Avrupa Birliği (AB), 17 Ekim 2024 tarihi itibarıyla güncellenecek olan Ağ ve Bilgi Sistemleri Direktifini [Direktif (AB) 2022/2555, yaygın olarak NIS2 olarak bilinir], yürürlüğe koymaya hazırlanıyor. Bu direktif, siber güvenlik önlemlerini güçlendirmeyi ve tüm AB Üyesi Devletler genelinde kritik altyapıyı korumayı amaçlıyor. Son uyum tarihi yaklaşırken, AB içinde faaliyet gösteren işletmelerin yeni yükümlülükleri anlamaları ve tamamen uyumlu olduklarından emin olmaları hayati önem taşımaktadır.
1. Ağ ve Bilgi Sistemleri Direktifi (Network and Information Systems Directive-NIS2) nedir?
NIS2, siber tehditlerin gelişen manzarasını ele almak için sunulan orijinal Ağ ve Bilgi Sistemleri Direktifinin halefidir. Dijital sistemlere artan bağımlılığı ve siber saldırıların artan karmaşıklığını yansıtarak siber güvenlik yükümlülüklerinin kapsamını genişletmektedir. Bu Direktif, temel hizmetleri ve kritik altyapıyı korumak için sağlam siber güvenlik uygulamalarının önemini vurgular.
2. Kimlerin endişelenmesi gerekir?
NIS2 Direktifi, selefinden daha geniş bir sektör yelpazesine uygulanacaktır. Direktif ilgili konuları tanımlamak için başlangıç noktası olarak çok geniş bir terim [entities (tüzel kişiler)] kullanır, yani “kuruluşlarının ulusal hukuku uyarınca bu şekilde yaratılan ve tanınan, kendi adları altında hareket eden, hak kullanabilen ve yükümlülüklere tabi olabilen herhangi bir gerçek veya tüzel kişi” (any natural or legal persons created and recognised as such under the national law of their place of establishment, which may, acting under their own name, exercise rights and be subject to obligations). Bu nedenle, bu terim hem işletme yapılarını hem de kamu yönetimini içermektedir.
NIS2 Yönergesi daha sonra etkilenen konuların iki kategorisini belirtmektedir:
- Temel Kuruluşlar (essential entities): Enerji, ulaştırma, bankacılık, finansal piyasa altyapıları, sağlık, içme suyu, atık su, dijital altyapı, kamu yönetimi ve uzay gibi sektörlerde faaliyet gösteren esas olarak (ancak mutlaka değil) orta ve büyük ölçekli kuruluşlar.
- Önemli Kuruluşlar (important entities): Yukarıdaki sektörlerde faaliyet gösteren diğer kuruluşlar (orta veya büyük ölçekli olmamakla birlikte) ve özellikle posta hizmetleri, atık yönetimi, kimyasallar, gıda üretimi, tıbbi cihaz imalatı, elektronik, belirli türde makine ve ekipman ve motorlu taşıtlar, dijital sağlayıcılar ve araştırma kuruluşları gibi sektörlerde faaliyet gösteren belirli kuruluşlar.
Bu sektörlerdeki hem büyük kuruluşlar (large organisations) hem de küçük ve orta ölçekli işletmeler (small to medium-sized enterprises) uyum sağlamalıdır. Ayrıca, yönetilen hizmet sağlayıcıları (managed service providers) ve üçüncü taraf satıcılar da bu kuruluşlara hizmet sağlarken direktifin standartlarına uymalıdır.
3. NIS2 Direktinin temel gereksinimleri
3.1. Gelişmiş Risk Yönetimi
Kuruluşlar, aşağıdakileri kapsayan kapsamlı risk yönetimi uygulamalarını benimsemelidir:
- Teknik önlemler: Siber tehditleri önlemek, tespit etmek ve bunlara yanıt vermek için en son teknoloji güvenlik çözümlerini uygulamak gerekir.
- Kurumsal önlemler: Siber güvenlik yönetimi için net politikalar ve prosedürler oluşturmak gerekir.
- Tedarik zinciri güvenliği: Üçüncü taraf tedarikçiler ve hizmet sağlayıcılarla ilişkili risklerin değerlendirilmesi ve yönetilmesi gerekir.
3.2. Olay Bildirimi Yükümlülükleri
Önemli bir siber olay durumunda kuruluşların şunları yapması gerekir:
- Yetkililere hemen bildirim: Tespitten itibaren 24 saat içinde ilk raporu verilmelidir.
- Ayrıntılı raporlama: Etkiyi ve azaltma adımlarını ana hatlarıyla açıklayan kapsamlı bir raporun 72 saat içinde sunulması gerekir.
- Olay sonrası inceleme: Gelecekteki olayların önlenmesi için derinlemesine bir analiz gerçekleştirilmeli ve bulgular bir ay içinde raporlanmalıdır/bildirilmelidir.
3.3. Yönetim ve Hesap Verebilirlik
Yönetim organları yasal uyumdan doğrudan sorumludur. Sorumluluklar şunları içerir:
- Stratejik denetim: Siber güvenliğin iş stratejilerine entegre edilmesini sağlamak gerekir.
- Personel eğitimi: Tüm çalışanlara düzenli olarak siber güvenlik farkındalık eğitimleri sağlanması gerekir.
- Politika uygulama: NIS2 gereksinimleri ile uyumlu iç politikaların uygulanması ve yürürlüğe konulması gerekir.
3.4. DNS Güvenliği
Alan Adı Sistemi’nin (Domain Name System-DNS) internet işlevselliğindeki kritik rolü göz önüne alındığında, kuruluşların şunları yapması gerekir:
- DNS bütünlüğünün korunması: Zehirleme veya kimlik sahteciliği gibi DNS saldırılarını önlemek için önlemler uygulanmalıdır.
- Hizmet kullanılabilirliğinin sağlanması: Hizmet kesintilerini önlemek için güçlü sistemler korunmalıdır.
4. Uygunsuzluk İçin Öngörülen Cezalar
NIS2’ye uyulmaması durumunda aşağıdaki ağır cezalar uygulanabilir:
- Temel kuruluşlar için: Toplam küresel yıllık cirodan hangisi yüksekse, 10 milyon avroya veya yüzde 2’ye kadar para cezası kesp edilir.
- Önemli kuruluşlar için: Toplam küresel cirodan yüzde 1,4 veya 7 milyon avroya kadar (hangisi yüksekse) para cezası kesp edilir.
Bu önemli cezalar, yasal uyuma yönelik proaktif adımlar atmanın önemini vurgulamaktadır.
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.