Birleşik Krallık Siber Güvenlik ve Dayanıklılık Yasa Tasarısına Genel Bir Bakış

Giriş

Birleşik Krallık Hükümeti, Siber Güvenlik ve Dayanıklılık Yasa Tasarısı (Cyber Security and Resilience Bill) biçiminde Birleşik Krallık genelinde yeni siber güvenlik mevzuatı sunmayı planlamakta olup; bu tasarının amacı, Birleşik Krallık’ın kritik ve siber altyapısını sık ve zararlı siber saldırılara karşı daha dayanıklı hale getirmek için siber güvenlik ile ilgili yasayı genel olarak iyileştirmektir.

EM Hukuk Bürosundan Neil Williamson ve Colin Lambertus, OneTrust’ın DataGuidance dergisinde yer aldılar; bir makale yazarak anılan yasa tasarısını incelediler ve Ağ ve Bilgi Sistemleri Yönetmelikleri ile Ağ ve Bilgi Sistemleri-2 Direktifi hakkındaki görüş de dâhil olmak üzere siber güvenlik düzenlemelerindeki diğer gelişmelerin yasa tasarısını nasıl etkileyebileceğini ele aldılar.

1. Arka Plan

Yasa henüz yayınlanmadığı için somut ayrıntılar henüz yetersizdir. Bununla ilgili açıklayıcı bir özette^[1], Birleşik Krallık Hükümeti, Yasa’nın ‘eski düzenleyici çerçeveye şu şekilde önemli güncellemeler yapacağını’ belirtmektedir:

• “Daha fazla dijital hizmeti ve tedarik zincirini korumak için düzenlemenin kapsamını genişletmek (…);
• Düzenleyici otoriteleri, temel siber güvenlik önlemlerinin uygulanmasını sağlamak için güçlü bir temele oturtmak (…) ve
• Hükümete siber saldırılar hakkında daha iyi veri sağlamak için olay bildirimlerinin artırılmasını zorunlu kılmak (…)”

Bu genel ifadeler, yasa tasarısının içeriğine ilişkin ipuçları veriyor. Hükümetin yeni bir düzenleyici çerçeve geliştirmek (‘düzenlemenin kapsamını genişletmek’) yerine, mevcut mevzuatı [2018 tarihli Ağ ve Bilgi Sistemleri Yönetmeliği (Network and Information Systems Regulation^[2])] revize etmeyi amaçladığı anlaşılıyor.

Avrupa Birliği’nin (AB) AB-2016/1148 sayılı Direktifini^[3] (Ağ ve Bilgi Sistemleri Yönergesi) uygulayan Ağ ve Bilgi Sistemleri Yönetmelikleri, kapsam dâhilindeki kuruluşların verileri (sadece kişisel verileri değil) korumak için siber güvenlik önlemlerini uygulamaları için ilave yükümlülükler belirlemiştir. Bu kuruluşlar ayrıca hizmetin sürekliliğini ciddi şekilde etkileyen siber güvenlik olaylarını bildirmekle yükümlüdür.

Kapsama giren kuruluşlar temel hizmet sağlayıcıları (sağlık, enerji, su, ulaşım ve dijital altyapı) ve ayrıca Ağ ve Bilgi Sistemleri Yönetmeliklerinde çevrimiçi pazar yerleri, çevrimiçi arama motorları ve bulut bilişim hizmetleri olarak tanımlanan ‘dijital hizmet sağlayıcılarıdır’. Tüm sektörlerde ve kategorilerde küçük ve mikro kuruluşlar için istisnalar vardır.

2020’de ve 2022’de, önceki Muhafazakâr Hükümet Ağ ve Bilgi Sistemleri Yönetmeliklerinin iki uygulama sonrası incelemesini yayınlamış olup bu incelemelerde Ağ ve Bilgi Sistemleri Yönetmeliklerinin yetersiz olduğu vurgulanmıştır. Muhafazakâr Hükümet bu nedenle Ağ ve Bilgi Sistemleri Yönetmeliklerini güncellemeyi ve bir kamuoyu görüş çalışması başlatmayı amaçlamıştır. Muhafazakâr Hükümet’in bu kamuoyu çalışmasına verdiği yanıt, yasada bir değişiklik olduğunu belirterek reform alanlarını genel hatlarıyla ortaya koymuş ancak son İngiltere seçimleri reformun uygulanmasını engellemiştir.

Yeni İşçi Partisi Hükümeti’nin Tasarı özeti, Muhafazakâr Hükümet’in planladığı reform alanlarını hatırlatmaktadır. Tasarı tam olarak aynı olmayacak olsa da, Tasarı muhtemelen önerilen değişikliklerinin en azından bir kısmını bu istişare yanıtına dayandıracaktır.

