu. Bu benzeri görülmemiş durum sırasında, Europol'ün yakın tarihli bir raporunun da ortaya koyduğu üzere, Üye Devletler genelinde kötü niyetli siber faaliyetlerde bir artış yaşanmıştır. Siber güvenlik sorunları AB için günlük bir mücadele haline gelmektedir.
AB Ağ Bilgi Güvenliği Ajansı'nın (ENISA) izleme raporlarına göre, siber suçlar, özellikle de fidye yazılımı kullanan büyük siber saldırılar söz konusu olduğunda, giderek daha fazla paraya dönüşmektedir. Benzer şekilde, artan e-ticaret ve nakit olmayan ödemeler, siber suç saldırıları ve siber güvenlik ihlalleri risklerini de artırmaktadır. Ödemelerin giderek nakit olmayan hale gelmesiyle birlikte, hem para hem de kişisel verilerin çevrimiçi hırsızlığı da artmaktadır. ENISA Threat Landscape 2021 raporu, siber saldırıların daha sofistike, hedefli, yaygın ve tespit edilmemiş hale geldiğini göstermekte ve toplumların daha güvenli bir dijital ortam sağlayabilmeleri için önlerinde uzun bir yol olduğu sonucuna varmaktadır. Verizon'a göre, 2019 yılında gerçekleşen ihlallerin %86'sı finansal motivasyonla, %10'u ise casuslukla gerçekleştirilmiştir. İhlallerin yaklaşık %45'inde bilgisayar korsanlığı, %17'sinde kötü amaçlı yazılım ve %22'sinde kimlik avı yer almıştır. Bu eğilimin, Nesnelerin İnterneti'ne (IoT) bağlı cihazların çoğalması gibi teknolojik gelişmelere paralel olarak daha da artması beklenmektedir. 2024'e kadar 22.3 milyar IoT cihazının kullanımda olmasının beklendiği giderek daha bağlantılı hale gelen bir dünyada, siber güvenlik alanında artan zorluklar AB'nin vatandaşlarını ve şirketlerini siber tehditlere ve saldırılara karşı nasıl daha iyi koruyabileceği üzerine düşünmesine yol açmıştır.
Mevcut durum
AB siber güvenlik ekosisteminin oluşturulması ve geliştirilmesine yönelik ilk adım 2013 yılında bir siber güvenlik stratejisinin kabul edilmesi olmuştur. Strateji, siber dayanıklılığın sağlanmasını ve siber güvenlik için endüstriyel ve teknolojik kaynakların geliştirilmesini temel hedefler olarak belirlemiştir. Üye Devletler tarafından 9 Mayıs 2018 tarihine kadar iç hukuka aktarılması gereken AB genelinde Ağ ve Bilgi Sistemlerinin Güvenliğine ilişkin Direktif (NIS Direktifi), siber güvenliğe ilişkin AB çapındaki ilk mevzuatı temsil etmektedir. Kritik altyapının korunmasına odaklanarak AB'deki genel siber güvenlik seviyesini artırmaya yönelik yasal tedbirler öngörmüştür. Diğer hususların yanı sıra, hem siber güvenlik konusunda bilgi alışverişini hem de belirli siber güvenlik olaylarında işbirliğini sağlamak için NIS İşbirliği Grubunu ve Bilgisayar Güvenliği Olay Müdahale Ekipleri (CSIRTs) ağını kurmuştur
Direktifin ulusal mevzuata aktarılması (9 Mayıs 2018'e kadar) ve temel hizmet operatörlerinin belirlenmesi (9 Kasım 2018'e kadar) için yaklaşan son tarihler göz önünde bulundurularak, Komisyon 13 Eylül 2017'de Üye Devletlerin direktifin AB genelinde hızlı ve tutarlı bir şekilde uygulanması çabalarına destek olmayı amaçlayan bir tebliğ kabul etti. Komisyon, Üye Devletlere direktifin uygulanmasına ilişkin en iyi uygulamalar hakkında bilgi veren ve bazı hükümlerine açıklık getiren bir NIS araç seti sunmuştur.
2020 yılına kadar tüm Üye Devletler, direktifi ulusal mevzuatlarına tam olarak aktardıklarını Komisyon'a bildirmişlerdir.
Siber güvenlikle bağlantılı diğer yasama girişimleri, Komisyon'un siber güvenlik ve kritik altyapı koruması alanında kamu ve özel kuruluşların, yetkili makamların ve bir bütün olarak AB'nin dayanıklılığını ve olaylara müdahale kapasitesini daha da arttırmak için bir siber güvenlik önlemleri paketi sunduğu 2017 yılına kadar uzanmaktadır. Ayrıca AB siber güvenlik ajansı için kalıcı ve geliştirilmiş bir rol ve Siber Güvenlik Yasası ile sonuçlanan ilk AB siber güvenlik sertifikasyon çerçevesinin oluşturulmasını talep etmiştir.
O zamandan bu yana, 2020-2025 yılları için yeni bir AB siber güvenlik stratejisi kabul edilmiş olup, birçok hususun yanı sıra NIS Direktifinin gözden geçirilmesi, yeni bir kritik varlıkların dayanıklılığı (CER) direktifinin kabul edilmesi, bir güvenlik operasyon merkezleri (SOC) ağı ve AB siber diplomasi araç kutusunun güçlendirilmesi için yeni tedbirler önerilmektedir. Komisyon'un Avrupa'yı dijital çağa uygun hale getirme ve insanlar için çalışan geleceğe hazır bir ekonomi inşa etme öncelikleriyle uyumludur.
NIS Direktifinin 2016 yılında kabul edilmesinden bu yana tehdit ortamı önemli ölçüde değişmiştir ve direktifin kapsamının mevcut riskleri ve gelecekteki zorlukları karşılamak için güncellenmesi ve genişletilmesi gerekmektedir; bu zorluklardan biri de 5G teknolojisinin güvenli olmasını sağlamaktır. Buna ek olarak, direktifin iç hukuka aktarılması ve uygulanması, direktifin kapsamının net bir şekilde sınırlandırılmaması gibi bazı hükümlerde veya yaklaşımlarda içsel kusurları ortaya çıkarmıştır. Ayrıca, koronavirüs krizinin başlangıcından bu yana, AB ekonomisi ağ ve bilgi sistemlerine her zamankinden daha fazla bağımlı hale geldi ve sektörler ve hizmetler giderek daha fazla birbirine bağlandı.
Pandemi, AB'nin dijital on yıla hazırlanmasının önemini ve özellikle sağlık ve enerji gibi temel hizmetleri yürütenler için siber dayanıklılığı sürekli olarak geliştirme ihtiyacını fazlasıyla teyit etmiştir.
