Posted on

‘Avrupa Güvenlik Açığı Veritabanı’ Üzerine

“Kalp rahatsızlığı sonrası yaşamını yitiren anaokulu öğrencisi Hüma Terim kızımızın aziz anısına saygıyla…”

  1. [(AB) 2018/1972 sayılı Direktifi değiştiren ve (AB) 2016/1148 sayılı Direktifi yürürlükten kaldıran] Avrupa Birliği’nin ‘Yüksek Düzeyde Ortak Siber Güvenlik Önlemleri’ Hakkında 14 Aralık 2022 tarihli ve 2022/2555 sayılı Direktifi

Siber güvenlik, ağ ve bilgi sistemlerini [network and information systems-NIS], kullanıcılarını ve etkilenen diğer kişileri siber olaylardan ve tehditlerden korumayı içerir.

Avrupa’da, siber tehditlere maruz kalmanın artmasına yanıt verilmesini teminen, kısaca “NIS2” olarak da bilinen 2022/2555 sayılı Direktif yürürlüğe konulmuş[1] ve bu yönerge kısaca “NIS1” olarak bilinen 2016/1148 sayılı Direktifin yerini almıştır. “NIS2” yönergesi, daha geniş bir kapsam, daha net kural ve daha güçlü denetim araçları vasıtasıyla Avrupa Birliği’nin (AB) siber güvenlik konusundaki ortak mücadele düzeyini yükseltir. Bu direktif, AB Üyesi Devletlerin siber güvenlik yeteneklerini geliştirmelerini, daha fazla sektörden kuruluşlara risk yönetimi önlemleri ve raporlama yükümlülükleri getirmelerini ve siber güvenlik önlemlerinin işbirliği, bilgi paylaşımı, gözetimi ve uygulanması için kurallar koymalarını gerektirmektedir.

Anılan yönerge, her Üye Devletin tedarik zinciri güvenliği, güvenlik açığı yönetimi ve siber güvenlik eğitimi ve farkındalığı için politikalar içeren ulusal bir siber güvenlik stratejisi benimsemesini zorunlu kılmaktadır. Üye Devletler ayrıca, bu kuruluşların yönergenin koşullarına uymasını sağlayarak temel hizmetlerin operatörlerinin bir listesini oluşturmalı ve düzenli olarak güncellemelidir.

“NIS1” yönergesinin hâlihazırda kapsadığı sektörlere (enerji, ulaşım, sağlık, finans, su yönetimi ve dijital altyapı) ek olarak yeni kurallar aynı zamanda;

  • Kamu elektronik iletişim sağlayıcıları,
  • Daha fazla dijital hizmet (sosyal platformlar gibi),
  • Atık ve atık su yönetimi,
  • Kritik ürün istihsali,
  • Posta ve kurye hizmetleri ve
  • Hem merkezi hem de bölgesel düzeyde kamu yönetimi ile
  • Uzay sektörü

için de geçerlidir.

Kural olarak, bu kritik sektörlerdeki orta ölçekli ve büyük kuruluşlar uygun siber güvenlik risk yönetimi önlemlerini almak ve ilgili ulusal makamlara önemli olayları bildirmek zorundadır. Bunlar önemli kesintilere veya hasara neden olabilecek olaylardır.

Anılan direktif Avrupa Birliği genelinde karşılıklı güveni ve siber güvenlik yeteneklerini geliştirmek için gözetim, uygulama ve gönüllü emsal incelemeleri için de hükümler içermektedir. Ayrıca, üst yönetimin siber güvenlik risk yönetimi önlemlerine uymaması durumunda hesap verebilirliğini de getirmekte ve böylece siber güvenliği yönetim kurulunun dikkatine sunmaktadır.