Buna ek olarak, Tasarı AB’nin AB-2022/2555 sayılı Direktifinden^[4] (Ağ ve Bilgi Sistemleri-2 Direktifi) de etkilenebilir. Ekim 2024’te AB Üyesi Devletlerarasında yürürlüğe girmesi ve Ocak 2025’te tamamen yürürlüğe girmesi beklenen Ağ ve Bilgi Sistemleri-2 Direktifi, Ağ ve Bilgi Sistemleri Direktifini güçlendirmektedir.

Neil Williamson ve Colin Lambertus, Birleşik Krallık’taki Ağ ve Bilgi Sistemleri Yönetmelikleri ve Ağ ve Bilgi Sistemleri-2 Direktifi ile ilgili önceki istişarenin aşağıdaki Yasa Tasarısı taslağını nasıl etkileyebileceğini ele almaktadır.

2. Ağ ve Bilgi Sistemleri Yönetmelikleri Hakkında Kamuoyu Görüşü

Önceki Muhafazakâr Parti Hükümeti’nin istişare çalışması^[5] reformun iki temelini kapsıyordu:

• “Birleşik Krallık’ın siber güvenlik düzenleyici çerçevesine ilave kritik sağlayıcılar getirme önerileri” ile
• “Birleşik Krallık’ın mevcut siber güvenlik mevzuatının, özellikle [Ağ ve Bilgi Sistemleri Yönetmelikleri]’nin geleceğe hazırlanmasına yönelik öneriler.”

2.1. Sütun 1

2.1.1. Yönetilen hizmet sağlayıcıları

Ağ ve Bilgi Sistemleri Yönetmelikleri, Birleşik Krallık genelindeki işletmelerin güvendiği, ‘yönetilen hizmet sağlayıcıları’ olarak adlandırılan temel tedarikçi grubunu kapsamıyor. Yönetilen hizmet sağlayıcıları, uzaktan Bilgi Teknolojisi (BT) desteği ve güvenliği, bordro, sanal masaüstleri vb. gibi dâhili iş destek hizmetleri sunar.

Danışma raporunda başlangıçta, işletmelerin düzenli olarak harici kaynak kullandığı işlevlerin çoğunu kapsayacak geniş bir tanım önerilmiştir. Bu, kamuoyundan tepki almıştır; harici kaynak kullanılan her işlev kritik değildir. Buna göre, yönetilen hizmet sağlayıcısının tanımı daha sonra daraltılmıştır:

• Yönetilen hizmet bir işletmeden başka bir işletmeye sağlanır;
• Hizmet, sistemler, altyapı, ağlar ve/veya güvenlik gibi BT hizmetlerinin sağlanmasıyla ilgilidir;
• Hizmet, sağlayıcının, müşterilerinin veya üçüncü tarafların ağı ve bilgi sistemleri olsun, bir ağın ve bilgi sistemlerinin kullanımına dayanır ve
• Hizmet, BT sistemlerinin, BT altyapısının, BT ağının ve/veya bunların güvenliğinin düzenli ve sürekli yönetim desteği, etkin yönetimi ve/veya izlenmesini sağlar.

Revize edilen tanım, BT altyapısı sağlayıcılarını ve destekçilerini kapsamakta ancak veri merkezlerini, yazılım geliştiricilerini ve bordro gibi BT dışı hizmetleri kapsamamaktadır.

Küçük ve mikro yönetimli hizmet sağlayıcıları için istisna devam edecekti, ancak Bilgi Komiserliği Ofisi (Information Commissioner’s Office), Ağ ve Bilgi Sistemleri Yönetmelikleri kapsamında değerlendirilebilecek kadar önemli olan küçük ve mikro hizmet sağlayıcılarını seçmek için yeni yetkiler kazanacaktı. Kapsam dâhilinde yönetilen hizmet sağlayıcıları, Ağ ve Bilgi Sistemleri Yönetmeliklerinin mevcut kapsamı içinde dördüncü bir dijital hizmet sağlayıcı kategorisi haline gelecekti.

Yasa tasarısının özeti benzer bir yaklaşıma işaret ediyor. Bu nedenle önemli bir nokta, Yasa Tasarısının BT odaklı bir yönetilen hizmet sağlayıcıları tanımına mı yoksa Muhafazakâr Hükümet tarafından başlangıçta öne sürülen daha geniş, iş desteği tanımına mı bağlı kalacağıdır.