AB siber güvenlik girişimlerine yönelik finansman, 2021-2027 programlama döneminde Dijital Avrupa Programı, Horizon Europe, Avrupa Savunma Fonu ve AB Kurtarma ve Dayanıklılık Tesisi gibi araçların bir karışımı yoluyla artmıştır. AB'nin hedefi 4.5 milyar Euro'luk birleşik yatırıma ulaşmaktır. Özellikle de yakın zamanda kurulan Siber Güvenlik Yetkinlik Merkezi ve Koordinasyon Merkezleri Ağı kapsamında KOBİ'lere yönelik.
Mevcut içtihat hukuku açısından, AB Adalet Divanı, C-58/08 Vodafone ve diğerleri davasında verdiği kararda, NIS Direktifinin uygulama kapsamı ve siber güvenlik risk yönetimi ve olay raporlamasına ilişkin kuralların uyumlaştırılması konusunda net ortak kurallar oluşturulması gerektiğini göstermiştir. Bu alanda yasama, denetim, ulusal ve AB düzeyindeki mevcut eşitsizlikler iç pazarın önünde engel teşkil etmektedir, çünkü sınır ötesi faaliyetlerde bulunan kuruluşlar farklı ve muhtemelen birbiriyle örtüşen düzenleyici gerekliliklerle ve/veya bunların uygulanmasıyla karşı karşıya kalmakta, bu da kuruluş ve hizmet sunma özgürlüklerinin kullanılmasına zarar vermektedir.
Parlamento'nun başlangıç pozisyonu
Avrupa Parlamentosu 12 Mart 2019 tarihli bir kararla "... Komisyona, NIS Direktifinin kapsamını sektöre özgü mevzuat kapsamında olmayan diğer kritik sektör ve hizmetleri de kapsayacak şekilde genişletme ihtiyacını değerlendirme" çağrısında bulunmuştur
Siber suçlarla mücadeleye ilişkin 3 Ekim 2017 tarihli bir kararda Parlamento, artan bağlantılı cihaz sayısı ışığında, tüm cihazların güvenliğine dikkat çekilmesi ve tasarım yoluyla güvenlik yaklaşımının teşvik edilmesi için harekete geçilmesi çağrısında bulundu. Üye Devletleri, NIS Direktifinde öngörüldüğü üzere, işletmelerin ve tüketicilerin kötü niyetli e-postaları ve web sitelerini bildirebilecekleri bilgisayar acil müdahale ekiplerinin kurulmasını hızlandırmaya çağırdı.
Parlamento, 16 Ocak 2016 tarihli Dijital Tek Pazar Yasasına Doğru başlıklı kararında Komisyon'a güçlü bir siber güvenlik kurumu oluşturması çağrısında bulunmuştur. Daha spesifik olarak, ENISA'nın rolünün arttırılmasıyla birlikte siber saldırılara karşı dayanıklılığın arttırılması için çaba sarf edilmesi çağrısında bulunmuştur.
Konsey ve Avrupa Konseyi başlangıç konumu
Bağlantılı cihazların güvenliğine ilişkin 2 Aralık 2020 tarihli kararlarında Konsey, Komisyonu, daha yüksek güvenlik risklerine sahip cihazlar için özel güvenlik ve gizlilik gerekliliklerinin yerine getirilmesini sağlamak üzere bağlantılı cihaz tarafından hangi siber güvenlik düzeyinin karşılanması gerektiğini tanımlaması gereken sektöre özgü özel tamamlayıcı özgü düzenlemeleri değerlendirmeye teşvik etmiştir.
Konsey, 2 Ekim 2020 tarihli kararlarında, AB genelinde çok yüksek kapasiteli ve güvenli ağ altyapılarının (fiber ve 5G dahil) dağıtımının hızlandırılması ve AB'nin kendini koruma kabiliyetinin arttırılması çağrısında bulunmuştur. Konsey ayrıca AB ve Üye Devletleri 29 Ocak 2020'de kabul edilen 5G siber güvenlik araç kutusundan tam olarak yararlanmaya çağırmıştır.
Konsey, çalışmalarının 9 Haziran 2020 tarihlli kararlarında "...Komisyon'un, Üye Devletlerin ulusal güvenlik sorumlulukları da dâhil olmak üzere yetkilerine saygı göstererek, özellikle temel ekonomik ve toplumsal faaliyetlere yönelik siber saldırılara karşı daha iyi siber dayanıklılık ve daha etkili yanıtlar için seçenekleri takip etmek üzere, ağ ve bilgi sistemlerinin güvenliğine ilişkin Direktifin (NIS Direktifi) gözden geçirilmesi de dâhil olmak üzere, piyasa operatörleri için tutarlı kurallar sağlama ve tehditlerin yanı sıra olaylara ilişkin güvenli, sağlam ve uygun bilgi paylaşımını kolaylaştırma planlarını" memnuniyetle karşılamıştır.
Teklifin hazırlanması
Teklifi desteklemek ve kanıt toplamak için Komisyon açık bir kamu danışması (OPC) yürütmüş, paydaş görüşmeleri, ülke ziyaretleri, çalıştaylar ve anketler başlatmış, NIS yatırımı ve etki değerlendirmesi üzerine bir çalışma yapmış ve bir yol haritası hazırlamıştır.
Tamamlanan girdi faaliyetlerinden bazılarının ana sonuçları aşağıda kısaca açıklanmaktadır.
Kamuoyuna açık danışma
OPC, NIS Direktifinin değerlendirilmesine ve etki değerlendirmesine katkıda bulunmuştur. Vatandaşları, paydaşları ve siber güvenlik uzmanlarını hedefleyen sorular içeriyordu. OPC, 7 Temmuz 2020'de başlayıp 2 Ekim 2020'de sona eren 12 haftalık bir süre boyunca gerçekleştirilmiştir. 182'si AB-27'de bulunan katılımcılardan olmak üzere toplam 206 yanıt çevrimiçi olarak toplanmıştır. En sıcak konu, Üye Devletlerin temel hizmet operatörleri (OES'ler) ve dijital hizmet sağlayıcıları (DSP'ler) listelerini hazırlama yöntemlerinde önemli tutarsızlıklara yol açan uyumlu bir yaklaşımın olmamasıydı. Sonuç olarak, aynı türdeki şirketler faaliyet gösterdikleri Üye Devlete bağlı olarak farklı gerekliliklerle karşılaşabilmektedir. Benzer şekilde, bir şirket bir Üye Devlette OES olarak tanımlanırken başka bir Üye Devlette DSP olarak tanımlanabilir,1 veya bir hizmet sağlayıcı olarak, dolayısıyla başka bir Üye Devlette NIS Direktifi kapsamı dışında bırakılmıştır. OES'lerin belirlenmesine ilişkin yanıtlar, Üye Devletlerin yaklaşımlarının genellikle oldukça heterojen olduğunu göstermektedir. Bu amaçla, uyumlu bir OES tanımlama süreci sağlamak için ortak bir dizi kriter oluşturulması önerilmiştir.