Söz konusu yönerge gereğince, siber tehditler hakkında bilgi alışverişinde bulunmak ve olaylara müdahale etmek için “Bilgisayar Güvenliği Vaka Müdahale Ekipleri”[2] [Computer Security Incident Response Teams-CSIRT] ağı kurulmuştur. Bu ekipler, durumsal farkındalığı sürdürmek ve yardım sunmak için hayati öneme sahiptir. Büyük boyutlu siber güvenlik olaylarını veya krizlerini yönetmek için ise Yönerge ile “Avrupa Siber Kriz İrtibat Örgütü Ağı”[3] [European cyber crisis liaison organisation network (EU-CyCLONe)] oluşturulmuştur. Bu ağ, koordineli yönetimi destekler ve büyük ölçekli olay ve kriz durumunda AB Üyesi Devletler ve Avrupa Birliği kurumları arasında düzenli bilgi alışverişini sağlar[4].

  1. Avrupa Birliği Siber Güvenlik Ajansı’nın ‘Avrupa Güvenlik Açığı Veritabanı’[5]

Avrupa Birliği Siber Güvenlik Ajansı [European Union Agency for Cybersecurity], “NIS2” Direktifi çerçevesinde Avrupa Güvenlik Açığı Veritabanı’nı [European Vulnerability Database] geliştirmiş olup; anılan ajans tarafından sürdürülecek olan Avrupa Güvenlik Açığı Veritabanı hizmeti artık faaliyettedir[6].

Bu veritabanı, Bilgi ve İletişim Teknolojisi ürün ve hizmetlerini etkileyen siber güvenlik açıklarına ilişkin azaltma önlemleri ve istismar durumu gibi toplu, güvenilir ve eyleme dönüştürülebilir bilgiler sağlar.

Avrupa Güvenlik Açığı Veritabanı’nın amacı, Bilgisayar Güvenliği Vaka Müdahale Ekipleri, tedarikçiler ve mevcut veritabanları gibi birden fazla kaynaktan gelen kamuya açık bilgilerin yüksek düzeyde birbirine bağlanmasını sağlamaktır. Bu amaca ulaşmak için platform bütünsel bir yaklaşım üzerine kuruludur. Birbirine bağlı bir veritabanı olarak Avrupa Güvenlik Açığı Veritabanı, daha iyi analize olanak tanır ve açık kaynaklı yazılım ‘Vulnerability-Lookup’ı[7] kolaylaştırarak güvenlik açıklarının ilişkilendirilmesini basitleştirir ve böylece gelişmiş siber güvenlik risk yönetimini mümkün kılar.

Avrupa Güvenlik Açığı Veritabanı bu nedenle güvenilir, daha şeffaf ve daha geniş bir bilgi kaynağı sunmakta ve tehditlere maruz kalmayı sınırlandırırken durumsal farkındalığı daha da artırmaktadır.

Mezkûr veritabanı;

  • Öncelikle Bilgi ve İletişim Teknolojisi ürünleri ve hizmetlerini etkileyen güvenlik açıklarıyla ilgili bilgilere danışmak için genel halkın erişimine açıktır.
  • Ayrıca, ağ ve bilgi sistemleri tedarikçilerine ve hizmetlerini kullanan kuruluşlara yöneliktir.
  • Avrupa Güvenlik Açığı Veritabanı’ndaki belgelenmiş bilgiler, Avrupa Birliği Bilgisayar Güvenliği Vaka Müdahale Ekipleri ağı[8] gibi yetkili ulusal makamların yanı sıra özel şirketler ve araştırmacılar için de tasarlanmıştır.
  • Veritabanının toplu bilgileri gösterge paneli (panolar) aracılığıyla görüntülenir. Avrupa Güvenlik Açığı Veritabanı üç gösterge paneli görünümü sunar:
  • Kritik güvenlik açıkları için,
  • İstismar edilenler için ve
  • Avrupa Birliği tarafından koordine edilenler için.