2.1.2. Geliştirilmiş denetim rejimi

Danışma toplantısında başlangıçta dijital hizmet sağlayıcıları (yönetilen hizmet sağlayıcıları dâhil) için iki kademeli bir denetim rejimi önerilmişti.

Bilgi Komiserliği Ofisi’ne, bir dijital hizmet sağlayıcısının ‘kritik’ olarak kabul edileceği eşikleri belirlemek için ilave yetkiler verilecekti. Kritik dijital hizmetler proaktif olarak düzenlenecekti. Kritik olmayan dijital hizmetler reaktif bir rejime tabi tutulacaktı. Temel hizmetler, yeterince düzenlenmiş oldukları düşünüldüğü için dâhil edilmemiştir.

Özellikle kritiklik ölçütleri konusunda daha fazla kamuoyu tepkisi sonrasında, iki kademe ve daha genel olarak tepkisel bir rejim terk edilmiş; bunun yerine, daha fazla rehberlik ve Bilgi Komiserliği Ofisi’nin mevcut yetkilerinin artırılmasının daha uygun olacağı düşünülmüştür.

Yine, Yasa Tasarısı proaktif bir düzenleyici rejime işaret etmektedir. Yasa Tasarısının tüm dijital hizmet sağlayıcılarının proaktif düzenlemesini ortaya koyması şüpheli olsa da, en kritik tedarikçilerin proaktif mevzuatı olası görünmektedir.

2.2. Sütun 2

2.2.1. Temel sektörleri eklemek için devredilen yetki

Danışma raporunda, Ağ ve Bilgi Sistemleri Yönetmeliklerinin birincil mevzuat kullanılmadan (daha fazla esneklik ve daha az resmi inceleme) gelişen bir temelde ilave temel sektörleri ekleme ve kaldırma yetkilerini devretmek için güncellenmesini önerilmiştir. Sınırlı güvenceler önerilmiştir (yani, yeni sektörler eklenmeden önce daha fazla danışma gerektirdi).

Yasa tasarısının özetinde ilave sektörlerin herhangi bir şekilde eklenmesine açıkça değinilmemektedir; ancak daha fazla tedarik zincirinin düzenleyici denetime tabi tutulmasına ilişkin vurgu, doğal olarak ek hizmetlerin temel hizmet olarak kabul edildiğini düşündürmektedir.

2.2.2. Temel hizmetlere yönelik kritik tedarikçiler

Danışma raporunda ayrıca Bilgi Komiserliği Ofisi’ne, temel hizmetlere hizmet veren tedarikçileri (sadece dijital hizmet sağlayıcıları değil) ‘kritik bağımlılık’ olarak belirleme yetkisi verilebileceği önerilmiştir. Başka bir deyişle, temel tedarikçilere kritik görev hizmetleri sağlayan üçüncü taraflar da Ağ ve Bilgi Sistemleri Yönetmelikleri kapsamına girebilir.

Danışma raporuna verilen yanıt, kritik bağımlılık kavramına yeşil ışık yakmış; ancak ilgili makamların belirleme süreci etrafında sıkı sınırlamalara tabi tutulması gerektiği vurgulanmıştır.

Yasa Tasarısı, ‘tedarik zincirlerinde’ ilave korumayı vurgular. Bu, temel hizmetlere yönelik tedarikçilerin de Yasa Tasarısı reformları kapsamında ve kritik bağımlılık kavramıyla uyumlu olarak dâhil edilebileceğini gösterir. BT ile ilgili olmayan tedarikçilere (örneğin Birleşik Krallık’taki hastanelere tıbbi test sağlayıcıları) yönelik son siber saldırılar manşetlere taşınmış ve Yasa Tasarısı özetinde bunlara atıfta bulunulmuştur.

2.2.3. Ek raporlama yükümlülükleri

Ağ ve Bilgi Sistemleri Yönetmelikleri, genel bir özetle, kapsam dâhilindeki kuruluşların hizmet sürekliliğini önemli ölçüde etkileyen olayları bildirmesini gerektirir. Danışma raporunda, bu tür olayların bildirilmesinin asgari düzeyde olduğu vurgulanmıştır (siber saldırılar olumsuz bir etki yaratmaya devam ederken, hizmet sürekliliğini önemli ölçüde etkilemiyorlardı).

Danışma raporuna verilen yanıtta, raporlama yükümlülüklerinin bir şekilde genişletileceği belirtilmiştir. Yasa tasarısının özetinde, Yasa Tasarısı’nın ‘artırılmış vaka raporlamasını zorunlu kılacağı’ belirtilmektedir. Bu artışın ölçeği belirsiz olup kapsam dâhilindeki kuruluşlar, süreklilik etkilendiğinde raporlama için daha düşük eşikler bekleyebilir veya hatta ‘süreklilik’ kavramını tamamen ortadan kaldırabilir.

