NIS2 uygulama yasası Federal Kabine'den geçti
Avrupa Birliği'nin Ağ ve Bilgi Güvenliği Direktifi'nin (NIS2) revizyonunu uygulayan yasa, etkili bir yasa olma yolunda önemli bir engeli aştı: Çarşamba günü, Federal Kabine bir yasa tasarısı üzerinde anlaştı. Kapsamlı bir yasa tasarısı, çünkü hükümet yalnızca yeni AB gerekliliklerini uygulamakla kalmıyor, aynı zamanda bazı Alman değişiklikleri de ekliyor.
Reklamcılık
“NIS2UmsuCG”nin özü, kritik altyapı ve tesis operatörleri (KRITIS) için siber güvenliğe ilişkin kapsamlı yeni düzenlemelerdir. Gelecekte, önemli ölçüde daha fazla şirket ve kamu kuruluşu siber güvenlik gerekliliklerine tabi olacak. NIS2UmsuCG'nin aslında, geliştirilmiş fiziksel koruma düzenlemeleriyle bir muadili olarak KRITIS şemsiye yasasıyla desteklenmesi gerekiyordu – ancak bu yasa henüz kabine için hazır değil.
NIS2'nin uygulanmasıyla, mevcut düzenlemelerin büyük bir kısmı sıkılaştırılacak veya en azından hedef grup önemli ölçüde genişletilecek. Federal hükümet, gelecekte 29.500 şirketin NIS2 rejimine tabi olmasını bekliyor. Federal İçişleri Bakanı Nancy Faeser (SPD), Çarşamba günü kabine kararına yanıt olarak, “Gelecekte, daha fazla sektördeki daha fazla şirket, siber güvenlik ve siber olaylar durumunda raporlama yükümlülükleri için asgari gereklilikleri karşılamak zorunda kalacak,” dedi. “Güvenlik seviyesini artırıyoruz – ve böylece şirketlerin siber saldırıların kurbanı olma riskini azaltıyoruz.”
“Önemli” ve “özellikle önemli”
NIS2 gereklilikleri öncelikle iki alan arasında ayrım yapar: “Önemli tesisler” ve “Özellikle önemli tesisler”. Özellikle önemli kabul edilen tesislerin kataloğu AB düzeyinde tanımlanır ve Alman hukukuyla birlikte Alman hukukuna dahil edilecektir.
Kabine versiyonunun 28. bölümü kriterleri açıklıyor – bunlar belirli bir tedarik boyutunun üzerindeki tedarik açısından kritik sistemlerin tüm operatörlerini, nitelikli güven hizmeti sağlayıcılarını, TLD kayıtlarını ve DNS hizmeti sağlayıcılarını ve ayrıca daha büyük telekomünikasyon ağı operatörlerini ve federal yönetimin bazı kısımlarını içerir. Bu özellikle önemli tesisler özellikle katı gerekliliklere tabidir – Bundestag tarafından sonraki süreçte değişikliklere tabidir.
“Önemli kuruluşlar”ın ikinci kategorisi, daha küçük telekomünikasyon sağlayıcılarına ek olarak, halihazırda “özellikle önemli” olarak değerlendirilmeyen ancak belirli bir asgari büyüklüğe sahip olan (burada ciro ve çalışan sayısı dikkate alınır) ve enerji, ulaştırma ve trafik, finans, sağlık, su, dijital altyapı veya uzay sektörlerinde faaliyet gösteren tüm kuruluşları içerir.
Diğer önemli şirketler arasında atık yönetimi, kimya endüstrisi, gıda endüstrisi, tıbbi cihazlar veya veri işleme ekipmanları gibi belirli ürün üreticileri, makine ve araç üreticileri ve araştırma kurumları yer almaktadır.
Bu, yasanın Ek 2'sinde daha ayrıntılı olarak açıklanmıştır – birbirine bağlı mantık biraz karmaşıktır. Örneğin, aslında yalnızca “önemli” olan bir şirket, kritik sistemler işlettiği ve uygun önlemleri alması gerektiği için yine de “özellikle önemli bir tesis” olabilir. BSI, web sitesinde etkilenen şirketlerin kendilerini sınıflandırmalarına yardımcı olan bir araç sunmaktadır.
Bu, BSI yasasının mevcut sisteminin gelecekte de çalışmaya devam edeceği anlamına geliyor – ancak herkesin memnuniyetine göre değil. “Özellikle, 'kritik sistemlerin operatörü' olarak sınıflandırılması, bireysel AB üye ülkelerinde farklı kurallara uymak zorunda kalacak uluslararası olarak faaliyet gösteren şirketler için belirsizlik yaratıyor,” diye eleştiriyor BT endüstrisi derneği Eco'dan Klaus Landefeld. Aynı zamanda, finans sektöründeki DORA gibi özel yasalar nedeniyle kısmen muafiyetli sektörler de var.
