ETİK
KÜLTÜR & SANAT
NIS2 Direktifi: AB'de Yüksek Düzeyde Ortak Siber Güvenlik Bölüm-2
.jpg)
NIS2 Direktifi
AB'de Yüksek Düzeyde Ortak Siber Güvenlik
Bölüm-2
.png)
EPRS | Avrupa Parlamentosu Araştırma Servisi
Yazar: Mar Negreiro
Üyelerin Araştırma Servisi
PE 689.333 - Şubat
.png)
Çeviri düzenleme: Sabri Günaydın
Aşağıdaki yazı AB Parlamentosu web sitesindeki orjinal İngilizce versiyonundan alınarak ETP Sabri Günaydın tarafından yapay zeka çevri yazılımları kullanarak Türkçe'ye tercüme edilerek düzenlenmiştir.
Kaynak: https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333
Yazı iki bölüm halinde yayınlanacaktır. AB Parlamentosu ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP Sabri Günaydın Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.
Türkçe çeviride göreceğiniz olası hataları " iletisim@etp.com.tr " adresine e-posta göndermenizi rica ederiz.
Bu yazının ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e teşekkür ederiz.
Sabri Günaydın
.png)
Kaynak: https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333
Yazı iki bölüm halinde yayınlanacaktır. AB Parlamentosu ve yazının yazarlarının Türkçe çeviri ile ilgili sorumluluğu yoktur. ETP Sabri Günaydın Türkçe çeviri ve düzenleme sorumluluğunu üstlenir.
Türkçe çeviride göreceğiniz olası hataları " iletisim@etp.com.tr " adresine e-posta göndermenizi rica ederiz.
Bu yazının ETP Portalımızda yayını ile ilgili bize destek ve kılavuz olan Avrupa Birliği Yayınlar Ofisi'nden Mr. Brian Killeen 'e teşekkür ederiz.
Sabri Günaydın
NIS2 Direktifi
AB'de Yüksek Düzeyde Ortak Siber Güvenlik
Bölüm-2
AB'de Yüksek Düzeyde Ortak Siber Güvenlik
Bölüm-2
Teklifin getireceği değişiklikler
Komisyon 16 Aralık 2020 tarihinde, mevcut NIS Direktifini (NIS1) yürürlükten kaldıracak ve yerine geçecek olan, Birlik genelinde yüksek düzeyde ortak siber güvenliğe yönelik tedbirlere ilişkin bir direktif önerisi (NIS 2) sundu. Önerilen direktif, mevcut NIS1 rejiminin sınırlamalarının üstesinden gelmeyi amaçlamaktadır. Hem NIS1 hem de önerilen NIS2'nin yasal dayanağı, amacı ulusal kuralların yakınlaştırılmasına yönelik tedbirlerin arttırılması yoluyla iç pazarın kurulması ve işleyişi olan Avrupa Birliği'nin İşleyişi Hakkında Antlaşma'nın 114. Maddesidir.
NIS2'nin kapsadığı alanın genişletilmesi önerisi, ki bu daha fazla kuruluşu ve sektörü önlem almaya zorlayacaktır, uzun vadede Avrupa'da siber güvenlik seviyesinin artmasına yardımcı olacaktır.
Genel olarak, NIS2 teklifi kendisine üç genel hedef belirlemiştir:
►Avrupa Birliği'nde ilgili tüm sektörlerde faaliyet gösteren kapsamlı bir dizi işletmenin siber dayanıklılık düzeyini, aşağıdakileri sağlayan kuralları yürürlüğe koyarak arttırmak
İç pazarda ekonomi ve bir bütün olarak toplum için önemli işlevleri yerine getiren tüm kamu ve özel kuruluşların yeterli siber güvenlik önlemleri alması gerekmektedir.2 Örneğin teklif, telekom, sosyal medya platformları ve kamu yönetimi gibi yeni sektörleri de ekleyerek mevcut direktifin kapsamını önemli ölçüde genişletmektedir (bkz. bu bilgi formu). NIS2 çerçevesinin kapsadığı sektörlerde faaliyet gösteren tüm orta ve büyük ölçekli kuruluşların, teklifte ortaya konan güvenlik kurallarına uymak zorunda olduğunu belirler ve Üye Devletlerin belirli durumlarda gereklilikleri uyarlama olasılığını ortadan kaldırır3 (NIS1 uygulaması ile çok fazla parçalanmaya yol açmıştı, bkz. etki değerlendirmesi). Şu anda üç kategoriye ayrılan OES'ler ve dijital DSP'ler arasındaki ayrımı kaldırmaktadır: çevrimiçi pazar yerleri, arama motorları ve bulut hizmet sağlayıcıları. Son olarak, ilk kez BİT tedarik zincirinin siber güvenliğini ele almaktadır (IoT durumunda özel bir öneme sahiptir).
►Halihazırda direktif kapsamında olan sektörlerde iç pazar genelinde dayanıklılık konusundaki tutarsızlıkları azaltmak için i) fiili kapsamı; ii) güvenlik ve olay raporlama gereklilikleri; iii) ulusal denetim ve yaptırımı düzenleyen hükümler; ve iv) Üye Devletlerin ilgili yetkili makamlarının kapasiteleri. Teklif, olaylara müdahale, tedarik zinciri güvenliği, şifreleme ve güvenlik açığı ifşası da dahil olmak üzere, tüm şirketlerin aldıkları önlemlerin bir parçası olarak ele almaları veya uygulamaları gereken yedi temel unsurdan oluşan bir liste içermektedir. Buna ek olarak, teklif olay raporlaması için iki aşamalı bir yaklaşım öngörmektedir. Etkilenen şirketlerin bir olaydan ilk haberdar oldukları andan itibaren 24 saat içinde bir ilk rapor sunmaları ve ardından en geç bir ay içinde nihai bir rapor sunmaları gerekmektedir. Uygulama ile ilgili olarak, kuruluşların siber güvenlik risk yönetimine ilişkin kuralları veya NIS Direktifinde belirtilen raporlama yükümlülüklerini ihlal etmeleri halinde asgari bir idari yaptırım listesi oluşturmaktadır. Bu yaptırımlar arasında bağlayıcı talimatlar, bir güvenlik denetiminin tavsiyelerini uygulama emri, güvenlik önlemlerini NIS gereklilikleriyle uyumlu hale getirme emri ve idari para cezaları (hangisi daha yüksekse, 10 milyon Euro'ya veya kuruluşların dünya çapındaki toplam cirosunun %2'sine kadar) yer almaktadır.
►Ortak durumsal farkındalık düzeyini ve hazırlık ve müdahale için kolektif kabiliyeti geliştirmek için i) aşağıdakiler arasında güven düzeyini artıracak tedbirler almak yetkili makamlar; ii) daha fazla bilgi paylaşımı; ve iii) büyük ölçekli bir olay veya kriz durumunda kural ve prosedürlerin belirlenmesi. Önerilen yeni kurallar, net sorumluluklar, uygun planlama ve daha fazla AB işbirliği getirerek AB'nin büyük ölçekli siber güvenlik olaylarını ve krizlerini önleme, ele alma ve bunlara müdahale etme şeklini geliştirmektedir. Revize edilen direktif bir AB kriz yönetimi oluşturacaktır.
Üye Devletlerin bir plan kabul etmelerini ve AB düzeyinde siber güvenlik olaylarına ve krizlerine müdahaleye katılmaktan sorumlu ulusal yetkili makamları belirlemelerini gerektiren çerçeve. Önerilen direktif, AB çapında siber güvenlik olaylarının koordineli yönetimini desteklemek ve düzenli bilgi alışverişini sağlamak için bir AB-Siber Krizler İrtibat Organizasyonu Ağı (EU-CyCLONe) kuracaktır. Önerilen direktif aynı zamanda NIS İşbirliği Grubunun karar alma ve Üye Devletler arasında işbirliğini arttırma rolünü de güçlendirecektir. Üye Devletlerin ulusal bir siber güvenlik stratejisi benimsemeleri ve direktife uyumu denetlemek üzere bir veya daha fazla ulusal yetkili makam belirlemeleri; olay bildirimlerini ele almak üzere CSIRT'ler ve diğer Üye Devletlerle irtibat noktası olarak hareket etmek üzere tek temas noktaları (SPOC) belirlemeleri gerekecektir.
İlgili AB mevzuatı ile tutarlılık ve uyumun sağlanması amacıyla NIS Direktifi incelemesi özellikle aşağıdaki üç Komisyon girişimini dikkate almaktadır:
►NIS2 teklifi ile birlikte önerilen Kritik Kuruluşların Dayanıklılığı (CER) Direktifinin, kritik kuruluşların dayanıklılığını arttırmak amacıyla gözden geçirilmesi kuruluşları çok sayıda sektörde fiziksel tehditlere karşı korumaktadır. Teklif, enerji, ulaştırma, bankacılık, mali piyasa altyapıları, sağlık, içme suyu, atık su, dijital altyapı, kamu yönetimi ve uzay olmak üzere 10 sektörü kapsayacak şekilde 2008 tarihli mevcut direktifin hem kapsamını hem de derinliğini genişletmektedir;
►Finans sektörü için dijital operasyonel esneklik yasası (DORA) girişimi;
Sınır ötesi elektrik akışları için sektöre özgü kurallar içeren bir siber güvenlik ağ kodu girişimi (bkz. SPEAR projesinden anlık görüntü analizi).
