Uyumluluk gereksinimleri
AB Direktifi 2022/2555’in, kısaca NIS 2 olarak adlandırılan, getirilmesiyle birlikte, şirketlerdeki uyumluluk gereksinimleri artmıştır. NIS 2, AB’deki siber saldırı tehditlerine yanıt olarak getirilmiştir. Direktif, şirketlerin ve kurumların siber ve bilgi güvenliğini düzenler. Siber saldırılar artık dünya çapında şirketler için en büyük iş risklerinden biri olarak kabul edilmektedir.
NIS 2, AB Direktifi 2016/1148’i (NIS 1) değiştirir ve Avrupa Birliği’nde siber güvenliği artırmaya ve şirketleri daha iyi korumaya katkıda bulunur. NIS-2 Direktifi’nin uygulanması bu nedenle birçok şirkette risk yönetimi ve uyumluluk üzerinde ek gereksinimler getirir. Şirketlerdeki tedbirler gerektiği gibi uygulanmazsa, bu yaptırımlara neden olabilir, diyor MTR Legal Rechtsanwälte hukuk firması.
AB, NIS-2 Direktifini 2023 yılında kabul etti ve 2025 yılına kadar üye ülkeler bu direktifi ulusal hukuka aktarmalıdır. Hangi şirketlerin direktiften etkileneceği, esas olarak faaliyetlerinin türüne bağlıdır. Direktif, temel ve önemli kabul edilen diğer şirketlere de genişletilmiştir. Bu, Federal Bilgi Güvenliği Dairesi’ne (BSI) karşı yasal yükümlülükleri yerine getirmek zorunda olan şirketlerin ve kurumların sayısının önemli ölçüde artmasına yol açar.
Kritik altyapılar etkileniyor
Enerji, ulaşım, sağlık, finans, su yönetimi ve dijital altyapı gibi NIS-1 Direktifi’ne zaten dahil olan kritik altyapıların yanı sıra, NIS-2 Direktifi daha fazla sektörü de kapsamaktadır. Bunlar arasında kamu elektronik hizmetleri, sosyal platformlar gibi dijital hizmetler, atık su ve atık yönetimi, posta ve kurye hizmetleri, kamu yönetimi veya kritik ürünlerin üreticileri bulunur. Tahmin edilere göre Almanya’da yaklaşık 29.000 şirket, sektörel bazda NIS-2 Direktifi’nin uygulanmasından etkilenmiş olacak. Özellikle orta ve büyük ölçekli şirketler, uygun siber güvenlik önlemleri alması ve etkin bir uyumluluk sağlaması konusunda çağrılacak. Aynı zamanda, ciddi bozulmalar veya hasarlara neden olan güvenlik olaylarını yetkili makamlara bildirmekle de yükümlü olacaklar.
NIS-2 Direktifi, Avrupa Birliği genelinde karşılıklı güven ve siber güvenliği arttırmak için denetim, uygulama ve gönüllü akran değerlendirmeleri için de hükümler içermektedir. Bu aynı zamanda, siber güvenlik risk yönetimi önlemleri yerine getirilmezse, yönetimin hesap verebilir olacağı anlamına gelir.
Siber güvenlik saldırılarına yanıt
NIS-2 Direktifi ile güvenlik tehditleri hakkında bilgi paylaşımı ve olaylara uygun müdahale için bir Bilgisayar Güvenlik Olay Tepki Ekip Ağı kurulacaktır. Buna ek olarak, Avrupa siber kriz bağlayıcı kuruluşlar ağı da oluşturulacaktır. Bu ağ, üye devletler ve AB organları arasında büyük çapta olaylara ve krizlere yanıt verebilmek için düzenli bilgi alışverişini destekler.
NIS 2’nin Almanya’da ulusal hukuka nasıl dahil edileceği henüz belli değil. Nedeni, ön seçimlerden dolayı uygulamanın gecikmiş olmasıdır. Ancak uygulama ile birlikte siber güvenliğin birçok orta ölçekli şirket için de bir konu olacağı kesindir.
Şirketler güvenlik önlemleri uygulamalı
NIS 2 tarafından, verileri ve kritik altyapıları olası siber saldırılardan korumak için gereken güvenlik önlemlerini uygulama zorluğuyla karşı karşıya kalacaklar. Bunun için gerekli teknik ve organizasyonel önlemler alınmalıdır. Şirket bir siber saldırının kurbanı olduğunda, zararı hemen sınırlamak ve sistemleri eski haline getirmek için planlar mevcut olmalıdır. Ayrıca yetkili mercilere bilgi verilmelidir. Bunun yanı sıra, şirketler düzenli testler yaparak zayıf noktaları tespit etmeli ve gidermelidir. Siber güvenlik aynı zamanda tedarik zinciri içinde de sağlanmalıdır. Bu nedenle burada da risklere yanıt verilmelidir.
NIS-2 Direktifi’nin uygulanması ilgili şirketlerde etkin bir uyumluluk için zorluklar anlamına gelir, özellikle de gerekli güvenlik önlemleri uygulanmadığında yönetim kurulları ve yöneticilerin kişisel sorumluluk altında olabileceği göz önünde bulundurulursa.
MTR Legal Rechtsanwälte, etkili uyum sistemlerinin uygulanmasında şirketlere destek sağlar ve yasal gerekliliklerin yerine getirildiğinden emin olur. Bir ticaret hukuku firması olarak MTR Legal, Uyumluluk ve ekonomik ceza hukuku ile ilgili diğer konularda danışmanlık hizmeti verir.
Bizimle iletişime geçmekten çekinmeyin!