3. Ağ ve Bilgi Sistemleri-2 Yönergesi

Ağ ve Bilgi Sistemleri-2 Yönergesinin Ocak 2025’te tam olarak yürürlüğe girmesi beklenmektedir. Tasarı’nın Ağ ve Bilgi Sistemleri-2 Yönergesinin bazı temel kavramlarından ve Ağ ve Bilgi Sistemleri Yönergesindeki değişikliklerinden ilham almaması şaşırtıcı olurdu, ancak Tasarı’nın özeti Muhafazakâr Hükümet’in istişaresinden daha az Ağ ve Bilgi Sistemleri-2 Yönergesini andırmaktadır. Tasarı’nın özetinin ortaya koyduklarına bakıldığında, en alakalı kavramlardan ve değişikliklerden bazıları şunlar olabilir.

3.1. Revize edilmiş kategorizasyon

Ağ ve Bilgi Sistemleri-2 Direktifine çok daha fazla temel sektör eklenerek kapsamı önemli ölçüde artırılmıştır. Temel bir ekleme, ‘Bilgi İşlem Teknolojisi (BİT) hizmet yönetiminin temel bir sektör olarak dâhil edilmesidir (Bilgi İşlem Teknolojisi hizmet yönetimi, yönetilen hizmet sağlayıcıları ve yönetilen güvenlik hizmet sağlayıcılarını içerir).

AB Siber Güvenlik düzenlemesinde (AB-2019/881 sayılı Yönetmelik^[6]) tanımlandığı gibi BİT hizmetleri, ‘ağ ve bilgi sistemleri vasıtasıyla bilgilerin iletilmesi, depolanması, alınması veya işlenmesinden tamamen veya esas olarak oluşan bir hizmet’ anlamına gelir. Bu, Bilgi Teknolojisi hizmet sunumuna odaklanan (ancak münhasır olmayan) geniş bir tanımdır.

Ayrıca, Ağ ve Bilgi Sistemleri-2 Direktifi, Ağ ve Bilgi Sistemleri Direktifinde belirtilen temel hizmetler ile dijital hizmet sağlayıcıları arasındaki ayrımı ortadan kaldırmış ve bunun yerine tüm çeşitli temel sektörlerdeki uzun bir ‘temel’ ve ‘önemli’ sağlayıcılar (essential and important providers) listesi koymuştur. Bir tedarikçinin temel mi yoksa önemli mi olduğu esas olarak (tamamen değil) büyüklüğüne bağlıdır, ancak küçük ve mikro kuruluşlar bile belirli temel sektörlerde faaliyet gösteriyorlarsa temel olarak kabul edilebilir.

Bu, Tasarı’nın Ağ ve Bilgi Sistemleri Yönetmelikleri kapsamına daha fazla kuruluşu dâhil etmede izleyebileceği farklı bir yoldur; AB genelinde 180 binden fazla kuruluşun Ağ ve Bilgi Sistemleri-2 Direktifi kapsamına girdiği tahmin edilmektedir.

3.2. Tedarik zincirleri

Ağ ve Bilgi Sistemleri-2 Direktifi, kapsam dâhilindeki kuruluşların siber saldırılara karşı dayanıklı olmalarını sağlamak amacıyla kendi tedarik zincirlerini izlemelerini ve düzenlemelerini zorunlu kılmaktadır.

Öz düzenleme, anılan Tasarı’nın taslağını hazırlayanların erişebildiği bir diğer alternatiftir; ancak Birleşik Krallık’ta Tasarı’nın reformları kapsamına girebilecek daha az işletme olduğu mantığı göz önüne alındığında, Tasarı yasalaşırsa en azından bazı tedarik zincirlerinin doğrudan düzenlenmesinin de geleceğini bekleyebiliriz. AB çok daha büyük bir varlıktır ve öz düzenleme AB genelinde daha gerçekçi bir varsayılan pozisyon olarak görülmüştür.

3.3. Düzenleme

Ağ ve Bilgi Sistemleri-2 Direktifi kapsamındaki temel kuruluşlar, AB Üyesi Devletlerin düzenleyici otoritelerinden proaktif düzenlemeye tabi olacaktır. Düzenlemenin kapsamı açıkça belirtilmiş olup şunları içerir:

• Denetimler ve saha dışı denetimler (rastgele yerinde kontroller dâhil);
• Düzenli ve özel güvenlik denetimleri;
• Güvenlik taramaları ve
• Kapsam dâhilindeki kuruluşun politikaları ve prosedürleri ile ilgili tüm ilgili bilgi ve belgelere erişim yetkileri.