Finans sektörüne ilişkin olarak DORA teklifi, özellikle sınır ötesi finansal kuruluşlar için dijital operasyonel hükümlerin uygulanıp uygulanmayacağı ve nasıl uygulanacağı konusunda yasal netlik sağlayacak ve AB kurallarının mevcut sınırlı kapsamına ve NIS1 Direktifinin genel yapısına bir yanıt olarak Üye Devletlerin operasyonel esneklik ve siber güvenlikle ilgili kuralları, standartları ve beklentileri bireysel olarak iyileştirme ihtiyacını ortadan kaldıracaktır. Aynı zamanda, finans sektörü ile NIS2 kapsamındaki diğer sektörler arasında bilgi alışverişi için güçlü bir ilişkinin sürdürülmesi önemlidir. Bu amaçla, DORA önerisi kapsamında, tüm mali denetçiler, mali sektör için Avrupa denetim makamları (ESA'lar) ve mali sektörle ilgili ulusal yetkili makamlar NIS İşbirliği Grubu'nun tartışmalarına katılabilecek ve NIS2 kapsamındaki tek temas noktaları ve ulusal CSIRT'lerle bilgi alışverişinde bulunabilecek ve işbirliği yapabilecektir. Ayrıca, Üye Devletler finans sektörünü siber güvenlik stratejilerine dahil etmeye devam etmelidir ve ulusal CSIRT'ler faaliyetlerinde finans sektörünü de kapsayabilir.
Ayrıca Komisyon, NIS2 teklifindeki kapsamı, CER Direktifinin gözden geçirilmesine yönelik teklif ile uyumlu hale getirmiştir.
ENISA ile ilgili olarak, NIS'in uygulanmasını denetlemeyi içeren mevcut yetkisi dahilinde sorumlulukları artacaktır. ENISA, her iki yılda bir AB'deki siber güvenlik durumu hakkında bir rapor hazırlamak ve temel ve önemli kuruluşlar ile bunların BİT tedarikçileri tarafından gönüllülük esasına dayalı olarak açıklanan BİT ürün ve hizmetlerinin güvenlik açıkları hakkındaki bilgilere erişim sağlayan bir Avrupa güvenlik açığı sicili tutmakla görevlendirilecektir. Aynı zamanda ENISA'nın, alan adı sistemi hizmet sağlayıcıları, üst düzey alan adı kayıtları, bulut bilişim hizmet sağlayıcıları, veri merkezi hizmet sağlayıcıları, içerik dağıtım ağı sağlayıcılarının yanı sıra çevrimiçi pazar yerleri, çevrimiçi arama motorları ve sosyal ağ platformları da dahil olmak üzere belirli türdeki kuruluşların AB'de nerede kurulduklarını bildirecekleri bir kayıt defteri oluşturması ve sürdürmesi gerekecektir. Bunun amacı, özellikle yüksek oranda sınır ötesi hizmet sundukları göz önüne alındığında, bu tür kuruluşların çok sayıda farklı yasal gereklilikle karşı karşıya kalmamalarını sağlamaktır.
Temel tedarik zinciri risklerini ele almak ve BİT tedarik zinciriyle ilgili siber güvenlik risklerini yönetmede kuruluşlara yardımcı olmak için, NIS İşbirliği Grubu, Komisyon ve ENISA ile birlikte, ilgili tehditler ve güvenlik açıkları dahil olmak üzere kritik BİT hizmetleri, sistemleri veya ürünlerinin sektör başına koordineli bir risk değerlendirmesini yapmakla görevlendirilecektir. Tedarik zinciri risk değerlendirmeleri hem teknik faktörleri (donanım veya yazılımla ilgili) hem de ilgili olduğu durumlarda teknik olmayan faktörleri (tedarikçilerin AB üyesi olmayan bir ülke veya devlet destekli oyuncular tarafından müdahaleye maruz kalması gibi) dikkate alacaktır. Bu yaklaşım büyük ölçüde Komisyon ve NIS İşbirliği Grubu'nun 5G ağlarının güvenliğine ilişkin önceki çalışmalarına dayanmaktadır. Komisyon 29 Ocak 2020 tarihinde, 5G ağlarıyla ilişkili güvenlik tehditlerini azaltmaya yönelik tedbirleri listeleyen 5G risk yönetimi araç kutusunu yayınlamıştır. AB 5G risk değerlendirmesi, diğerlerinin yanı sıra, AB düzeyinde 5G ağları ve 5G tedarik zinciriyle ilgili güvenlik risklerini tanımlamıştır. Kuruluşların ICT tedarik zinciri güvenliğine yönelik yükümlülüklerine uymalarını sağlamak için yeni direktif, Üye Devletlerin temel ve önemli kuruluşların AB Siber Güvenlik Yasası kapsamında belirli ICT ürünlerini, hizmetlerini ve süreçlerini belgelendirmelerini zorunlu kılmalarını sağlayacaktır. Bu bağlamda, taslak direktif Komisyon'a hangi temel kuruluş kategorilerinin (kritiklikleri nedeniyle) sertifika almaları gerekeceğini belirleme yetkisi verecektir.
Avrupa Elektronik İletişim Kanunu (EECC), Aralık 2020'den bu yana AB'de elektronik iletişim hizmetleri sağlarken telekom sağlayıcılarının güvenliğini düzenlemektedir. Bununla birlikte, telekom sağlayıcıları, direktifin kapsamına giren telekom dışı hizmetler, yani bulut bilişim hizmetleri sağladıkları takdirde mevcut NIS çerçevesi kapsamına girmektedir. Bu nedenle önerilen direktif, ilgili EECC güvenlik hükümlerini yürürlükten kaldıracak ve ECS ile ilgili hizmetler sağladıkları durumlarda da telekom sağlayıcılarının güvenliğini tamamen düzenleyecektir. Aynı durum şu anda eIDAS Yönetmeliğinde bulunan güven hizmeti sağlayıcılarına yönelik güvenlik hükümleri için de geçerli olacaktır.
Danışma Komiteleri
Avrupa Ekonomik ve Sosyal Komitesi (EESC) 27-28 Nisan 2021 tarihli genel kurul oturumunda teklife ilişkin bir görüş kabul etti.
EESC, hem NIS2 hem de CER tekliflerindeki bazı hükümlerin, birbirleriyle yakından bağlantılı ve tamamlayıcı olmaları nedeniyle örtüştüğünü belirtmektedir. Bu nedenle EESC, iki teklifin tek bir metin oluşturacak şekilde birleştirilmesi çağrısında bulunur. Ayrıca, iki teklif tarafından takip edilen hedeflerin uygunluğu ve hassasiyeti göz önüne alındığında, bir tüzüğün bir direktife tercih edilebileceği sonucuna varmıştır.
Buna ek olarak EESC, 'temel' ve 'önemli' kuruluşlar arasında ayrım yapmak için daha net kılavuzlara ihtiyaç duyulduğuna ve karşılanması gereken ilgili gerekliliklerin daha kesin bir şekilde tanımlanması gerektiğine işaret etmektedir.
Son olarak EESC, ENISA'nın genel Avrupa kurumsal ve operasyonel siber güvenlik sisteminde kilit bir rol oynadığı konusunda hemfikirdir. Bu nedenle, Birlik'teki siber güvenliğin durumuna ilişkin önerilen iki yıllık rapora ek olarak, siber güvenlik olayları ve sektöre özel uyarılar hakkında düzenli ve güncel bilgileri de çevrimiçi olarak yayınlamalıdır.
Avrupa Bölgeler Komitesi (CoR) teklife ilişkin bir görüş hazırlamamıştır.
Ulusal parlamentolar
Gerekçeli görüşlerin sunulması için ikincilliğe ilişkin son tarih 17 Mart 2021'dir. Hiçbir ulusal parlamento gerekçeli görüş sunmamıştır.
Paydaş görüşleri4
25 Haziran 2020'den 13 Ağustos 2020'ye kadar, ilgili tüm paydaşlar başlangıç etki değerlendirmesi ve yol haritası hakkında özel bir Komisyon web sayfasında geri bildirimde bulunabilmiştir. Paydaşlardan, özel sektörden, araştırma kuruluşlarından ve diğer paydaşlardan toplam 42 yanıt alınmıştır.
AB'den ve uluslararası düzeyde vatandaşlar. Paydaşlar genel olarak, özellikle OES'ler ve DSP'lerle ilgili olarak, ulusal düzeyde UİS'in uygulanmasındaki mevcut bölünmüşlüğe işaret etmişlerdir. Paydaşlar ayrıca siber saldırılara müdahalede AB düzeyinde ve diğer ilgili AB mevzuatı ile koordinasyonun geliştirilmesi gerektiğini vurgulamışlardır.
GSMA mobil birliği, Komisyon'un NIS Direktifindeki eksiklikleri ve süregelen verimsizlikleri şu şekilde ele almasını şiddetle tavsiye etmektedir: uçtan uca sağlam bir güvenlik sağlamak için yazılım ve donanım sağlayıcılarını NIS kapsamına dahil etmek; süreçleri, güvenlik gerekliliklerini ve olay bildirim yükümlülüklerini düzene sokarak bürokrasiyi ve parçalanmayı azaltmak; ve NIS Direktifini diğer yasal araçlarla (Siber Güvenlik Yasası, EECC ve Avrupa Kritik Altyapı (ECI) Direktifi) yakından uyumlu hale getirerek Elektronik İletişim Hizmetleri sağlayıcıları için uyum ve tutarlılığı artırmak.