Kritik güvenlik açıkları ciddi etkileri olan güvenlik açıklarıdır. İstismar edilen güvenlik açıkları şu anda istismar edilen güvenlik açıklarıdır. Avrupa Birliği tarafından koordine edilen güvenlik açıkları ise Avrupa Bilgisayar Güvenliği Vaka Müdahale Ekipleri tarafından koordine edilen güvenlik açıklarıdır.

Avrupa Birliği Koordineli Güvenlik Açıkları, Avrupa Bilgisayar Güvenliği Vaka Müdahale Ekipleri tarafından koordine edilen güvenlik açıklarını listeler ve Avrupa Birliği Bilgisayar Güvenliği Vaka Müdahale Ekibi ağının üyelerini içerir.

Toplanan ve başvurulan güvenlik açığı bilgileri açık kaynaklı veri tabanlarından gelir. Ek bilgiler, ulusal Bilgisayar Güvenliği Vaka Müdahale Ekipleri tarafından yayınlanan tavsiyeler ve uyarılar, tedarikçiler tarafından yayınlanan azaltma ve yama yönergeleri ve istismar edilen güvenlik açığı işaretleri marifetiyle eklenir. Avrupa Güvenlik Açığı Veritabanı veri kayıtları şunları içerebilir:

  • Güvenlik açığının tanımı;
  • Etkilenen Bilgi ve İletişim Teknolojisi ürünleri veya Bilgi ve İletişim Teknolojisi hizmetleri ve/veya etkilenen sürümleri, güvenlik açığının ciddiyeti ve nasıl istismar edilebileceği;
  • Yetkili makamlar (Bilgisayar Güvenliği Vaka Müdahale Ekipleri dâhil) tarafından sağlanan ve kullanıcılara riskleri nasıl azaltacaklarına dair bilgiler veya mevcut ilgili yamalar veya kılavuzlar.

Avrupa Birliği Siber Güvenlik Ajansı, “NIS2” Yönergesi koşullarını karşılamak için, MITRE’nin (The MITRE Corporation) “Ortak Güvenlik Açıkları ve Riskleri Programı”[9] [Common Vulnerabilities and Exposures system, ‘esasen’ Common Vulnerability Enumeration] da dâhil olmak üzere farklı Avrupa Birliği ve uluslararası kuruluşlarla bir işbirliği başlatmıştır. Avrupa Birliği Siber Güvenlik Ajansı, Ortak Güvenlik Açıkları ve Riskleri Programı’na yönelik fon duyurusunun ardından etkiyi ve sonraki adımları anlamak için MITRE ile iletişim halindedir. Ortak Güvenlik Açıkları ve Risk verileri, güvenlik açığı bilgilerini tavsiyeler aracılığıyla ifşa eden Bilgi ve İletişim Teknolojisi tedarikçileri tarafından sağlanan veriler ve Amerika Birleşik Devletleri ‘Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın [Cybersecurity and Infrastructure Security Agency-CISA] “Bilinen İstismar Edilen Güvenlik Açığı Kataloğu”[10] [Known Exploited Vulnerabilities Catalog] gibi ilgili bilgiler otomatik olarak Avrupa Güvenlik Açığı Veritabanı’na aktarılır. Bu, ulusal Koordineli Güvenlik Açığı İfşa politikaları oluşturan ve Bilgisayar Güvenliği Vaka Müdahale Ekiplerinden birini koordinatör olarak atayan Üye Devletlerin desteğiyle de gerçekleştirilecek ve bu da nihayetinde Avrupa Güvenlik Açığı Veritabanı’nı Avrupa Birliği’nde gelişmiş durumsal farkındalık için güvenilir bir kaynak haline getirecektir.