Önemli kuruluşlar reaktif düzenlemeye tabidir, ancak ilgili makamlar, eyleme geçme kararı alındıktan sonra, uyumluluğu sağlamak için aynı yetkilere sahiptir.

Önceki Muhafazakâr Hükümet, dijital hizmet sağlayıcıları için proaktif düzenlemeye karşı çıkmıştır. Ancak, Avrupa Birliği’nin Ağ ve Bilgi Sistemleri-2 Direktifi kapsamındaki yaklaşımı göz önüne alındığında, İşçi Partisi Hükümeti, Tasarı’nın bir parçası olarak proaktif düzenleme getirebilir.

3.4. Raporlama yükümlülükleri

Kapsam dâhilindeki tüm kuruluşlar, ‘önemli bir vaka’ durumunda ilgili makama rapor vermekle yükümlüdür. Bu, kuruluşa önemli bir kesinti veya finansal kayba neden olan veya olabilecek (veya başkalarına önemli maddi veya manevi zarara neden olan veya olabilecek) bir olaydır. Böyle bir olay meydana gelirse, kuruluşların bildirimde bulunmak için 24 saati ve daha fazla bilgi sunmak için 72 saati vardır ve bir ay içinde tam bir rapor sağlanır.

Raporlama bildirim sürelerinin kısaltılması, Muhafazakâr Hükümet’in Ağ ve Bilgi Sistemleri Yönetmelikleri hakkındaki istişare çalışmasının bir parçası değildi, ancak daha düşük eşikler vardı. Ağ ve Bilgi Sistemleri-2 Direktifi kapsamına giren Avrupa Birliği’nde faaliyet gösteren birçok Birleşik Krallık işletmesinin 24 saatlik bir bildirim süresine alışması gerekeceği göz önüne alındığında, raporlama yükümlülüklerini ve sürelerini AB ile uyumlu hale getirmek, Tasarı’nın tartışmasız bir unsuru olacaktır.

Tasarı ayrıca yukarıda belirtildiği gibi rapor edilebilir bir olayın daha geniş tanımını da içerebilir. Muhafazakâr Hükümet’in istişare raporuna verdiği yanıtta bir tanım önermediği göz önüne alındığında, İşçi Partisi Hükümeti muhtemelen burada Avrupa Birliği’ni izleyecektir.

Sonuç

Birleşik Krallık ve Avrupa’da siber güvenlik hukukunda istenen ve yaklaşan reformların zenginliği göz önüne alındığında, söz konusu yasa tasarısının ilerleyebileceği birçok yol bulunmaktadır.

İşçi Partisi Hükümeti yakın zamanda veri merkezlerini ‘kritik ulusal altyapı’ (Ağ ve Bilgi Sistemleri Yönetmeliklerinin yetki alanı dışında bir kavram) olarak belirlemiştir. Siber güvenliğin açıkça önemli bir öncelik olduğu göz önüne alındığında, Tasarı’nın Muhafazakâr Hükümet altında beklenebilecek daha ağır bir düzenleyici rejimi öne sürmesi muhtemeldir. Buna göre, hem Ağ ve Bilgi Sistemleri Yönetmelikleri hem de Ağ ve Bilgi Sistemleri-2 Direktifi hakkındaki istişare raporuna verilen yanıtın daha zorlu unsurlarının bir karışımı olası bir sonuçtur.

Birleşik Krallık’taki işletmeler yeni yükümlülüklere hazır olmalıdır. Düzenleyici yük beklenenden az olsa bile, reform gelmektedir. İşçi Partisi’nin diğer yasal alanlarda kaydettiği yasal ilerleme göz önüne alındığında, Tasarı’nın 2025 yılının başlarında yasalaşması amacıyla Noel’e kadar Parlamento’ya sunulması şaşırtıcı olmayacaktır

[1]<https://assets.publishing.service.gov.uk/media/6697f5c10808eaf43b50d18e/The_King_s_Speech_2024_background_briefing_notes.pdf>

[2] <https://www.legislation.gov.uk/uksi/2018/506>

[3] <https://eur-lex.europa.eu/eli/dir/2016/1148/oj>

[4] <https://eur-lex.europa.eu/eli/dir/2022/2555>

[5]<https://www.gov.uk/government/consultations/proposal-for-legislation-to-improve-the-uks-cyber-resilience/fbbd6bf1-6ceb-4586-917a-b8c34b3f7fe4>

[6] <https://eur-lex.europa.eu/eli/reg/2019/881/oj>