Avrupa dijital güvenlik sektörünü temsil eden Eurosmart, 'DSP'lerin yalnızca Avrupa'da bulunan fiziksel altyapıyı kullanması gerektiğine' inanmaktadır. NIS Direktifi, Siber Güvenlik Yasası (CSA) çerçevesinde oluşturulan Avrupa sertifikasyon programlarından yararlanarak OES ve DSP'nin yüksek düzeyde koruma sağlama kabiliyetini göstermelidir. Risk temelli bir yaklaşım izlenerek, son derece kritik ürünlerin sertifikasyonu CSA uyarınca 'Yüksek' seviyede yapılmalıdır. 'Yüksek' seviyedeki güvenlik sertifikası, sertifikasyon programının sektörden tanınmış uzmanlardan oluşan bir topluluk tarafından sürekli olarak izlenmesini ve sürdürülmesini sağlar. Kritik altyapılar için güvenliğin "son teknoloji ürünü" olmasını sağlamanın tek yolu budur.
Yazılım İttifakı (BSA), mevcut hükümlerin genel ruhunun korunması, ancak özellikle hizmet tanımları, eşikler, raporlama yöntemleri ve AB genelinde OES'ler ve DSP'ler olarak tanınan (alt) sektör kategorileri bakımından daha iyi bir uyum ve uygulama düzeyi sağlanması gerektiğini belirtmektedir. NIS'in kapsamının yazılım ürünlerini de kapsayacak şekilde genişletilmesi çağrısıyla ilgili olarak BSA, bulut hizmetlerinin Ek III'e dahil edilmesiyle, özellikle de 'hizmet olarak yazılım' ilkesi aracılığıyla sektörün halihazırda kapsama alındığının altını çizmektedir. Yazılımın bulut üzerinden teslim edilmediği veya hizmet verilmediği çok sınırlı durumlarda (örneğin gömülü olduğunda), üretici söz konusu yazılım parçasını etkileyen olayın görünürlüğüne sahip olmayacağından, olay raporlama yükümlülükleri önemsiz olacaktır.
Sektör birliği Digital Europe, mevcut NIS kapsamının korunması gerektiğine inanmaktadır. Bununla birlikte gözden geçirme, Üye Devletlerin OES'leri ve DSP'leri tanımlarken parçalanmayı önlemek için daha yakın bir uyum içinde olmalarını sağlamalıdır.
Avrupa tüketici derneği BEUC, özellikle DSP'ler söz konusu olduğunda NIS'in kapsamının yeterince geniş olmadığını belirtmektedir. OES'lerle ilgili olarak, seçim kriterlerindeki farklılıklar AB'de yasal bölünme yaratmıştır.
Avrupa Veri Koruma Denetmeni (EDPS) 11 Mart 2021 tarihinde siber güvenlik stratejisi ve NIS 2 Direktifi hakkında bir görüş yayınlayarak, diğer hususların yanı sıra, teklifin başta GDPR ve ePrivacy Direktifi olmak üzere kişisel verilerin korunmasına ilişkin mevcut Birlik mevzuatını doğru ve etkili bir şekilde tamamlamasını sağlamak için özel tavsiyelerde bulundu. Ayrıca, metin genelinde 'siber güvenlik' ve 'ağ ve bilgi sistemlerinin güvenliği' terimlerinin farklı kullanımına açıklık getirilmesini istemektedir: 'siber güvenlik' teriminin genel olarak kullanılması ve 'ağ ve bilgi sistemlerinin güvenliği' teriminin yalnızca bağlam izin verdiğinde teknik amaçlar için kullanılması.
Avrupa Elektronik Haberleşme Düzenleyicileri Kurumu (BEREC) 19 Mayıs 2021 tarihinde, telekom sektörünün güvenliğinin EECC kapsamında düzenlenmeye devam edilmesini öneren NIS2 teklifi hakkında bir görüş yayınladı. BEREC'e göre, telekom sektörünün NIS2 kapsamına alınması, Çerçeve Direktif'in 2009'da yürürlüğe girmesinden bu yana sektöre özgü düzenleyici uygulamalar yoluyla halihazırda tesis edilmiş olan güvenlik seviyesini düşürme riski taşımaktadır.
Yasama süreci
Avrupa Parlamentosu'nda dosya Sanayi, Araştırma ve Enerji Komitesi'ne (ITRE) verildi (raportör: Bart Groothuis, Renew, Hollanda). Dış İlişkiler (AFET), İç Pazar ve Tüketicinin Korunması (IMCO), Ulaştırma ve Turizm (TRAN) ve Sivil Özgürlükler, Adalet ve İçişleri (LIBE) Komiteleri de görüş bildirmiştir.
Avrupa Komisyonu 13 Nisan 2021 tarihinde Parlamento'nun öncü komitesi ITRE'ye yasa teklifini sundu. AP üyeleri NIS'in gözden geçirilmesi önerisini memnuniyetle karşıladı. MEP'ler tarafından dile getirilen en yaygın endişe, DORA, CER, Siber Güvenlik Yasası, EECC ve GDPR dahil olmak üzere önerilen veya mevcut diğer AB mevzuatıyla uyumluluğuyla ilgiliydi.
ITRE taslak raporu 3 Mayıs 2021'de yayımlanmış ve dört komite görüşü Temmuz 2021'de kabul edilmiştir. ITRE komitesi raporunu 28 Ekim 2021'de 70 lehte oya karşılık 3 aleyhte ve 1 çekimser oyla kabul etti. AP üyeleri ayrıca Konsey ile üçlü müzakerelerin başlatılması yönünde oy kullandı ve bu yetki Kasım ayında genel kurulda onaylandı.
Rapor, risk yönetimi, raporlama yükümlülükleri ve bilgi paylaşımı açısından daha sıkı siber güvenlik yükümlülükleri çağrısında bulunuyor. İdari yükün azaltılması ve siber güvenlik olaylarının raporlanmasının iyileştirilmesi hedeflenmektedir. Buna ek olarak rapor, AB ülkelerinin daha sıkı denetim ve uygulama tedbirlerini yerine getirmeleri ve yaptırım rejimlerini uyumlaştırmaları gerektiğini belirtmektedir.
Raporda ayrıca Komisyon'un NIS2 Direktifi kapsamına giren tüm mikro ve küçük işletmelere uygun rehberliğin verilmesini sağlaması gerektiği belirtilmektedir. Rapor ayrıca, siber güvenlik araçlarının uygulanmasında önemli maliyetlerle karşılaşan KOBİ'ler için özel önem taşıyan açık kaynaklı siber güvenlik araçlarının kullanımını teşvik eden politikaları da desteklemektedir.
Raportör, diğer hususların yanı sıra, 'aktif savunma' kavramını da eklemiştir5 taslak raporunda belirtmiştir. Kabul edildiği şekliyle rapor, Üye Devletlerin ulusal siber güvenlik stratejilerinin bir parçası olarak aktif siber savunmanın teşvik edilmesine yönelik politikalar benimsemeleri gerektiğini belirtmektedir.
Rapor, sektörel kapsamı, Komisyon tarafından NIS2 kapsamı dışında bırakılan akademik, bilgi ve araştırma kurumlarını da içerecek şekilde genişletmeyi amaçlamaktadır; oysa birçok ulusal siber güvenlik stratejisi bu kurumları kapsamaktadır.
Haziran 2021'de Konsey, NIS2 konusunda kaydedilen ilerlemeyi değerlendirmiştir. Endişelerinden biri, NIS2'nin sektörel mevzuatla, özellikle de CER ve DORA ile etkileşimiyle ilgiliydi. Tartışmalar sırasında çoğu Üye Devlet, NIS2'yi AB'de siber güvenlik için yatay çerçeve olarak görmenin zorunlu olduğunu ve bu alandaki tüm ilgili sektörel mevzuatın asgari uyumu için temel bir standart olarak hizmet etmesi gerektiğini belirtmiştir. Revize edilen kuralların kapsamının önemli ölçüde genişletilmesi, kapsanacak temel ve önemli kuruluşların belirlenmesinde dikkate alınacak tek unsur olarak büyüklük kriteri, önerilen yasal dayanak (yani tek pazar) ve ulusal güvenlik kaygıları ile ilgili diğer endişeler dile getirilmiştir.
Konsey, müzakere pozisyonunu 3 Aralık 2021 tarihinde kabul etti. NIS2'ye ilişkin ilk teklifle karşılaştırıldığında Konsey bir dizi önemli değişiklik getirmiştir. Örneğin, savunma ve ulusal güvenlik, kamu güvenliği, kolluk kuvvetleri ve yargı alanında faaliyet gösteren kuruluşların yanı sıra parlamentolar ve merkez bankalarını kapsam dışında bırakarak NIS2 kapsamına girecek kuruluşları belirlemek için ek kriterler getirmiştir. Metni, CER Direktifi ve DORA gibi diğer ilgili mevzuat önerileri ile uyumlu hale getirmiştir. Ayrıca, aşırı raporlamayı önlemek için olay raporlama yükümlülüklerini basitleştirmiş ve Üye Devletlerin NIS2'yi ulusal hukuka aktarma süresini 18 ay yerine iki yıla uzatmıştır.