OPC, Üye Devletler tarafından kullanılan bazı tanımlama uygulamalarının iç pazardaki oyun alanını olumsuz etkileyebileceği ve potansiyel olarak kuruluşları sınır ötesi siber tehditlere karşı daha savunmasız hale getirebileceği sonucuna varmıştır.
OPC katılımcılarının büyük bir çoğunluğu, siber risklerin sınırlar arasında yüksek hızda yayılabildiği göz önüne alındığında, siber tehditlerin ele alınması için ortak AB kurallarına ihtiyaç duyulduğu konusunda hemfikirdir.
Genel sonuçlar, OPC katılımcılarının ortalama olarak kamu idarelerinin ve veri merkezlerinin NIS Direktifi kapsamına dahil edilmesine önemli ölçüde daha fazla destek verdiğini ortaya koymuştur.
Şekil 1: Tespit edilen OES'lerin sayısı AB genelinde önemli farklılıklar göstermektedir..png)
Kaynak: Avrupa Komisyonu, 2020.
Yatırımlara ilişkin ENISA çalışması
Aralık 2020 ENISA NIS yatırımları raporu, Fransa, Almanya, İtalya, İspanya ve Polonya'dan 251 OES ve DSP kuruluşunun siber güvenlik harcamalarına yaklaşımlarını inceleyen bir anketin bulgularını sunmaktadır. Anket, OES ve DSP'lerin %82'sinin NIS Direktifinin olumlu bir etkisi olduğunu düşündüğünü göstermiştir. Ancak yatırımlardaki boşluklar hala devam etmektedir. AB'deki kuruluşlar ABD'deki meslektaşlarıyla karşılaştırıldığında, veriler AB kuruluşlarının siber güvenliğe ABD'deki meslektaşlarından ortalama %41 daha az bütçe ayırdığını göstermektedir.
Etki değerlendirmesi
Komisyon, mevcut teklif için üç farklı belgeden oluşan bir etki değerlendirmesi (IA) yürütmüştür. IA, NIS incelemesi için temel seçenek de dahil olmak üzere dört farklı politika seçeneğini araştırmıştır:
0) mevcut durumun korunması;
1) iç hukuka aktarımın uyumlaştırılması için mevzuat dışı önlemler;
2) daha fazla uyumlaştırma için NIS Direktifinde sınırlı değişiklikler; ve
3) NIS Direktifinde sistemik ve yapısal değişiklikler.
Seçenek 1, mevcut durumdan önemli ölçüde ayrılmadığı için erken bir aşamada elenmiştir. Analiz sonucunda 3. seçeneğin - NIS çerçevesinde sistemik ve yapısal değişiklikler - tercih edildiği sonucuna varılmıştır. Seçenek 3, uygulama kapsamını net bir şekilde belirlerken, oransal olarak büyük ve kilit şirketleri hedefleyen daha odaklı bir denetimle, AB genelinde ekonomilerin daha geniş bir kesimini kapsamaya yönelik daha temel bir yaklaşım değişikliği öngörmektedir. Ayrıca şirketlerin güvenlikle ilgili yükümlülüklerini düzene sokacak ve daha fazla uyumlaştıracak, operasyonel hususlar için daha etkili bir ortam yaratacak, ilgili kuruluşların ortak sorumlulukları ve hesap verebilirlikleri için net bir temel oluşturacak ve bilgi paylaşımını teşvik edecektir.
IA, 23 Ekim 2020 tarihinde Düzenleyici Denetleme Kurulu'na (RSB) sunulmuş ve 20 Kasım 2020 tarihinde yorumlarla birlikte olumlu bir görüş şeklinde geri bildirim almıştır. RSB, IA'nın 'temel' ve 'önemli' sektörler arasında net bir ayrım yapması, bu kategorilerin oluşturulmasına yönelik kriterleri netleştirmesi ve alternatif yaklaşımların mümkün olup olmadığını değerlendirmesi gerektiği konusunda ısrar etmiştir. Komisyondan, sektörel kapsam tanımının maruz kalma tehlikesini diğer sektörlere kaydırma riski taşıyıp taşımadığı konusunu genişletmesini ve sektör seçiminin nasıl geleceğe dönük hale getirilebileceğini analiz etmesini istemiştir.
RSB ayrıca IA'nın, direktifin çözmeyi amaçladığı sorunlara daha iyi odaklanmak için sorun analizini güçlendirmesi gerektiğini gözlemlemiştir. Ayrıca, IA raporlama, denetim ve krize müdahale konularında daha kapsamlı bir dizi seçenek içermelidir. Aynı zamanda revizyon aşamasında olan bağlantılı Avrupa Kritik Altyapı Direktifi ile etkileşim yollarını da içermelidir. Son olarak IA, özellikle orta ölçekli işletmeler için uyum maliyetlerinin analizini güçlendirmelidir.
EPRS tarafından hazırlanan ilk değerlendirme IA'nın detaylı bir analizini sunmaktadır. Buna göre, NIS2 teklifi UA'nın genel değerlendirmelerini takip ediyor gibi görünmektedir. UA'da tanımlanan tercih edilen seçenek teklifin merkezinde yer almaktadır. Bununla birlikte, izleme hükümleri teklifte UA'da olduğu gibi aynı ayrıntı düzeyinde ortaya konmuş görünmemektedir
NIS değerlendirmesi
NIS Direktifi'nin 23. Maddesi, Komisyon'un NIS Direktifi'nin işleyişini periyodik olarak gözden geçirmesini gerektirmektedir. Komisyon, 'Avrupa'yı dijital çağa uygun hale getirme' temel politika hedefinin bir parçası olarak ve güvenlik birliği hedefleri doğrultusunda, 2020 çalışma programında 2020 yılı sonuna kadar gözden geçirme yapacağını duyurmuştur.
25 Haziran 2020 tarihinde Komisyon, NIS Direktifi'nin revizyonuna ilişkin birleşik bir değerlendirme yol haritası/ince etki değerlendirmesi yayınlamış ve buna göre 'Üye Devletlerdeki ağ ve bilgi sistemlerinin güvenlik düzeyine dayalı olarak NIS Direktifi'nin işleyişini değerlendirmeyi' planlamıştır. Komisyon, NIS Direktifi'nin 23. Maddesi kapsamındaki gerekliliğe ek olarak, revizyonun 'Covid-19 krizi sırasında bilgi teknolojisine olan bağımlılıktaki ani artışla daha da haklı hale geldiğinin' altını çizdi. Komisyon, 'NIS Direktifinin işleyişinin değerlendirilmesinden, açık bir kamu istişaresinden ve bir etki değerlendirmesinden elde edilecek sonuçlara bağlı olarak, Komisyon'un Birlik içerisinde siber güvenlik düzeyini arttırmaya yönelik tedbirler önerebileceğini' ifade etmiştir.
