Uyumluluk gereklilikleri
EU Yönergesi 2022/2555’nin, kısaca NIS 2 olarak da adlandırılan, yürürlüğe girmesiyle birlikte şirketlerdeki uyumluluk gereklilikleri artmıştır. NIS 2 ile AB’deki siber saldırı tehditlerine yanıt verilmektedir. Bu yönerge, işletmelerin ve kurumların siber ve bilgi güvenliğini düzenlemektedir. Siber saldırılar artık dünya genelinde şirketler için en büyük iş risklerinden biri olarak kabul edilmektedir.
NIS 2, EU Yönergesi 2016/1148’i (NIS 1) yerine geçmekte ve Avrupa Birliği’nde siber güvenliği artırmayı ve şirketleri daha iyi korumayı amaçlamaktadır. NIS-2 yönergesinin uygulanması, dolayısıyla birçok şirkette risk yönetimi ve uyumluluğa yönelik artan gereklilikler sunmaktadır. Eğer işletmelerde önlemler uygun şekilde uygulanmazsa, yaptırımlar söz konusu olabilir, diyor ekonomi hukuku firması MTR Legal Rechtsanwälte.
AB, NIS-2 yönergesini 2023’te kabul etti ve 2025 yılına kadar üye ülkelerin bunu ulusal hukuka aktarması gerekiyor. Yönergede hangi şirketlerin etkileneceği, büyük ölçüde faaliyetlerinin türüne bağlıdır. Yönerge, temel (essential) ve önemli (important) kabul edilen daha fazla şirkete genişletilmiştir. Bu, diğerlerinden BSI (Federal Bilgi Güvenliği Ofisi) karşısında yerine getirilmesi gereken yasal yükümlülükleri olan şirket ve kuruluşların sayısında belirgin bir artışa yol açmaktadır.
Kritik altyapılar etkilendi
NIS-1 yönergesine zaten tabi olan enerji, ulaşım, sağlık hizmetleri, finans, su yönetimi ve dijital altyapı gibi kritik altyapılara NIS-2 yönergesiyle daha fazla sektör dahil edilmektedir. Bu sektörler arasında kamu elektronik hizmetleri, sosyal platformlar gibi diğer dijital hizmetler, kanalizasyon ve atık yönetimi, posta ve kurye hizmetleri, kamu yönetimi veya kritik ürünlerin üreticileri bulunmaktadır. Almanya’da sektörler arası yaklaşık 29.000 şirketin NIS-2 yönergesinin uygulanmasından etkileneceği tahmin edilmektedir. Özellikle orta ve büyük ölçekli şirketler, kritik sektörlerde siber güvenlik önlemleri almak ve etkili bir uyumluluk sağlamaya çağrılacaktır. Ayrıca, ciddi kesinti veya zarar içeren güvenlik olayları hakkında yetkili mercileri bilgilendirmeleri zorunlu olacaktır.
NIS-2 yönergesi, denetim, uygulama ve karşılıklı güveni ve tüm Avrupa Birliği’nde siber güvenliği güçlendirmek için gönüllü akran değerlendirmeleri ile ilgili hükümleri de içermektedir. Bu aynı zamanda, siber güvenlik risk yönetimi önlemleri uygulanmadığında yönetimin hesap vermekle yükümlü olduğu anlamına gelir.
Siber güvenlik saldırılarına yanıt
NIS-2 yönergesi ile, güvenlik tehditlerini paylaşmak ve olaylara uygun şekilde yanıt verebilmek için bir Bilgisayar Güvenliği Olay Müdahale Takımları ağı da kurulmaktadır. Buna ek olarak, siber krizler için Avrupa bağlantı kuruluşları ağı oluşturulacaktır. Bu ağ, üye ülkeler ve AB organları arasında düzenli bilgi alışverişini destekleyerek büyük çaplı olaylara ve krizlere yanıt verilmesini sağlar.
Almanya’da NIS 2’nin ulusal hukuka nasıl aktarılacağı henüz belli değildir. Bunun nedeni, federal seçimlerin önceden yapılmasının uygulanmayı geciktirmiş olmasıdır. Ancak, orta ölçekli birçok şirket için siber güvenlik konusunun gündeme geleceği açıktır.
Şirketler güvenlik önlemleri uygulamalıdır
NIS 2 ile şirketler, veri ve kritik altyapıyı olası siber saldırılardan korumak için gerekli güvenlik önlemlerini uygulama zorluğuyla karşı karşıya kalır. Gerekli teknik ve organizasyonel önlemler alınmalıdır. Şirketin bir siber saldırıya maruz kalması durumunda, hasarı derhal sınırlamak ve sistemleri yeniden tesis etmek için planlar olmalıdır. Aynı şekilde, yetkili mercilere de bilgi verilmelidir. Ayrıca, şirketler düzenli testler yaparak zayıf noktaları tespit etmeli ve ortadan kaldırmalıdır. Siber güvenlik tedarik zinciri içinde de mevcut olmalıdır. Bu nedenle, burada da risklere karşı tepki verilmelidir.
NIS-2 yönergesinin uygulanması, etkilenen şirketlerde etkili uyumluluk için zorluklar anlamına gelir, zira gerekli güvenlik önlemleri uygulanmadığında yönetim kurulu ve lider organlar kişisel sorumluluk taşıyabilir.
MTR Legal Rechtsanwälte, etkili uyumluluk sistemlerinin uygulanmasında şirketlere destek sağlamakta ve yasal gerekliliklerin yerine getirilmesini sağlamaktadır. MTR Legal olarak ekonomi hukuku konularında danışmanlık veririz. Uyumluluk ve ekonomik ceza hukuku konularında.
Lütfen iletişime geçin!