Kurumlar arası üçlü müzakereler 13 Ocak 2022'de başlamış ve 17 Şubat'ta ikinci bir toplantı gerçekleştirilmiştir. 13 Mayıs'ta yapılan üçüncü üçlü görüşme sırasında Parlamento ve Konsey siyasi bir anlaşmaya varmıştır. Revize edilen direktif, düzenleyici bir çerçeve için asgari kuralları belirlemekte ve her Üye Devletteki ilgili makamlar arasında işbirliği mekanizmalarını ortaya koymaktadır. Siber güvenlik yükümlülüklerine tabi olan sektör ve faaliyetlerin listesini genişletmekte ve bunların temel hizmetler ve önemli kuruluşlar arasında farklılık gösterecek çözüm yolları ve yaptırımlar öngören uygulama. Parlamento müzakerecileri, şirketler için açık ve kesin kuralların gerekliliği konusunda ısrarcı olmuşlardır. Raporlama yükümlülükleri basitleştirilmiş ve Komisyon tarafından önerilen ilk 24 saatten daha fazla süre tanınacak şekilde düzenlenmiştir. Bunun amacı, aşırı raporlamadan ve kapsam dahilindeki kuruluşlar üzerinde aşırı bir yük yaratmaktan kaçınmaktır. Yasal netlik sağlamak ve tutarlılığı temin etmek amacıyla metin, başta DORA Yönetmeliği ve CER Direktifi olmak üzere sektöre özgü mevzuatla uyumlu hale getirilmiştir.
NIS2 direktifi, hangi kuruluşların temel hizmetlerin işletmecileri ve önemli kuruluşlar olarak nitelendirilme kriterlerini karşıladığını belirlemek için bir büyüklük sınırı kuralı getirecektir. Bu, direktifin kapsadığı sektörlerde faaliyet gösteren veya direktifin kapsadığı hizmetleri sağlayan tüm orta ölçekli ve büyük kuruluşların direktifin kapsamına gireceği anlamına gelmektedir. Ortak yasa koyucular bu genel kuralı korumakla birlikte, orantılılığı ve kritiklik kriterlerinin net bir şekilde belirlenmesini sağlamak üzere ilave hükümler getirmişlerdir. Bu tür kuruluşlar, hizmetlerini sağladıkları Üye Devletin değil, kuruldukları Üye Devletin yargı yetkisi altında olacaktır.
Yönerge aynı zamanda büyük ölçekli olayların koordinasyonu ve yönetimini destekleyecek olan EU-CyCLONe ağını da resmen kuracaktır.
Buna ek olarak, iyi uygulamalardan öğrenmeyi desteklemek için gönüllü bir akran-öğrenme mekanizması kurulacaktır.
Konsey tarafından talep edildiği üzere, direktif savunma ve ulusal güvenlik, kamu güvenliği, kolluk kuvvetleri ve yargı gibi alanlarda faaliyet gösteren kuruluşlara uygulanmayacaktır. Parlamentolar ve merkez bankaları da kapsam dışında tutulmuştur. Ancak Parlamento tarafından talep edildiği üzere, merkezi ve bölgesel düzeydeki kamu idaresi kuruluşları için geçerli olacaktır. Buna ek olarak, Üye Devletler yerel düzeydeki kuruluşlar için de geçerli olmasına karar verebilirler.
Siyasi anlaşma 13 Temmuz 2022 tarihinde ITRE komitesi tarafından onaylanmış ve ardından 10 Kasım 2022 tarihinde 577 lehte, 6 aleyhte ve 31 çekimser oyla Meclis genel kurulunda kabul edilmiştir. Metin daha sonra 28 Kasım 2022 tarihinde Konsey tarafından kabul edilmiş ve 14 Aralık 2022 tarihinde her iki eş-yasa koyucu tarafından imzalanmıştır. Metin 27 Aralık 2022 tarihinde Resmi Gazetede yayımlanmış ve 16 Ocak 2023 tarihinde yürürlüğe girmiştir. Üye Devletlerin yönergeyi ulusal hukuka aktarmak için 17 Ekim 2024 tarihine kadar 21 ay süreleri bulunmaktadır.
EP DESTEKLEYICI ANALIZ
Zygierewicz A., Ağ ve bilgi sistemlerinin güvenliğine ilişkin Direktif (NIS Direktifi), Uygulama değerlendirme brifingi, EPRS, Avrupa Parlamentosu, Kasım 2020.
Kononenko V., AB genelinde ortak siber güvenlik seviyesinin iyileştirilmesi, Avrupa Komisyonu Etki Değerlendirmesinin İlk Değerlendirmesi, EPRS, Avrupa Parlamentosu, Şubat 2021.
Erbach G., O'Shea J. ile birlikte, Kritik enerji altyapısının siber güvenliği, Brifing, EPRS, Avrupa Parlamentosu, Ekim 2019.
Negreiro M., ENISA ve yeni bir siber güvenlik yasası, Brifing, EPRS, Avrupa Parlamentosu, Temmuz 2019.
Negreiro M. with Belluomini A., Yeni Avrupa siber güvenlik yetkinlik merkezi ve ağı, Brifing, EPRS, Avrupa Parlamentosu, Temmuz 2020.
DİĞER KAYNAKLAR
Birlik genelinde yüksek düzeyde ortak siber güvenlik - NIS 2 Direktifi, Avrupa Parlamentosu Yasama Gözlemevi.
Etkili AB siber güvenlik politikasının önündeki zorluklar, Avrupa Sayıştayı (ECA) Brifing Belgesi, Mart 2019.
Temel hizmet işletmecilerinin belirlenmesindeki yaklaşımların tutarlılığını değerlendiren rapor, Avrupa Komisyonu, 2020.
İnternet organize suç tehdit değerlendirmesi (IOCTA) 2020, Europol, 2020.
AÇIKLAMA NOTLARI
1 OPC'ye ek olarak Komisyon, temel hizmet işletmecilerinin belirlenmesindeki yaklaşımların tutarlılığını değerlendiren görevlendirilmiş bir çalışma aracılığıyla kanıt toplamıştır. Çalışma, Üye Devletlerin temel hizmet işletmecilerini nasıl belirlediğine dair genel bir bakış sunmanın yanı sıra, kullanılan metodolojilerin AB genelinde tutarlı olup olmadığını değerlendirmektedir.
2 Komisyon teklifi aşağıdaki sektör ve alt sektörleri kapsamaktadır: i) 'temel kuruluşlar': enerji (elektrik, bölgesel ısıtma ve soğutma, petrol ve gaz); ulaştırma (hava, demiryolu, su ve karayolu); bankacılık; finansal piyasa altyapıları; sağlık; aşılar dahil olmak üzere farmasötik ürünlerin imalatı; içme suyu; atık su; dijital altyapı (internet değişim noktaları; DNS sağlayıcıları; TLD isim kayıtları; bulut bilişim hizmet sağlayıcıları; veri merkezi hizmet sağlayıcıları; içerik dağıtım ağları; güven hizmet sağlayıcıları ve kamu elektronik iletişim ağları ve elektronik iletişim hizmetleri); kamu yönetimi; ve uzay. ii) 'önemli kuruluşlar': posta ve kurye hizmetleri; atık yönetimi; kimyasallar; gıda; tıbbi cihaz, bilgisayar ve elektronik, makine ekipmanı, motorlu taşıt üretimi; ve dijital sağlayıcılar (çevrimiçi pazar yerleri, çevrimiçi arama motorları ve sosyal ağ hizmeti platformları).
3 NIS2 önerisi kapsamında, 'temel' ve 'önemli' kuruluşların, hizmetlerini sundukları Üye D e v l e t i n yargı yetkisi altında olduğu kabul edilmektedir. Eğer kuruluş birden fazla Üye Devlette hizmet veriyorsa, bu Üye Devletlerin her birinin yargı yetkisi altında olmalıdır. Aynı zamanda, belirli türdeki kuruluşlar, AB'deki ana kuruluşlarının bulunduğu Üye Devletin y a r g ı y e t k i s i altında olacaktır. Bu kuruluşlar arasında, bunlarla sınırlı olmamak üzere, alan adı sistemi hizmet sağlayıcıları, üst düzey alan adı kayıt kuruluşları, bulut bilişim hizmet s a ğ l a y ı c ı l a r ı , veri merkezi hizmet sağlayıcıları, içerik dağıtım ağı sağlayıcılarının yanı sıra çevrimiçi pazar yerleri, çevrimiçi arama motorları ve sosyal ağ platformları yer almaktadır.
4Bu bölüm tartışmanın bir özetini sunmayı amaçlamaktadır ve teklife ilişkin tüm farklı görüşlerin kapsamlı bir açıklaması olması amaçlanmamıştır. Ek bilgiler 'EP destekleyici analiz' altında listelenen ilgili yayınlarda bulunabilir.
5 Aktif siber savunma, ağ güvenliği ihlallerinin proaktif olarak önlenmesi, tespit edilmesi, izlenmesi, analiz edilmesi ve azaltılması ile birlikte mağdur ağın içinde ve dışında konuşlandırılan yeteneklerin kullanılmasıdır.