Komisyon değerlendirmesi, NIS direktifini uygunluk, AB katma değeri, tutarlılık, etkinlik ve verimlilik açısından analiz etmiştir. Başlıca bulguları, NIS Direktifi'nin kapsamının, esas olarak: i) son yıllarda artan dijitalleşme ve daha yüksek derecede birbirine bağlılık; ve ii) NIS Direktifi'nin kapsamının artık ekonomiye ve topluma bir bütün olarak kilit hizmetler sağlayan tüm dijitalleşmiş sektörleri yansıtmaması nedeniyle, kapsanan sektörler açısından çok sınırlı olduğudur.
Ayrıca değerlendirme, NIS Direktifinin OES'ler için kapsam kriterleri veya dijital hizmet sağlayıcılar üzerindeki ulusal yetki konusunda yeterli açıklık sağlamadığı sonucuna varmıştır. Bu durum, bazı Üye Devletlerde belirli türdeki kuruluşların tanımlanmadığı ve dolayısıyla güvenlik önlemleri almalarının ve olayları rapor etmelerinin gerekmediği bir duruma yol açmıştır. Örneğin, bir Üye Devletteki bazı büyük hastaneler NIS Direktifi kapsamına girmez ve dolayısıyla ortaya çıkan güvenlik tedbirlerini uygulamaları gerekmezken, başka bir Üye Devlette neredeyse her bir sağlık hizmeti sağlayıcısı NIS güvenlik gereklilikleri kapsamındadır.
NIS Direktifi, OES'ler için güvenlik ve olay raporlama gerekliliklerini belirlerken Üye Devletlere geniş takdir yetkisi tanımıştır. Değerlendirme, bazı durumlarda Üye Devletlerin bu gereklilikleri önemli ölçüde farklı şekillerde uyguladığını ve birden fazla Üye Devlette faaliyet gösteren şirketler için ek bir yük oluşturduğunu göstermektedir.
NIS Direktifinin denetim ve uygulama rejimi etkisizdir. Üye Devletlerin görevlerini (OES tanımlama veya denetleme gibi) yerine getirmek için ayırdıkları mali ve insan kaynakları ve dolayısıyla siber güvenlik riskleriyle başa çıkma konusundaki farklı yeterlilik düzeyleri büyük farklılıklar göstermektedir. Bu durum Üye Devletler arasındaki siber dayanıklılık farklılıklarını daha da arttırmaktadır.
Üye Devletler birbirleriyle sistematik bir şekilde bilgi paylaşmamakta, bu da özellikle siber güvenlik tedbirlerinin etkinliği ve AB düzeyinde ortak durumsal farkındalık düzeyi açısından olumsuz sonuçlar doğurmaktadır. Bu durum özel kuruluşlar arasındaki bilgi paylaşımı ve AB düzeyindeki işbirliği yapıları ile özel kuruluşlar arasındaki etkileşim için de geçerlidir.
SORUMLULUK REDDİ VE TELİF HAKKI
Bu belge, Avrupa Parlamentosu Üyeleri ve personeline parlamento çalışmalarında yardımcı olmak üzere arka plan malzemesi olarak hazırlanmış ve onlara hitap etmektedir. Belgenin içeriğinden yalnızca yazar(lar) sorumludur ve burada ifade edilen görüşler Parlamento'nun resmi pozisyonunu temsil ettiği şeklinde algılanmamalıdır.
© Avrupa Birliği, 2023.
eprs@ep.europa.eu (iletişim)
www.eprs.ep.parl.union.eu (intranet)
www.europarl.europa.eu/thinktank (internet)
http://epthinktank.eu (blog)
Dördüncü baskı. 'Yürürlükteki AB Mevzuatı' brifingleri yasama süreci boyunca önemli aşamalarda güncellenmektedir.
Bundan sonraki ikinci ve son bölümde " Teklifin getireceği değişiklikler, Danışma komiteleri, Paydaş görüşleri, Yasama Süreci " yayınlacaktır.
Kaynak: https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333
Ağ ve Bilgi Güvenliği (NIS) Direktifi, AB çapında siber güvenlikle ilgili ilk mevzuattır ve özel amacı Üye Devletler arasında yüksek düzeyde ortak bir siber güvenlik sağlamaktır. Üye Devletlerin siber güvenlik kapasitelerini arttırmış olsa da, uygulanması zor olmuş ve iç pazarda farklı düzeylerde parçalanmaya yol açmıştır.
Dijitalleşme ve siber saldırılardaki artışla birlikte artan tehditlere yanıt vermek üzere Komisyon, NIS Direktifini değiştirmek ve böylece güvenlik gerekliliklerini güçlendirmek, tedarik zincirlerinin güvenliğini ele almak, raporlama yükümlülüklerini düzene sokmak ve AB genelinde uyumlaştırılmış yaptırımlar da dâhil olmak üzere daha sıkı denetim önlemleri ve daha katı uygulama gereklilikleri getirmek üzere bir teklif sunmuştur. NIS2'nin kapsadığı alanın genişletilmesi önerisi, daha fazla kuruluş ve sektörün önlem almasını etkin bir şekilde zorunlu kılarak, uzun vadede Avrupa'da siber güvenlik düzeyinin artırılmasına yardımcı olacaktır.
Avrupa Parlamentosu'nda dosya Sanayi, Araştırma ve Enerji Komitesi'ne havale edildi. Komite raporunu 28 Ekim 2021'de kabul ederken, Konsey de 3 Aralık 2021'de tutumunu kabul etti. Ortak yasa koyucular 13 Mayıs 2022 tarihinde metin üzerinde geçici bir anlaşmaya vardılar. Siyasi anlaşma Kasım 2022'de Parlamento ve ardından Konsey tarafından resmen kabul edildi. Anlaşma 16 Ocak 2023 tarihinde yürürlüğe girmiş olup, Üye Devletlerin önlemleri ulusal hukuka aktarmak için 17 Ekim 2024 tarihine kadar 21 ay süreleri bulunmaktadır.
OJ L 333, 27.12.2022, s. 80-152.
Giriş
Siber saldırılar, dünya çapında en hızlı büyüyen suç türleri arasında yer almanın yanı sıra ölçek, maliyet ve karmaşıklık açısından da büyümektedir. 2017 yılında Cybersecurity Ventures, küresel fidye yazılımı hasar maliyetlerinin 2021 yılına kadar 20 milyar ABD dolarına ulaşacağını ve bu rakamın 2015 yılındaki miktardan 57 kat daha fazla olacağını tahmin etmiştir.
