Haberler
Avrupa Birliği Üye Ülkeleri Siber Güvenliği Sağlamlaştırmayı Amaçlayan NIS2 Yönergesini Kabul Etti
Avrupa Parlamentosu, Avrupa Birliği’ndeki hem kamu hem de özel sektör kuruluşlarının siber güvenliğini ve direncini artırmayı amaçlayan bir “geçici anlaşma” duyurdu.
“NIS2” (ağ ve bilgi sistemlerinin kısaltması) olarak adlandırılan revize edilmiş direktifin, Temmuz-2016’da oluşturulan siber güvenlikle ilgili mevcut mevzuatın yerini alması bekleniyor.
Yenileme enerji, ulaştırma, finans piyasaları, sağlık ve dijital altyapı sektörlerindeki şirketlerin risk yönetimi önlemlerine ve raporlama yükümlülüklerine uymasını gerektiren temel kuralları belirliyor.
Yeni mevzuattaki hükümler arasında;
- Siber güvenlik olaylarının 24 saat içinde yetkililere bildirilmesi,
- Yazılım açıklarının yamalanması
- Ve ağların güvenliğini sağlamak için risk yönetimi önlemlerinin hazırlanması yer alıyor.
Avrupa Birliği Konseyi geçtiğimiz hafta yaptığı açıklamada, “Yönerge, büyük ölçekli siber güvenlik olaylarının koordineli yönetimini destekleyecek olan Avrupa Siber Krizler İrtibat Organizasyon Ağı EU-CyCLONe’u resmi olarak kuracak.” ifadelerini kullanmıştı.
Gelişme, Avrupa Komisyonu’nun mesajlaşma uygulamaları da dahil olmak üzere çevrimiçi hizmet sağlayıcılardan gelen çocuk istismarı resimlerini ve videolarını “tespit etme, bildirme, engelleme ve kaldırma” planlarını yakından takip ediyor ve bunun uçtan uca şifreleme (E2EE) korumalarını zayıflatabileceği endişelerini uyandırıyor.
NIS2’nin taslak versiyonu açıkça E2EE kullanımının “Üye Devletlerin temel güvenlik çıkarlarının ve kamu güvenliğinin korunmasını sağlamak ve cezai suçların uygun şekilde soruşturulmasına, tespit edilmesine ve kovuşturulmasına izin vermek için yetkileriyle uzlaştırılması gerektiğini” belirtiyor. Ayrıca, “uçtan uca şifreli iletişimlerde bilgiye yasal erişime yönelik çözümlerin, suça etkili bir yanıt sağlarken, iletişimin gizliliğini ve güvenliğini korumada şifrelemenin etkinliğini sürdürmesi gerektiğini” vurguluyor.
Bununla birlikte direktif, savunma, ulusal güvenlik, kamu güvenliği, kolluk kuvvetleri, yargı, parlamentolar ve merkez bankaları gibi dikey kuruluşlar için geçerli olmayacak. Önerilen anlaşmanın bir parçası olarak, Avrupa Birliği üye devletleri, direktifin yürürlüğe girmesinden itibaren 21 aylık bir süre içinde hükümleri ulusal yasalarına dahil etmekle yükümlü olacaklar.
Konsey taslakta, “Siber güvenlik olaylarının sayısı, büyüklüğü, karmaşıklığı, sıklığı ve etkisi artıyor ve ağ ve bilgi sistemlerinin işleyişi için büyük bir tehdit oluşturuyor. Siber güvenlik hazırlığı ve etkinliği bu nedenle iç pazarın düzgün işleyişi için artık her zamankinden daha önemlidir.” İfadelerini kullanıyor.