SORUMLULUK REDDİ VE TELİF HAKKI
Bu belge, Avrupa Parlamentosu Üyeleri ve personeline parlamento çalışmalarında yardımcı olmak üzere arka plan malzemesi olarak hazırlanmış ve onlara hitap etmektedir. Belgenin içeriğinden yalnızca yazar(lar) sorumludur ve burada ifade edilen görüşler Parlamento'nun resmi pozisyonunu temsil ettiği şeklinde algılanmamalıdır.
Kaynağın belirtilmesi ve Avrupa Parlamentosu'na önceden bildirimde bulunulması ve bir kopyasının gönderilmesi kaydıyla, ticari olmayan amaçlarla çoğaltma ve çeviriye izin verilir.
© Avrupa Birliği, 2023.
eprs@ep.europa.eu (iletişim)
www.eprs.ep.parl.union.eu (intranet)
www.europarl.europa.eu/thinktank (internet)
http://epthinktank.eu (blog)
Dördüncü baskı. 'Yürürlükteki AB Mevzuatı' brifingleri yasama süreci boyunca önemli aşamalarda güncellenmektedir.
Komisyon 16 Aralık 2020 tarihinde, mevcut NIS Direktifini (NIS1) yürürlükten kaldıracak ve yerine geçecek olan, Birlik genelinde yüksek düzeyde ortak siber güvenliğe yönelik tedbirlere ilişkin bir direktif önerisi (NIS 2) sundu. Önerilen direktif, mevcut NIS1 rejiminin sınırlamalarının üstesinden gelmeyi amaçlamaktadır. Hem NIS1 hem de önerilen NIS2'nin yasal dayanağı, amacı ulusal kuralların yakınlaştırılmasına yönelik tedbirlerin arttırılması yoluyla iç pazarın kurulması ve işleyişi olan Avrupa Birliği'nin İşleyişi Hakkında Antlaşma'nın 114. Maddesidir.
NIS2'nin kapsadığı alanın genişletilmesi önerisi, ki bu daha fazla kuruluşu ve sektörü önlem almaya zorlayacaktır, uzun vadede Avrupa'da siber güvenlik seviyesinin artmasına yardımcı olacaktır.
Genel olarak, NIS2 teklifi kendisine üç genel hedef belirlemiştir:
►Avrupa Birliği'nde ilgili tüm sektörlerde faaliyet gösteren kapsamlı bir dizi işletmenin siber dayanıklılık düzeyini, aşağıdakileri sağlayan kuralları yürürlüğe koyarak arttırmak
İç pazarda ekonomi ve bir bütün olarak toplum için önemli işlevleri yerine getiren tüm kamu ve özel kuruluşların yeterli siber güvenlik önlemleri alması gerekmektedir.2 Örneğin teklif, telekom, sosyal medya platformları ve kamu yönetimi gibi yeni sektörleri de ekleyerek mevcut direktifin kapsamını önemli ölçüde genişletmektedir (bkz. bu bilgi formu). NIS2 çerçevesinin kapsadığı sektörlerde faaliyet gösteren tüm orta ve büyük ölçekli kuruluşların, teklifte ortaya konan güvenlik kurallarına uymak zorunda olduğunu belirler ve Üye Devletlerin belirli durumlarda gereklilikleri uyarlama olasılığını ortadan kaldırır3 (NIS1 uygulaması ile çok fazla parçalanmaya yol açmıştı, bkz. etki değerlendirmesi). Şu anda üç kategoriye ayrılan OES'ler ve dijital DSP'ler arasındaki ayrımı kaldırmaktadır: çevrimiçi pazar yerleri, arama motorları ve bulut hizmet sağlayıcıları. Son olarak, ilk kez BİT tedarik zincirinin siber güvenliğini ele almaktadır (IoT durumunda özel bir öneme sahiptir).
►Halihazırda direktif kapsamında olan sektörlerde iç pazar genelinde dayanıklılık konusundaki tutarsızlıkları azaltmak için i) fiili kapsamı; ii) güvenlik ve olay raporlama gereklilikleri; iii) ulusal denetim ve yaptırımı düzenleyen hükümler; ve iv) Üye Devletlerin ilgili yetkili makamlarının kapasiteleri. Teklif, olaylara müdahale, tedarik zinciri güvenliği, şifreleme ve güvenlik açığı ifşası da dahil olmak üzere, tüm şirketlerin aldıkları önlemlerin bir parçası olarak ele almaları veya uygulamaları gereken yedi temel unsurdan oluşan bir liste içermektedir. Buna ek olarak, teklif olay raporlaması için iki aşamalı bir yaklaşım öngörmektedir. Etkilenen şirketlerin bir olaydan ilk haberdar oldukları andan itibaren 24 saat içinde bir ilk rapor sunmaları ve ardından en geç bir ay içinde nihai bir rapor sunmaları gerekmektedir. Uygulama ile ilgili olarak, kuruluşların siber güvenlik risk yönetimine ilişkin kuralları veya NIS Direktifinde belirtilen raporlama yükümlülüklerini ihlal etmeleri halinde asgari bir idari yaptırım listesi oluşturmaktadır. Bu yaptırımlar arasında bağlayıcı talimatlar, bir güvenlik denetiminin tavsiyelerini uygulama emri, güvenlik önlemlerini NIS gereklilikleriyle uyumlu hale getirme emri ve idari para cezaları (hangisi daha yüksekse, 10 milyon Euro'ya veya kuruluşların dünya çapındaki toplam cirosunun %2'sine kadar) yer almaktadır.
►Ortak durumsal farkındalık düzeyini ve hazırlık ve müdahale için kolektif kabiliyeti geliştirmek için i) aşağıdakiler arasında güven düzeyini artıracak tedbirler almak yetkili makamlar; ii) daha fazla bilgi paylaşımı; ve iii) büyük ölçekli bir olay veya kriz durumunda kural ve prosedürlerin belirlenmesi. Önerilen yeni kurallar, net sorumluluklar, uygun planlama ve daha fazla AB işbirliği getirerek AB'nin büyük ölçekli siber güvenlik olaylarını ve krizlerini önleme, ele alma ve bunlara müdahale etme şeklini geliştirmektedir. Revize edilen direktif bir AB kriz yönetimi oluşturacaktır.
Üye Devletlerin bir plan kabul etmelerini ve AB düzeyinde siber güvenlik olaylarına ve krizlerine müdahaleye katılmaktan sorumlu ulusal yetkili makamları belirlemelerini gerektiren çerçeve. Önerilen direktif, AB çapında siber güvenlik olaylarının koordineli yönetimini desteklemek ve düzenli bilgi alışverişini sağlamak için bir AB-Siber Krizler İrtibat Organizasyonu Ağı (EU-CyCLONe) kuracaktır. Önerilen direktif aynı zamanda NIS İşbirliği Grubunun karar alma ve Üye Devletler arasında işbirliğini arttırma rolünü de güçlendirecektir. Üye Devletlerin ulusal bir siber güvenlik stratejisi benimsemeleri ve direktife uyumu denetlemek üzere bir veya daha fazla ulusal yetkili makam belirlemeleri; olay bildirimlerini ele almak üzere CSIRT'ler ve diğer Üye Devletlerle irtibat noktası olarak hareket etmek üzere tek temas noktaları (SPOC) belirlemeleri gerekecektir.
İlgili AB mevzuatı ile tutarlılık ve uyumun sağlanması amacıyla NIS Direktifi incelemesi özellikle aşağıdaki üç Komisyon girişimini dikkate almaktadır:
►NIS2 teklifi ile birlikte önerilen Kritik Kuruluşların Dayanıklılığı (CER) Direktifinin, kritik kuruluşların dayanıklılığını arttırmak amacıyla gözden geçirilmesi kuruluşları çok sayıda sektörde fiziksel tehditlere karşı korumaktadır. Teklif, enerji, ulaştırma, bankacılık, mali piyasa altyapıları, sağlık, içme suyu, atık su, dijital altyapı, kamu yönetimi ve uzay olmak üzere 10 sektörü kapsayacak şekilde 2008 tarihli mevcut direktifin hem kapsamını hem de derinliğini genişletmektedir;
►Finans sektörü için dijital operasyonel esneklik yasası (DORA) girişimi;
Sınır ötesi elektrik akışları için sektöre özgü kurallar içeren bir siber güvenlik ağ kodu girişimi (bkz. SPEAR projesinden anlık görüntü analizi).
Finans sektörüne ilişkin olarak DORA teklifi, özellikle sınır ötesi finansal kuruluşlar için dijital operasyonel hükümlerin uygulanıp uygulanmayacağı ve nasıl uygulanacağı konusunda yasal netlik sağlayacak ve AB kurallarının mevcut sınırlı kapsamına ve NIS1 Direktifinin genel yapısına bir yanıt olarak Üye Devletlerin operasyonel esneklik ve siber güvenlikle ilgili kuralları, standartları ve beklentileri bireysel olarak iyileştirme ihtiyacını ortadan kaldıracaktır. Aynı zamanda, finans sektörü ile NIS2 kapsamındaki diğer sektörler arasında bilgi alışverişi için güçlü bir ilişkinin sürdürülmesi önemlidir. Bu amaçla, DORA önerisi kapsamında, tüm mali denetçiler, mali sektör için Avrupa denetim makamları (ESA'lar) ve mali sektörle ilgili ulusal yetkili makamlar NIS İşbirliği Grubu'nun tartışmalarına katılabilecek ve NIS2 kapsamındaki tek temas noktaları ve ulusal CSIRT'lerle bilgi alışverişinde bulunabilecek ve işbirliği yapabilecektir. Ayrıca, Üye Devletler finans sektörünü siber güvenlik stratejilerine dahil etmeye devam etmelidir ve ulusal CSIRT'ler faaliyetlerinde finans sektörünü de kapsayabilir.