Ayrıca, şirketlerin 2016 yılında her 40 saniyede bir fidye yazılımı saldırısı ile karşı karşıya kalacağı öngörüsü, 2021 yılına kadar her 11 saniyede bir gerçekleşti.
Sonuç olarak, işletmelerin siber uzayı kendileri ve müşterileri için daha güvenli hale getirmek için daha fazla yatırım yapmaları gerekiyor. Sadece şirketler değil, vatandaşlar ve tüm ülkeler de bu durumdan etkilenmiştir; bir ülkeye yönelik bilinen ilk siber saldırı Nisan 2007'de Estonya'ya düzenlenmiş ve bankaların, medya kuruluşlarının ve devlet kurumlarının çevrimiçi hizmetlerini haftalarca etkilemiştir. O zamandan bu yana, elektrik güç sistemleri, hastaneler veya su tesisleri gibi kritik altyapılar da dahil olmak üzere birçok ülke siber saldırılara maruz kalmıştır. Bir Eurobarometer anketine göre, katılımcıların yaklaşık dörtte üçü (%76) siber suç kurbanı olma riskinin arttığına inanmaktadır. 2019 yılında ABD nüfusunun yaklaşık %64'ü bir veri ihlali yaşamış ve dünya genelindeki kuruluşların %88'i 'spear-phishing' girişimlerine maruz kalmıştır.
Siber saldırıların artan sayısı ve maliyeti göz önüne alındığında, bilgi güvenliğine yapılan harcamalar da dünya çapında artmaktadır. Küresel güvenlik pazarı şu anda yaklaşık 150 milyar ABD doları değerindedir ve bu rakamın 2023 yılında 208 milyar ABD dolarına, 2026 yılında ise 400 milyar ABD dolarına yükseleceği tahmin edilmektedir.
Ulaşım, enerji, sağlık ve finans gibi kritik sektörler, temel işlerini yürütmek için dijital teknolojilere giderek daha fazla bağımlı hale gelmiştir. Artan dijital bağlanabilirlik muazzam fırsatları beraberinde getirirken, ekonomileri ve toplumları siber tehditler ile karşı karşıya bırakmaktadır. Siber güvenlik olaylarının sayısı, karmaşıklığı ve ölçeği artmakta, ekonomik ve sosyal etkileri de büyümektedir.
Koronavirüs pandemisi, dünyanın dört bir yanındaki toplumların dijital dönüşümünde öngörülemeyen bir ivmeyi tetikledi. Bununla birlikte, dijital bölünme ( Bilgi teknolojilerine erişimde eşitsizlik) gibi mevcut sorunları da şiddetlendirdi ve siber güvenlik olaylarında küresel bir artışa katkıda bulundu. Bu benzeri görülmemiş durum sırasında, Europol'ün yakın tarihli bir raporunun da ortaya koyduğu üzere, Üye Devletler genelinde kötü niyetli siber faaliyetlerde bir artış yaşanmıştır. Siber güvenlik sorunları AB için günlük bir mücadele haline gelmektedir.
AB Ağ Bilgi Güvenliği Ajansı'nın (ENISA) izleme raporlarına göre, siber suçlar, özellikle de fidye yazılımı kullanan büyük siber saldırılar söz konusu olduğunda, giderek daha fazla paraya dönüşmektedir. Benzer şekilde, artan e-ticaret ve nakit olmayan ödemeler, siber suç saldırıları ve siber güvenlik ihlalleri risklerini de artırmaktadır. Ödemelerin giderek nakit olmayan hale gelmesiyle birlikte, hem para hem de kişisel verilerin çevrimiçi hırsızlığı da artmaktadır. ENISA Threat Landscape 2021 raporu, siber saldırıların daha sofistike, hedefli, yaygın ve tespit edilmemiş hale geldiğini göstermekte ve toplumların daha güvenli bir dijital ortam sağlayabilmeleri için önlerinde uzun bir yol olduğu sonucuna varmaktadır. Verizon'a göre, 2019 yılında gerçekleşen ihlallerin %86'sı finansal motivasyonla, %10'u ise casuslukla gerçekleştirilmiştir. İhlallerin yaklaşık %45'inde bilgisayar korsanlığı, %17'sinde kötü amaçlı yazılım ve %22'sinde kimlik avı yer almıştır. Bu eğilimin, Nesnelerin İnterneti'ne (IoT) bağlı cihazların çoğalması gibi teknolojik gelişmelere paralel olarak daha da artması beklenmektedir. 2024'e kadar 22.3 milyar IoT cihazının kullanımda olmasının beklendiği giderek daha bağlantılı hale gelen bir dünyada, siber güvenlik alanında artan zorluklar AB'nin vatandaşlarını ve şirketlerini siber tehditlere ve saldırılara karşı nasıl daha iyi koruyabileceği üzerine düşünmesine yol açmıştır.
Mevcut durum
AB siber güvenlik ekosisteminin oluşturulması ve geliştirilmesine yönelik ilk adım 2013 yılında bir siber güvenlik stratejisinin kabul edilmesi olmuştur. Strateji, siber dayanıklılığın sağlanmasını ve siber güvenlik için endüstriyel ve teknolojik kaynakların geliştirilmesini temel hedefler olarak belirlemiştir. Üye Devletler tarafından 9 Mayıs 2018 tarihine kadar iç hukuka aktarılması gereken AB genelinde Ağ ve Bilgi Sistemlerinin Güvenliğine ilişkin Direktif (NIS Direktifi), siber güvenliğe ilişkin AB çapındaki ilk mevzuatı temsil etmektedir. Kritik altyapının korunmasına odaklanarak AB'deki genel siber güvenlik seviyesini artırmaya yönelik yasal tedbirler öngörmüştür. Diğer hususların yanı sıra, hem siber güvenlik konusunda bilgi alışverişini hem de belirli siber güvenlik olaylarında işbirliğini sağlamak için NIS İşbirliği Grubunu ve Bilgisayar Güvenliği Olay Müdahale Ekipleri (CSIRTs) ağını kurmuştur
Direktifin ulusal mevzuata aktarılması (9 Mayıs 2018'e kadar) ve temel hizmet operatörlerinin belirlenmesi (9 Kasım 2018'e kadar) için yaklaşan son tarihler göz önünde bulundurularak, Komisyon 13 Eylül 2017'de Üye Devletlerin direktifin AB genelinde hızlı ve tutarlı bir şekilde uygulanması çabalarına destek olmayı amaçlayan bir tebliğ kabul etti. Komisyon, Üye Devletlere direktifin uygulanmasına ilişkin en iyi uygulamalar hakkında bilgi veren ve bazı hükümlerine açıklık getiren bir NIS araç seti sunmuştur.
2020 yılına kadar tüm Üye Devletler, direktifi ulusal mevzuatlarına tam olarak aktardıklarını Komisyon'a bildirmişlerdir.