Ortak Güvenlik Açıkları ve Riskleri Numaralandırma Otoritesi[11] olarak Avrupa Birliği Siber Güvenlik Ajansı, Ocak 2024’ten bu yana aşağıdakilerle ilgili olarak güvenlik açıklarını kaydedebilir ve güvenlik açığının ifşa edilmesini destekleyebilir:

  • Avrupa Birliği Bilgisayar Güvenliği Vaka Müdahale Ekipleri tarafından keşfedilen Bilgi ve İletişim Teknolojisi ürünlerindeki güvenlik açıkları ve
  • Başka bir Ortak Güvenlik Açıkları ve Riskleri Numaralandırma Otoritesinin kapsamında olmadıkları sürece koordineli bir şekilde ifşa edilmek üzere Avrupa Birliği Bilgisayar Güvenliği Vaka Müdahale Ekiplerine bildirilen güvenlik açıkları.

Üreticiler için aktif olarak istismar edilen güvenlik açıklarını bildirmek Eylül 2026’ya kadar zorunlu hale gelecektir. Bu bildirim süreci, dijital öğelere sahip donanım ve yazılım ürünlerini etkileyen güvenlik açıkları için geçerli olacaktır.  Siber Dayanıklılık Yasası[12] [ Cyber Resilience Act] marifetiyle sağlanan Tek Raporlama Platformu [Single Reporting Platform], bu amaç için kullanılacak bir araç olacaktır. Bu nedenle Tek Raporlama Platformu’nun “NIS2” Direktifi ile oluşturulan Avrupa Güvenlik Açığı Veritabanı’ndan farklı olduğunu vurgulamak önemlidir.

[1]“NIS2” yönergesi için bkz. < https://eur-lex.europa.eu/eli/dir/2022/2555/2022-12-27/eng >.

[2]<https://www.enisa.europa.eu/topics/eu-incident-response-and-cyber-crisis-management/csirts-network >.

[3]‘Avrupa Siber Kriz İrtibat Örgütü Ağı’ için bkz. < https://www.enisa.europa.eu/topics/eu-incident-response-and-cyber-crisis-management/eu-cyclone >.

[4]Bu konuda bkz. “NIS2 Directive: new rules on cybersecurity of network and information systems, European Commission, Last update 22 May 2025, < https://digital-strategy.ec.europa.eu/en/policies/nis2-directive#:~:text=Cybersecurity%20involves%20protecting%20network%20and,Directive%202016%2F1148%20or%20NIS1. > erişim tarihi 17 Haziran 2025”.

[5]Bu başlık kapsamında bkz. “Consult the European Vulnerability Database to enhance your digital security! European Union Agency for Cybersecurity, May 13,2025, < https://www.enisa.europa.eu/news/consult-the-european-vulnerability-database-to-enhance-your-digital-security > erişim tarihi 17 Haziran 2025”; “Barbora Korcova, European Commission Announced the European Vulnerability Database Launch, EM Law Blog, June 16, 2025, < https://emlaw.co.uk/european-commission-announced-the-european-vulnerability-database-launch/ > erişim tarihi 17 Haziran 2025”; “Common Vulnerabilities and Exposures, Wikipedia, < https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures > erişim tarihi 17 Haziran 2025”.

[6]‘Avrupa Güvenlik Açığı Veritabanı’ hizmeti için bkz. < https://euvd.enisa.europa.eu/ >.

[7]‘Vulnerability-Lookup’ konusunda bkz. < https://github.com/vulnerability-lookup/vulnerability-lookup >.

[8]‘Avrupa Birliği Bilgisayar Güvenliği Vaka Müdahale Ekipleri’ ağı için bkz. < https://csirtsnetwork.eu/ >.

[9]MITRE Şirketi’nin ‘Ortak Güvenlik Açıkları ve Riskleri Programı’ için bkz. < https://www.cve.org/about/overview >.

[10]< https://www.cisa.gov/known-exploited-vulnerabilities-catalog >.

[11]<https://www.enisa.europa.eu/news/another-step-forward-towards-responsible-vulnerability-disclosure-in-europe >.

[12]Avrupa Birliği ‘Siber Dayanıklılık Yasası’ için bkz. < https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R2847 >.

Avatar

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.