Ayrıca Komisyon, NIS2 teklifindeki kapsamı, CER Direktifinin gözden geçirilmesine yönelik teklif ile uyumlu hale getirmiştir.
ENISA ile ilgili olarak, NIS'in uygulanmasını denetlemeyi içeren mevcut yetkisi dahilinde sorumlulukları artacaktır. ENISA, her iki yılda bir AB'deki siber güvenlik durumu hakkında bir rapor hazırlamak ve temel ve önemli kuruluşlar ile bunların BİT tedarikçileri tarafından gönüllülük esasına dayalı olarak açıklanan BİT ürün ve hizmetlerinin güvenlik açıkları hakkındaki bilgilere erişim sağlayan bir Avrupa güvenlik açığı sicili tutmakla görevlendirilecektir. Aynı zamanda ENISA'nın, alan adı sistemi hizmet sağlayıcıları, üst düzey alan adı kayıtları, bulut bilişim hizmet sağlayıcıları, veri merkezi hizmet sağlayıcıları, içerik dağıtım ağı sağlayıcılarının yanı sıra çevrimiçi pazar yerleri, çevrimiçi arama motorları ve sosyal ağ platformları da dahil olmak üzere belirli türdeki kuruluşların AB'de nerede kurulduklarını bildirecekleri bir kayıt defteri oluşturması ve sürdürmesi gerekecektir. Bunun amacı, özellikle yüksek oranda sınır ötesi hizmet sundukları göz önüne alındığında, bu tür kuruluşların çok sayıda farklı yasal gereklilikle karşı karşıya kalmamalarını sağlamaktır.
Temel tedarik zinciri risklerini ele almak ve BİT tedarik zinciriyle ilgili siber güvenlik risklerini yönetmede kuruluşlara yardımcı olmak için, NIS İşbirliği Grubu, Komisyon ve ENISA ile birlikte, ilgili tehditler ve güvenlik açıkları dahil olmak üzere kritik BİT hizmetleri, sistemleri veya ürünlerinin sektör başına koordineli bir risk değerlendirmesini yapmakla görevlendirilecektir. Tedarik zinciri risk değerlendirmeleri hem teknik faktörleri (donanım veya yazılımla ilgili) hem de ilgili olduğu durumlarda teknik olmayan faktörleri (tedarikçilerin AB üyesi olmayan bir ülke veya devlet destekli oyuncular tarafından müdahaleye maruz kalması gibi) dikkate alacaktır. Bu yaklaşım büyük ölçüde Komisyon ve NIS İşbirliği Grubu'nun 5G ağlarının güvenliğine ilişkin önceki çalışmalarına dayanmaktadır. Komisyon 29 Ocak 2020 tarihinde, 5G ağlarıyla ilişkili güvenlik tehditlerini azaltmaya yönelik tedbirleri listeleyen 5G risk yönetimi araç kutusunu yayınlamıştır. AB 5G risk değerlendirmesi, diğerlerinin yanı sıra, AB düzeyinde 5G ağları ve 5G tedarik zinciriyle ilgili güvenlik risklerini tanımlamıştır. Kuruluşların ICT tedarik zinciri güvenliğine yönelik yükümlülüklerine uymalarını sağlamak için yeni direktif, Üye Devletlerin temel ve önemli kuruluşların AB Siber Güvenlik Yasası kapsamında belirli ICT ürünlerini, hizmetlerini ve süreçlerini belgelendirmelerini zorunlu kılmalarını sağlayacaktır. Bu bağlamda, taslak direktif Komisyon'a hangi temel kuruluş kategorilerinin (kritiklikleri nedeniyle) sertifika almaları gerekeceğini belirleme yetkisi verecektir.
Avrupa Elektronik İletişim Kanunu (EECC), Aralık 2020'den bu yana AB'de elektronik iletişim hizmetleri sağlarken telekom sağlayıcılarının güvenliğini düzenlemektedir. Bununla birlikte, telekom sağlayıcıları, direktifin kapsamına giren telekom dışı hizmetler, yani bulut bilişim hizmetleri sağladıkları takdirde mevcut NIS çerçevesi kapsamına girmektedir. Bu nedenle önerilen direktif, ilgili EECC güvenlik hükümlerini yürürlükten kaldıracak ve ECS ile ilgili hizmetler sağladıkları durumlarda da telekom sağlayıcılarının güvenliğini tamamen düzenleyecektir. Aynı durum şu anda eIDAS Yönetmeliğinde bulunan güven hizmeti sağlayıcılarına yönelik güvenlik hükümleri için de geçerli olacaktır.
Danışma Komiteleri
Avrupa Ekonomik ve Sosyal Komitesi (EESC) 27-28 Nisan 2021 tarihli genel kurul oturumunda teklife ilişkin bir görüş kabul etti.
EESC, hem NIS2 hem de CER tekliflerindeki bazı hükümlerin, birbirleriyle yakından bağlantılı ve tamamlayıcı olmaları nedeniyle örtüştüğünü belirtmektedir. Bu nedenle EESC, iki teklifin tek bir metin oluşturacak şekilde birleştirilmesi çağrısında bulunur. Ayrıca, iki teklif tarafından takip edilen hedeflerin uygunluğu ve hassasiyeti göz önüne alındığında, bir tüzüğün bir direktife tercih edilebileceği sonucuna varmıştır.
Buna ek olarak EESC, 'temel' ve 'önemli' kuruluşlar arasında ayrım yapmak için daha net kılavuzlara ihtiyaç duyulduğuna ve karşılanması gereken ilgili gerekliliklerin daha kesin bir şekilde tanımlanması gerektiğine işaret etmektedir.
Son olarak EESC, ENISA'nın genel Avrupa kurumsal ve operasyonel siber güvenlik sisteminde kilit bir rol oynadığı konusunda hemfikirdir. Bu nedenle, Birlik'teki siber güvenliğin durumuna ilişkin önerilen iki yıllık rapora ek olarak, siber güvenlik olayları ve sektöre özel uyarılar hakkında düzenli ve güncel bilgileri de çevrimiçi olarak yayınlamalıdır.
Avrupa Bölgeler Komitesi (CoR) teklife ilişkin bir görüş hazırlamamıştır.
Ulusal parlamentolar
Gerekçeli görüşlerin sunulması için ikincilliğe ilişkin son tarih 17 Mart 2021'dir. Hiçbir ulusal parlamento gerekçeli görüş sunmamıştır.
Paydaş görüşleri4
25 Haziran 2020'den 13 Ağustos 2020'ye kadar, ilgili tüm paydaşlar başlangıç etki değerlendirmesi ve yol haritası hakkında özel bir Komisyon web sayfasında geri bildirimde bulunabilmiştir. Paydaşlardan, özel sektörden, araştırma kuruluşlarından ve diğer paydaşlardan toplam 42 yanıt alınmıştır.
AB'den ve uluslararası düzeyde vatandaşlar. Paydaşlar genel olarak, özellikle OES'ler ve DSP'lerle ilgili olarak, ulusal düzeyde UİS'in uygulanmasındaki mevcut bölünmüşlüğe işaret etmişlerdir. Paydaşlar ayrıca siber saldırılara müdahalede AB düzeyinde ve diğer ilgili AB mevzuatı ile koordinasyonun geliştirilmesi gerektiğini vurgulamışlardır.
GSMA mobil birliği, Komisyon'un NIS Direktifindeki eksiklikleri ve süregelen verimsizlikleri şu şekilde ele almasını şiddetle tavsiye etmektedir: uçtan uca sağlam bir güvenlik sağlamak için yazılım ve donanım sağlayıcılarını NIS kapsamına dahil etmek; süreçleri, güvenlik gerekliliklerini ve olay bildirim yükümlülüklerini düzene sokarak bürokrasiyi ve parçalanmayı azaltmak; ve NIS Direktifini diğer yasal araçlarla (Siber Güvenlik Yasası, EECC ve Avrupa Kritik Altyapı (ECI) Direktifi) yakından uyumlu hale getirerek Elektronik İletişim Hizmetleri sağlayıcıları için uyum ve tutarlılığı artırmak.
Avrupa dijital güvenlik sektörünü temsil eden Eurosmart, 'DSP'lerin yalnızca Avrupa'da bulunan fiziksel altyapıyı kullanması gerektiğine' inanmaktadır. NIS Direktifi, Siber Güvenlik Yasası (CSA) çerçevesinde oluşturulan Avrupa sertifikasyon programlarından yararlanarak OES ve DSP'nin yüksek düzeyde koruma sağlama kabiliyetini göstermelidir. Risk temelli bir yaklaşım izlenerek, son derece kritik ürünlerin sertifikasyonu CSA uyarınca 'Yüksek' seviyede yapılmalıdır. 'Yüksek' seviyedeki güvenlik sertifikası, sertifikasyon programının sektörden tanınmış uzmanlardan oluşan bir topluluk tarafından sürekli olarak izlenmesini ve sürdürülmesini sağlar. Kritik altyapılar için güvenliğin "son teknoloji ürünü" olmasını sağlamanın tek yolu budur.