Siber güvenlikle bağlantılı diğer yasama girişimleri, Komisyon'un siber güvenlik ve kritik altyapı koruması alanında kamu ve özel kuruluşların, yetkili makamların ve bir bütün olarak AB'nin dayanıklılığını ve olaylara müdahale kapasitesini daha da arttırmak için bir siber güvenlik önlemleri paketi sunduğu 2017 yılına kadar uzanmaktadır. Ayrıca AB siber güvenlik ajansı için kalıcı ve geliştirilmiş bir rol ve Siber Güvenlik Yasası ile sonuçlanan ilk AB siber güvenlik sertifikasyon çerçevesinin oluşturulmasını talep etmiştir.
O zamandan bu yana, 2020-2025 yılları için yeni bir AB siber güvenlik stratejisi kabul edilmiş olup, birçok hususun yanı sıra NIS Direktifinin gözden geçirilmesi, yeni bir kritik varlıkların dayanıklılığı (CER) direktifinin kabul edilmesi, bir güvenlik operasyon merkezleri (SOC) ağı ve AB siber diplomasi araç kutusunun güçlendirilmesi için yeni tedbirler önerilmektedir. Komisyon'un Avrupa'yı dijital çağa uygun hale getirme ve insanlar için çalışan geleceğe hazır bir ekonomi inşa etme öncelikleriyle uyumludur.
NIS Direktifinin 2016 yılında kabul edilmesinden bu yana tehdit ortamı önemli ölçüde değişmiştir ve direktifin kapsamının mevcut riskleri ve gelecekteki zorlukları karşılamak için güncellenmesi ve genişletilmesi gerekmektedir; bu zorluklardan biri de 5G teknolojisinin güvenli olmasını sağlamaktır. Buna ek olarak, direktifin iç hukuka aktarılması ve uygulanması, direktifin kapsamının net bir şekilde sınırlandırılmaması gibi bazı hükümlerde veya yaklaşımlarda içsel kusurları ortaya çıkarmıştır. Ayrıca, koronavirüs krizinin başlangıcından bu yana, AB ekonomisi ağ ve bilgi sistemlerine her zamankinden daha fazla bağımlı hale geldi ve sektörler ve hizmetler giderek daha fazla birbirine bağlandı.
Pandemi, AB'nin dijital on yıla hazırlanmasının önemini ve özellikle sağlık ve enerji gibi temel hizmetleri yürütenler için siber dayanıklılığı sürekli olarak geliştirme ihtiyacını fazlasıyla teyit etmiştir.
AB siber güvenlik girişimlerine yönelik finansman, 2021-2027 programlama döneminde Dijital Avrupa Programı, Horizon Europe, Avrupa Savunma Fonu ve AB Kurtarma ve Dayanıklılık Tesisi gibi araçların bir karışımı yoluyla artmıştır. AB'nin hedefi 4.5 milyar Euro'luk birleşik yatırıma ulaşmaktır. Özellikle de yakın zamanda kurulan Siber Güvenlik Yetkinlik Merkezi ve Koordinasyon Merkezleri Ağı kapsamında KOBİ'lere yönelik.
Mevcut içtihat hukuku açısından, AB Adalet Divanı, C-58/08 Vodafone ve diğerleri davasında verdiği kararda, NIS Direktifinin uygulama kapsamı ve siber güvenlik risk yönetimi ve olay raporlamasına ilişkin kuralların uyumlaştırılması konusunda net ortak kurallar oluşturulması gerektiğini göstermiştir. Bu alanda yasama, denetim, ulusal ve AB düzeyindeki mevcut eşitsizlikler iç pazarın önünde engel teşkil etmektedir, çünkü sınır ötesi faaliyetlerde bulunan kuruluşlar farklı ve muhtemelen birbiriyle örtüşen düzenleyici gerekliliklerle ve/veya bunların uygulanmasıyla karşı karşıya kalmakta, bu da kuruluş ve hizmet sunma özgürlüklerinin kullanılmasına zarar vermektedir.
Parlamento'nun başlangıç pozisyonu
Avrupa Parlamentosu 12 Mart 2019 tarihli bir kararla "... Komisyona, NIS Direktifinin kapsamını sektöre özgü mevzuat kapsamında olmayan diğer kritik sektör ve hizmetleri de kapsayacak şekilde genişletme ihtiyacını değerlendirme" çağrısında bulunmuştur
Siber suçlarla mücadeleye ilişkin 3 Ekim 2017 tarihli bir kararda Parlamento, artan bağlantılı cihaz sayısı ışığında, tüm cihazların güvenliğine dikkat çekilmesi ve tasarım yoluyla güvenlik yaklaşımının teşvik edilmesi için harekete geçilmesi çağrısında bulundu. Üye Devletleri, NIS Direktifinde öngörüldüğü üzere, işletmelerin ve tüketicilerin kötü niyetli e-postaları ve web sitelerini bildirebilecekleri bilgisayar acil müdahale ekiplerinin kurulmasını hızlandırmaya çağırdı.
Parlamento, 16 Ocak 2016 tarihli Dijital Tek Pazar Yasasına Doğru başlıklı kararında Komisyon'a güçlü bir siber güvenlik kurumu oluşturması çağrısında bulunmuştur. Daha spesifik olarak, ENISA'nın rolünün arttırılmasıyla birlikte siber saldırılara karşı dayanıklılığın arttırılması için çaba sarf edilmesi çağrısında bulunmuştur.
Konsey ve Avrupa Konseyi başlangıç konumu
Bağlantılı cihazların güvenliğine ilişkin 2 Aralık 2020 tarihli kararlarında Konsey, Komisyonu, daha yüksek güvenlik risklerine sahip cihazlar için özel güvenlik ve gizlilik gerekliliklerinin yerine getirilmesini sağlamak üzere bağlantılı cihaz tarafından hangi siber güvenlik düzeyinin karşılanması gerektiğini tanımlaması gereken sektöre özgü özel tamamlayıcı özgü düzenlemeleri değerlendirmeye teşvik etmiştir.
Konsey, 2 Ekim 2020 tarihli kararlarında, AB genelinde çok yüksek kapasiteli ve güvenli ağ altyapılarının (fiber ve 5G dahil) dağıtımının hızlandırılması ve AB'nin kendini koruma kabiliyetinin arttırılması çağrısında bulunmuştur. Konsey ayrıca AB ve Üye Devletleri 29 Ocak 2020'de kabul edilen 5G siber güvenlik araç kutusundan tam olarak yararlanmaya çağırmıştır.