Yazılım İttifakı (BSA), mevcut hükümlerin genel ruhunun korunması, ancak özellikle hizmet tanımları, eşikler, raporlama yöntemleri ve AB genelinde OES'ler ve DSP'ler olarak tanınan (alt) sektör kategorileri bakımından daha iyi bir uyum ve uygulama düzeyi sağlanması gerektiğini belirtmektedir. NIS'in kapsamının yazılım ürünlerini de kapsayacak şekilde genişletilmesi çağrısıyla ilgili olarak BSA, bulut hizmetlerinin Ek III'e dahil edilmesiyle, özellikle de 'hizmet olarak yazılım' ilkesi aracılığıyla sektörün halihazırda kapsama alındığının altını çizmektedir. Yazılımın bulut üzerinden teslim edilmediği veya hizmet verilmediği çok sınırlı durumlarda (örneğin gömülü olduğunda), üretici söz konusu yazılım parçasını etkileyen olayın görünürlüğüne sahip olmayacağından, olay raporlama yükümlülükleri önemsiz olacaktır.
Sektör birliği Digital Europe, mevcut NIS kapsamının korunması gerektiğine inanmaktadır. Bununla birlikte gözden geçirme, Üye Devletlerin OES'leri ve DSP'leri tanımlarken parçalanmayı önlemek için daha yakın bir uyum içinde olmalarını sağlamalıdır.
Avrupa tüketici derneği BEUC, özellikle DSP'ler söz konusu olduğunda NIS'in kapsamının yeterince geniş olmadığını belirtmektedir. OES'lerle ilgili olarak, seçim kriterlerindeki farklılıklar AB'de yasal bölünme yaratmıştır.
Avrupa Veri Koruma Denetmeni (EDPS) 11 Mart 2021 tarihinde siber güvenlik stratejisi ve NIS 2 Direktifi hakkında bir görüş yayınlayarak, diğer hususların yanı sıra, teklifin başta GDPR ve ePrivacy Direktifi olmak üzere kişisel verilerin korunmasına ilişkin mevcut Birlik mevzuatını doğru ve etkili bir şekilde tamamlamasını sağlamak için özel tavsiyelerde bulundu. Ayrıca, metin genelinde 'siber güvenlik' ve 'ağ ve bilgi sistemlerinin güvenliği' terimlerinin farklı kullanımına açıklık getirilmesini istemektedir: 'siber güvenlik' teriminin genel olarak kullanılması ve 'ağ ve bilgi sistemlerinin güvenliği' teriminin yalnızca bağlam izin verdiğinde teknik amaçlar için kullanılması.
Avrupa Elektronik Haberleşme Düzenleyicileri Kurumu (BEREC) 19 Mayıs 2021 tarihinde, telekom sektörünün güvenliğinin EECC kapsamında düzenlenmeye devam edilmesini öneren NIS2 teklifi hakkında bir görüş yayınladı. BEREC'e göre, telekom sektörünün NIS2 kapsamına alınması, Çerçeve Direktif'in 2009'da yürürlüğe girmesinden bu yana sektöre özgü düzenleyici uygulamalar yoluyla halihazırda tesis edilmiş olan güvenlik seviyesini düşürme riski taşımaktadır.
Yasama süreci
Avrupa Parlamentosu'nda dosya Sanayi, Araştırma ve Enerji Komitesi'ne (ITRE) verildi (raportör: Bart Groothuis, Renew, Hollanda). Dış İlişkiler (AFET), İç Pazar ve Tüketicinin Korunması (IMCO), Ulaştırma ve Turizm (TRAN) ve Sivil Özgürlükler, Adalet ve İçişleri (LIBE) Komiteleri de görüş bildirmiştir.
Avrupa Komisyonu 13 Nisan 2021 tarihinde Parlamento'nun öncü komitesi ITRE'ye yasa teklifini sundu. AP üyeleri NIS'in gözden geçirilmesi önerisini memnuniyetle karşıladı. MEP'ler tarafından dile getirilen en yaygın endişe, DORA, CER, Siber Güvenlik Yasası, EECC ve GDPR dahil olmak üzere önerilen veya mevcut diğer AB mevzuatıyla uyumluluğuyla ilgiliydi.
ITRE taslak raporu 3 Mayıs 2021'de yayımlanmış ve dört komite görüşü Temmuz 2021'de kabul edilmiştir. ITRE komitesi raporunu 28 Ekim 2021'de 70 lehte oya karşılık 3 aleyhte ve 1 çekimser oyla kabul etti. AP üyeleri ayrıca Konsey ile üçlü müzakerelerin başlatılması yönünde oy kullandı ve bu yetki Kasım ayında genel kurulda onaylandı.
Rapor, risk yönetimi, raporlama yükümlülükleri ve bilgi paylaşımı açısından daha sıkı siber güvenlik yükümlülükleri çağrısında bulunuyor. İdari yükün azaltılması ve siber güvenlik olaylarının raporlanmasının iyileştirilmesi hedeflenmektedir. Buna ek olarak rapor, AB ülkelerinin daha sıkı denetim ve uygulama tedbirlerini yerine getirmeleri ve yaptırım rejimlerini uyumlaştırmaları gerektiğini belirtmektedir.
Raporda ayrıca Komisyon'un NIS2 Direktifi kapsamına giren tüm mikro ve küçük işletmelere uygun rehberliğin verilmesini sağlaması gerektiği belirtilmektedir. Rapor ayrıca, siber güvenlik araçlarının uygulanmasında önemli maliyetlerle karşılaşan KOBİ'ler için özel önem taşıyan açık kaynaklı siber güvenlik araçlarının kullanımını teşvik eden politikaları da desteklemektedir.
Raportör, diğer hususların yanı sıra, 'aktif savunma' kavramını da eklemiştir5 taslak raporunda belirtmiştir. Kabul edildiği şekliyle rapor, Üye Devletlerin ulusal siber güvenlik stratejilerinin bir parçası olarak aktif siber savunmanın teşvik edilmesine yönelik politikalar benimsemeleri gerektiğini belirtmektedir.
Rapor, sektörel kapsamı, Komisyon tarafından NIS2 kapsamı dışında bırakılan akademik, bilgi ve araştırma kurumlarını da içerecek şekilde genişletmeyi amaçlamaktadır; oysa birçok ulusal siber güvenlik stratejisi bu kurumları kapsamaktadır.
Haziran 2021'de Konsey, NIS2 konusunda kaydedilen ilerlemeyi değerlendirmiştir. Endişelerinden biri, NIS2'nin sektörel mevzuatla, özellikle de CER ve DORA ile etkileşimiyle ilgiliydi. Tartışmalar sırasında çoğu Üye Devlet, NIS2'yi AB'de siber güvenlik için yatay çerçeve olarak görmenin zorunlu olduğunu ve bu alandaki tüm ilgili sektörel mevzuatın asgari uyumu için temel bir standart olarak hizmet etmesi gerektiğini belirtmiştir. Revize edilen kuralların kapsamının önemli ölçüde genişletilmesi, kapsanacak temel ve önemli kuruluşların belirlenmesinde dikkate alınacak tek unsur olarak büyüklük kriteri, önerilen yasal dayanak (yani tek pazar) ve ulusal güvenlik kaygıları ile ilgili diğer endişeler dile getirilmiştir.
Konsey, müzakere pozisyonunu 3 Aralık 2021 tarihinde kabul etti. NIS2'ye ilişkin ilk teklifle karşılaştırıldığında Konsey bir dizi önemli değişiklik getirmiştir. Örneğin, savunma ve ulusal güvenlik, kamu güvenliği, kolluk kuvvetleri ve yargı alanında faaliyet gösteren kuruluşların yanı sıra parlamentolar ve merkez bankalarını kapsam dışında bırakarak NIS2 kapsamına girecek kuruluşları belirlemek için ek kriterler getirmiştir. Metni, CER Direktifi ve DORA gibi diğer ilgili mevzuat önerileri ile uyumlu hale getirmiştir. Ayrıca, aşırı raporlamayı önlemek için olay raporlama yükümlülüklerini basitleştirmiş ve Üye Devletlerin NIS2'yi ulusal hukuka aktarma süresini 18 ay yerine iki yıla uzatmıştır.
Kurumlar arası üçlü müzakereler 13 Ocak 2022'de başlamış ve 17 Şubat'ta ikinci bir toplantı gerçekleştirilmiştir. 13 Mayıs'ta yapılan üçüncü üçlü görüşme sırasında Parlamento ve Konsey siyasi bir anlaşmaya varmıştır. Revize edilen direktif, düzenleyici bir çerçeve için asgari kuralları belirlemekte ve her Üye Devletteki ilgili makamlar arasında işbirliği mekanizmalarını ortaya koymaktadır. Siber güvenlik yükümlülüklerine tabi olan sektör ve faaliyetlerin listesini genişletmekte ve bunların temel hizmetler ve önemli kuruluşlar arasında farklılık gösterecek çözüm yolları ve yaptırımlar öngören uygulama. Parlamento müzakerecileri, şirketler için açık ve kesin kuralların gerekliliği konusunda ısrarcı olmuşlardır. Raporlama yükümlülükleri basitleştirilmiş ve Komisyon tarafından önerilen ilk 24 saatten daha fazla süre tanınacak şekilde düzenlenmiştir. Bunun amacı, aşırı raporlamadan ve kapsam dahilindeki kuruluşlar üzerinde aşırı bir yük yaratmaktan kaçınmaktır. Yasal netlik sağlamak ve tutarlılığı temin etmek amacıyla metin, başta DORA Yönetmeliği ve CER Direktifi olmak üzere sektöre özgü mevzuatla uyumlu hale getirilmiştir.
NIS2 direktifi, hangi kuruluşların temel hizmetlerin işletmecileri ve önemli kuruluşlar olarak nitelendirilme kriterlerini karşıladığını belirlemek için bir büyüklük sınırı kuralı getirecektir. Bu, direktifin kapsadığı sektörlerde faaliyet gösteren veya direktifin kapsadığı hizmetleri sağlayan tüm orta ölçekli ve büyük kuruluşların direktifin kapsamına gireceği anlamına gelmektedir. Ortak yasa koyucular bu genel kuralı korumakla birlikte, orantılılığı ve kritiklik kriterlerinin net bir şekilde belirlenmesini sağlamak üzere ilave hükümler getirmişlerdir. Bu tür kuruluşlar, hizmetlerini sağladıkları Üye Devletin değil, kuruldukları Üye Devletin yargı yetkisi altında olacaktır.
Yönerge aynı zamanda büyük ölçekli olayların koordinasyonu ve yönetimini destekleyecek olan EU-CyCLONe ağını da resmen kuracaktır.
Buna ek olarak, iyi uygulamalardan öğrenmeyi desteklemek için gönüllü bir akran-öğrenme mekanizması kurulacaktır.
Konsey tarafından talep edildiği üzere, direktif savunma ve ulusal güvenlik, kamu güvenliği, kolluk kuvvetleri ve yargı gibi alanlarda faaliyet gösteren kuruluşlara uygulanmayacaktır. Parlamentolar ve merkez bankaları da kapsam dışında tutulmuştur. Ancak Parlamento tarafından talep edildiği üzere, merkezi ve bölgesel düzeydeki kamu idaresi kuruluşları için geçerli olacaktır. Buna ek olarak, Üye Devletler yerel düzeydeki kuruluşlar için de geçerli olmasına karar verebilirler.
Siyasi anlaşma 13 Temmuz 2022 tarihinde ITRE komitesi tarafından onaylanmış ve ardından 10 Kasım 2022 tarihinde 577 lehte, 6 aleyhte ve 31 çekimser oyla Meclis genel kurulunda kabul edilmiştir. Metin daha sonra 28 Kasım 2022 tarihinde Konsey tarafından kabul edilmiş ve 14 Aralık 2022 tarihinde her iki eş-yasa koyucu tarafından imzalanmıştır. Metin 27 Aralık 2022 tarihinde Resmi Gazetede yayımlanmış ve 16 Ocak 2023 tarihinde yürürlüğe girmiştir. Üye Devletlerin yönergeyi ulusal hukuka aktarmak için 17 Ekim 2024 tarihine kadar 21 ay süreleri bulunmaktadır.
EP DESTEKLEYICI ANALIZ
Zygierewicz A., Ağ ve bilgi sistemlerinin güvenliğine ilişkin Direktif (NIS Direktifi), Uygulama değerlendirme brifingi, EPRS, Avrupa Parlamentosu, Kasım 2020.
Kononenko V., AB genelinde ortak siber güvenlik seviyesinin iyileştirilmesi, Avrupa Komisyonu Etki Değerlendirmesinin İlk Değerlendirmesi, EPRS, Avrupa Parlamentosu, Şubat 2021.
Erbach G., O'Shea J. ile birlikte, Kritik enerji altyapısının siber güvenliği, Brifing, EPRS, Avrupa Parlamentosu, Ekim 2019.
Negreiro M., ENISA ve yeni bir siber güvenlik yasası, Brifing, EPRS, Avrupa Parlamentosu, Temmuz 2019.
Negreiro M. with Belluomini A., Yeni Avrupa siber güvenlik yetkinlik merkezi ve ağı, Brifing, EPRS, Avrupa Parlamentosu, Temmuz 2020.
DİĞER KAYNAKLAR
Birlik genelinde yüksek düzeyde ortak siber güvenlik - NIS 2 Direktifi, Avrupa Parlamentosu Yasama Gözlemevi.
Etkili AB siber güvenlik politikasının önündeki zorluklar, Avrupa Sayıştayı (ECA) Brifing Belgesi, Mart 2019.
Temel hizmet işletmecilerinin belirlenmesindeki yaklaşımların tutarlılığını değerlendiren rapor, Avrupa Komisyonu, 2020.
İnternet organize suç tehdit değerlendirmesi (IOCTA) 2020, Europol, 2020.
AÇIKLAMA NOTLARI
1 OPC'ye ek olarak Komisyon, temel hizmet işletmecilerinin belirlenmesindeki yaklaşımların tutarlılığını değerlendiren görevlendirilmiş bir çalışma aracılığıyla kanıt toplamıştır. Çalışma, Üye Devletlerin temel hizmet işletmecilerini nasıl belirlediğine dair genel bir bakış sunmanın yanı sıra, kullanılan metodolojilerin AB genelinde tutarlı olup olmadığını değerlendirmektedir.
2 Komisyon teklifi aşağıdaki sektör ve alt sektörleri kapsamaktadır: i) 'temel kuruluşlar': enerji (elektrik, bölgesel ısıtma ve soğutma, petrol ve gaz); ulaştırma (hava, demiryolu, su ve karayolu); bankacılık; finansal piyasa altyapıları; sağlık; aşılar dahil olmak üzere farmasötik ürünlerin imalatı; içme suyu; atık su; dijital altyapı (internet değişim noktaları; DNS sağlayıcıları; TLD isim kayıtları; bulut bilişim hizmet sağlayıcıları; veri merkezi hizmet sağlayıcıları; içerik dağıtım ağları; güven hizmet sağlayıcıları ve kamu elektronik iletişim ağları ve elektronik iletişim hizmetleri); kamu yönetimi; ve uzay. ii) 'önemli kuruluşlar': posta ve kurye hizmetleri; atık yönetimi; kimyasallar; gıda; tıbbi cihaz, bilgisayar ve elektronik, makine ekipmanı, motorlu taşıt üretimi; ve dijital sağlayıcılar (çevrimiçi pazar yerleri, çevrimiçi arama motorları ve sosyal ağ hizmeti platformları).
3 NIS2 önerisi kapsamında, 'temel' ve 'önemli' kuruluşların, hizmetlerini sundukları Üye D e v l e t i n yargı yetkisi altında olduğu kabul edilmektedir. Eğer kuruluş birden fazla Üye Devlette hizmet veriyorsa, bu Üye Devletlerin her birinin yargı yetkisi altında olmalıdır. Aynı zamanda, belirli türdeki kuruluşlar, AB'deki ana kuruluşlarının bulunduğu Üye Devletin y a r g ı y e t k i s i altında olacaktır. Bu kuruluşlar arasında, bunlarla sınırlı olmamak üzere, alan adı sistemi hizmet sağlayıcıları, üst düzey alan adı kayıt kuruluşları, bulut bilişim hizmet s a ğ l a y ı c ı l a r ı , veri merkezi hizmet sağlayıcıları, içerik dağıtım ağı sağlayıcılarının yanı sıra çevrimiçi pazar yerleri, çevrimiçi arama motorları ve sosyal ağ platformları yer almaktadır.
4Bu bölüm tartışmanın bir özetini sunmayı amaçlamaktadır ve teklife ilişkin tüm farklı görüşlerin kapsamlı bir açıklaması olması amaçlanmamıştır. Ek bilgiler 'EP destekleyici analiz' altında listelenen ilgili yayınlarda bulunabilir.
5 Aktif siber savunma, ağ güvenliği ihlallerinin proaktif olarak önlenmesi, tespit edilmesi, izlenmesi, analiz edilmesi ve azaltılması ile birlikte mağdur ağın içinde ve dışında konuşlandırılan yeteneklerin kullanılmasıdır.
SORUMLULUK REDDİ VE TELİF HAKKI
Bu belge, Avrupa Parlamentosu Üyeleri ve personeline parlamento çalışmalarında yardımcı olmak üzere arka plan malzemesi olarak hazırlanmış ve onlara hitap etmektedir. Belgenin içeriğinden yalnızca yazar(lar) sorumludur ve burada ifade edilen görüşler Parlamento'nun resmi pozisyonunu temsil ettiği şeklinde algılanmamalıdır.
Kaynağın belirtilmesi ve Avrupa Parlamentosu'na önceden bildirimde bulunulması ve bir kopyasının gönderilmesi kaydıyla, ticari olmayan amaçlarla çoğaltma ve çeviriye izin verilir.
© Avrupa Birliği, 2023.
eprs@ep.europa.eu (iletişim)
www.eprs.ep.parl.union.eu (intranet)
www.europarl.europa.eu/thinktank (internet)
http://epthinktank.eu (blog)
Dördüncü baskı. 'Yürürlükteki AB Mevzuatı' brifingleri yasama süreci boyunca önemli aşamalarda güncellenmektedir.
Paylaş:
E-BÜLTEN KAYIT
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!
Güncel makalelerimizden haberdar olmak için e-bültene kayıt olun!