Konsey, çalışmalarının 9 Haziran 2020 tarihlli kararlarında "...Komisyon'un, Üye Devletlerin ulusal güvenlik sorumlulukları da dâhil olmak üzere yetkilerine saygı göstererek, özellikle temel ekonomik ve toplumsal faaliyetlere yönelik siber saldırılara karşı daha iyi siber dayanıklılık ve daha etkili yanıtlar için seçenekleri takip etmek üzere, ağ ve bilgi sistemlerinin güvenliğine ilişkin Direktifin (NIS Direktifi) gözden geçirilmesi de dâhil olmak üzere, piyasa operatörleri için tutarlı kurallar sağlama ve tehditlerin yanı sıra olaylara ilişkin güvenli, sağlam ve uygun bilgi paylaşımını kolaylaştırma planlarını" memnuniyetle karşılamıştır.
Teklifin hazırlanması
Teklifi desteklemek ve kanıt toplamak için Komisyon açık bir kamu danışması (OPC) yürütmüş, paydaş görüşmeleri, ülke ziyaretleri, çalıştaylar ve anketler başlatmış, NIS yatırımı ve etki değerlendirmesi üzerine bir çalışma yapmış ve bir yol haritası hazırlamıştır.
Tamamlanan girdi faaliyetlerinden bazılarının ana sonuçları aşağıda kısaca açıklanmaktadır.
Kamuoyuna açık danışma
OPC, NIS Direktifinin değerlendirilmesine ve etki değerlendirmesine katkıda bulunmuştur. Vatandaşları, paydaşları ve siber güvenlik uzmanlarını hedefleyen sorular içeriyordu. OPC, 7 Temmuz 2020'de başlayıp 2 Ekim 2020'de sona eren 12 haftalık bir süre boyunca gerçekleştirilmiştir. 182'si AB-27'de bulunan katılımcılardan olmak üzere toplam 206 yanıt çevrimiçi olarak toplanmıştır. En sıcak konu, Üye Devletlerin temel hizmet operatörleri (OES'ler) ve dijital hizmet sağlayıcıları (DSP'ler) listelerini hazırlama yöntemlerinde önemli tutarsızlıklara yol açan uyumlu bir yaklaşımın olmamasıydı. Sonuç olarak, aynı türdeki şirketler faaliyet gösterdikleri Üye Devlete bağlı olarak farklı gerekliliklerle karşılaşabilmektedir. Benzer şekilde, bir şirket bir Üye Devlette OES olarak tanımlanırken başka bir Üye Devlette DSP olarak tanımlanabilir,1 veya bir hizmet sağlayıcı olarak, dolayısıyla başka bir Üye Devlette NIS Direktifi kapsamı dışında bırakılmıştır. OES'lerin belirlenmesine ilişkin yanıtlar, Üye Devletlerin yaklaşımlarının genellikle oldukça heterojen olduğunu göstermektedir. Bu amaçla, uyumlu bir OES tanımlama süreci sağlamak için ortak bir dizi kriter oluşturulması önerilmiştir.
OPC, Üye Devletler tarafından kullanılan bazı tanımlama uygulamalarının iç pazardaki oyun alanını olumsuz etkileyebileceği ve potansiyel olarak kuruluşları sınır ötesi siber tehditlere karşı daha savunmasız hale getirebileceği sonucuna varmıştır.
OPC katılımcılarının büyük bir çoğunluğu, siber risklerin sınırlar arasında yüksek hızda yayılabildiği göz önüne alındığında, siber tehditlerin ele alınması için ortak AB kurallarına ihtiyaç duyulduğu konusunda hemfikirdir.
Genel sonuçlar, OPC katılımcılarının ortalama olarak kamu idarelerinin ve veri merkezlerinin NIS Direktifi kapsamına dahil edilmesine önemli ölçüde daha fazla destek verdiğini ortaya koymuştur.
Şekil 1: Tespit edilen OES'lerin sayısı AB genelinde önemli farklılıklar göstermektedir.
Kaynak: Avrupa Komisyonu, 2020.
Yatırımlara ilişkin ENISA çalışması
Aralık 2020 ENISA NIS yatırımları raporu, Fransa, Almanya, İtalya, İspanya ve Polonya'dan 251 OES ve DSP kuruluşunun siber güvenlik harcamalarına yaklaşımlarını inceleyen bir anketin bulgularını sunmaktadır. Anket, OES ve DSP'lerin %82'sinin NIS Direktifinin olumlu bir etkisi olduğunu düşündüğünü göstermiştir. Ancak yatırımlardaki boşluklar hala devam etmektedir. AB'deki kuruluşlar ABD'deki meslektaşlarıyla karşılaştırıldığında, veriler AB kuruluşlarının siber güvenliğe ABD'deki meslektaşlarından ortalama %41 daha az bütçe ayırdığını göstermektedir.
Etki değerlendirmesi
Komisyon, mevcut teklif için üç farklı belgeden oluşan bir etki değerlendirmesi (IA) yürütmüştür. IA, NIS incelemesi için temel seçenek de dahil olmak üzere dört farklı politika seçeneğini araştırmıştır:
0) mevcut durumun korunması;
1) iç hukuka aktarımın uyumlaştırılması için mevzuat dışı önlemler;
2) daha fazla uyumlaştırma için NIS Direktifinde sınırlı değişiklikler; ve
3) NIS Direktifinde sistemik ve yapısal değişiklikler.
Seçenek 1, mevcut durumdan önemli ölçüde ayrılmadığı için erken bir aşamada elenmiştir. Analiz sonucunda 3. seçeneğin - NIS çerçevesinde sistemik ve yapısal değişiklikler - tercih edildiği sonucuna varılmıştır. Seçenek 3, uygulama kapsamını net bir şekilde belirlerken, oransal olarak büyük ve kilit şirketleri hedefleyen daha odaklı bir denetimle, AB genelinde ekonomilerin daha geniş bir kesimini kapsamaya yönelik daha temel bir yaklaşım değişikliği öngörmektedir. Ayrıca şirketlerin güvenlikle ilgili yükümlülüklerini düzene sokacak ve daha fazla uyumlaştıracak, operasyonel hususlar için daha etkili bir ortam yaratacak, ilgili kuruluşların ortak sorumlulukları ve hesap verebilirlikleri için net bir temel oluşturacak ve bilgi paylaşımını teşvik edecektir.
IA, 23 Ekim 2020 tarihinde Düzenleyici Denetleme Kurulu'na (RSB) sunulmuş ve 20 Kasım 2020 tarihinde yorumlarla birlikte olumlu bir görüş şeklinde geri bildirim almıştır. RSB, IA'nın 'temel' ve 'önemli' sektörler arasında net bir ayrım yapması, bu kategorilerin oluşturulmasına yönelik kriterleri netleştirmesi ve alternatif yaklaşımların mümkün olup olmadığını değerlendirmesi gerektiği konusunda ısrar etmiştir. Komisyondan, sektörel kapsam tanımının maruz kalma tehlikesini diğer sektörlere kaydırma riski taşıyıp taşımadığı konusunu genişletmesini ve sektör seçiminin nasıl geleceğe dönük hale getirilebileceğini analiz etmesini istemiştir.
RSB ayrıca IA'nın, direktifin çözmeyi amaçladığı sorunlara daha iyi odaklanmak için sorun analizini güçlendirmesi gerektiğini gözlemlemiştir. Ayrıca, IA raporlama, denetim ve krize müdahale konularında daha kapsamlı bir dizi seçenek içermelidir. Aynı zamanda revizyon aşamasında olan bağlantılı Avrupa Kritik Altyapı Direktifi ile etkileşim yollarını da içermelidir. Son olarak IA, özellikle orta ölçekli işletmeler için uyum maliyetlerinin analizini güçlendirmelidir.
EPRS tarafından hazırlanan ilk değerlendirme IA'nın detaylı bir analizini sunmaktadır. Buna göre, NIS2 teklifi UA'nın genel değerlendirmelerini takip ediyor gibi görünmektedir. UA'da tanımlanan tercih edilen seçenek teklifin merkezinde yer almaktadır. Bununla birlikte, izleme hükümleri teklifte UA'da olduğu gibi aynı ayrıntı düzeyinde ortaya konmuş görünmemektedir
NIS değerlendirmesi
NIS Direktifi'nin 23. Maddesi, Komisyon'un NIS Direktifi'nin işleyişini periyodik olarak gözden geçirmesini gerektirmektedir. Komisyon, 'Avrupa'yı dijital çağa uygun hale getirme' temel politika hedefinin bir parçası olarak ve güvenlik birliği hedefleri doğrultusunda, 2020 çalışma programında 2020 yılı sonuna kadar gözden geçirme yapacağını duyurmuştur.
25 Haziran 2020 tarihinde Komisyon, NIS Direktifi'nin revizyonuna ilişkin birleşik bir değerlendirme yol haritası/ince etki değerlendirmesi yayınlamış ve buna göre 'Üye Devletlerdeki ağ ve bilgi sistemlerinin güvenlik düzeyine dayalı olarak NIS Direktifi'nin işleyişini değerlendirmeyi' planlamıştır. Komisyon, NIS Direktifi'nin 23. Maddesi kapsamındaki gerekliliğe ek olarak, revizyonun 'Covid-19 krizi sırasında bilgi teknolojisine olan bağımlılıktaki ani artışla daha da haklı hale geldiğinin' altını çizdi. Komisyon, 'NIS Direktifinin işleyişinin değerlendirilmesinden, açık bir kamu istişaresinden ve bir etki değerlendirmesinden elde edilecek sonuçlara bağlı olarak, Komisyon'un Birlik içerisinde siber güvenlik düzeyini arttırmaya yönelik tedbirler önerebileceğini' ifade etmiştir.
Komisyon değerlendirmesi, NIS direktifini uygunluk, AB katma değeri, tutarlılık, etkinlik ve verimlilik açısından analiz etmiştir. Başlıca bulguları, NIS Direktifi'nin kapsamının, esas olarak: i) son yıllarda artan dijitalleşme ve daha yüksek derecede birbirine bağlılık; ve ii) NIS Direktifi'nin kapsamının artık ekonomiye ve topluma bir bütün olarak kilit hizmetler sağlayan tüm dijitalleşmiş sektörleri yansıtmaması nedeniyle, kapsanan sektörler açısından çok sınırlı olduğudur.
Ayrıca değerlendirme, NIS Direktifinin OES'ler için kapsam kriterleri veya dijital hizmet sağlayıcılar üzerindeki ulusal yetki konusunda yeterli açıklık sağlamadığı sonucuna varmıştır. Bu durum, bazı Üye Devletlerde belirli türdeki kuruluşların tanımlanmadığı ve dolayısıyla güvenlik önlemleri almalarının ve olayları rapor etmelerinin gerekmediği bir duruma yol açmıştır. Örneğin, bir Üye Devletteki bazı büyük hastaneler NIS Direktifi kapsamına girmez ve dolayısıyla ortaya çıkan güvenlik tedbirlerini uygulamaları gerekmezken, başka bir Üye Devlette neredeyse her bir sağlık hizmeti sağlayıcısı NIS güvenlik gereklilikleri kapsamındadır.
NIS Direktifi, OES'ler için güvenlik ve olay raporlama gerekliliklerini belirlerken Üye Devletlere geniş takdir yetkisi tanımıştır. Değerlendirme, bazı durumlarda Üye Devletlerin bu gereklilikleri önemli ölçüde farklı şekillerde uyguladığını ve birden fazla Üye Devlette faaliyet gösteren şirketler için ek bir yük oluşturduğunu göstermektedir.
NIS Direktifinin denetim ve uygulama rejimi etkisizdir. Üye Devletlerin görevlerini (OES tanımlama veya denetleme gibi) yerine getirmek için ayırdıkları mali ve insan kaynakları ve dolayısıyla siber güvenlik riskleriyle başa çıkma konusundaki farklı yeterlilik düzeyleri büyük farklılıklar göstermektedir. Bu durum Üye Devletler arasındaki siber dayanıklılık farklılıklarını daha da arttırmaktadır.
Üye Devletler birbirleriyle sistematik bir şekilde bilgi paylaşmamakta, bu da özellikle siber güvenlik tedbirlerinin etkinliği ve AB düzeyinde ortak durumsal farkındalık düzeyi açısından olumsuz sonuçlar doğurmaktadır. Bu durum özel kuruluşlar arasındaki bilgi paylaşımı ve AB düzeyindeki işbirliği yapıları ile özel kuruluşlar arasındaki etkileşim için de geçerlidir.
SORUMLULUK REDDİ VE TELİF HAKKI
Bu belge, Avrupa Parlamentosu Üyeleri ve personeline parlamento çalışmalarında yardımcı olmak üzere arka plan malzemesi olarak hazırlanmış ve onlara hitap etmektedir. Belgenin içeriğinden yalnızca yazar(lar) sorumludur ve burada ifade edilen görüşler Parlamento'nun resmi pozisyonunu temsil ettiği şeklinde algılanmamalıdır.
© Avrupa Birliği, 2023.
eprs@ep.europa.eu (iletişim)
www.eprs.ep.parl.union.eu (intranet)
www.europarl.europa.eu/thinktank (internet)
http://epthinktank.eu (blog)
Dördüncü baskı. 'Yürürlükteki AB Mevzuatı' brifingleri yasama süreci boyunca önemli aşamalarda güncellenmektedir.
Bundan sonraki ikinci ve son bölümde " Teklifin getireceği değişiklikler, Danışma komiteleri, Paydaş görüşleri, Yasama Süreci " yayınlacaktır.
Kaynak: https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333
Paylaş:
E-BÜLTEN KAYIT
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!