Sadece BT'nin güvence altına alınması gerekmiyor
Son yıllardaki BT güvenlik yasalarından büyük ölçüde etkilenen önceki BSI Yasası ile karşılaştırıldığında önemli bir değişiklik, etkilenen sistemlerin kapsamıdır. Yasanın gerekçesi, bunun yalnızca dar anlamda iş açısından kritik BT anlamına gelmediğini, “BT sistemlerinin kullanıldığı kurumun tüm faaliyetleri, buna örneğin ofis BT'si veya kurum tarafından işletilen diğer BT sistemleri de dahildir” ifadesini açıkça ortaya koymaktadır. Başka bir deyişle: Federal yetkililer faks makinelerini korumalıdır, kamu hizmeti sağlayıcıları muhasebe departmanlarını, operasyonları sürdürmek için bunlar kesinlikle gerekliyse korumalıdır.
Politikacılar özellikle BT güvenliği hakkında daha fazla bilgi edinmeyi umuyorlar. Bu amaçla, artık bir raporlama gereksinimi getiriliyor: Önemli bir güvenlik olayından en geç 24 saat sonra, Federal Bilgi Güvenliği Ofisi (BSI) ve Federal Sivil Savunma ve Afet Yardımı Ofisi (BBK) tarafından ortaklaşa kurulan merkezi bir raporlama ofisine bir rapor sunulmalı. Bu, en geç 72 saat içinde güncellenmelidir. Olayın o zamana kadar hafifletilmesi durumunda, nihai rapor en geç bir ay sonra sunulmalıdır.
Ancak, şu anda “önemli güvenlik olayı” ile tam olarak neyin kastedildiği konusunda hala bir netlik eksikliği var: AB Komisyonu'nun NIS2 ile ilgili bir uygulama eylemi bunu açıklığa kavuşturmayı amaçlıyor. Bu amaçla, yarına kadar bir kamuoyu danışması yürütüyor. Her iki kategoride sınıflandırılan kuruluşlar, en geç üç ay içinde iletişim bilgilerini sağlayarak raporlama ofisine kayıt yaptırmak zorundadır. Bazı alanlarda, kullanılan IP aralığı dahil olmak üzere daha kapsamlı bilgiler gerekebilir.
Yönetim sorumludur
Önceki yasaya kıyasla önemli bir açıklama, özellikle şirketlerdeki siber güvenlikten sorumlu olanları memnun etmelidir: Gelecekte, yönetim şirket hukukunun uygulanabilir kurallarına göre sorumlu olacak ve eğitim kurslarına katılması gerekecektir. BT endüstrisi derneği Bitkom bunun pratik olmadığını düşünüyor: Güvenlik politikası görevlisi Felix Kuhlenkamp, ”temel olarak BT güvenliğinin bu seviyede olması gerektiği görüşünde olmalarına rağmen, tüm pratik görevleri üstlenmek CEO'lar için gerçekçi görünmüyor” diyor. Nihai sorumluluğun açıkça yönetimde kalması daha mantıklı olurdu – ancak üçüncü taraflara da görev verebilirlerdi. Yönetim sorumluluğuna ilişkin düzenlemeler, son haftalarda NIS2UmsuCG taslağını çevreleyen tartışma noktalarından biriydi.
Yeni yasa ayrıca kritik tesislerin operatörleri için düzenli “güvenlik denetimleri, testleri veya sertifikaları” gerektirecek. Operatörler düzenlemelere uymazlarsa, NIS2 uygulaması artık ağır para cezaları uygulama tehdidinde bulunuyor ve bu cezaların azami miktarı, GDPR'ye benzer şekilde, yalnızca ilgili şirketlerin yıllık cirosuyla sınırlı olacak.
Bir denetim otoritesi olarak BSI, hem uyumluluktan hem de yaptırımdan sorumludur. Emirler verebilir ve şirketlerin ve kamu kuruluşlarının harekete geçmesini talep edebilir. Federal Baş Bilgi Güvenliği Görevlisi (CISO) ataması da bu bağlamda görülmelidir: Bu görevliye ayrıca güvenlik olaylarını önlemek veya çözmek için federal kurumlara talimat verme yetkisi verilir ve bunu yapmak için uygun kaynakları kullanır.
“Kritik bileşenler”
Sözde “kritik bileşenler” ile nasıl başa çıkılacağı sorusunun pratikte özellikle zor olması muhtemeldir. Kabine versiyonunun 41. maddesi, bu tür bileşenlerin ilk kullanımının Federal İçişleri Bakanlığı'na bildirilmesi gerektiğini belirtir. Bu sadece teknik bir test değil – aynı zamanda tedarikçinin güvenilirliğinin siyasi değerlendirmelere dayalı bir testidir. Bu, Alman 5G mobil ağlarındaki Huawei bileşenleri için düzenlemeyi diğer alanlara genişletir ve üreticilerden bir garanti beyanı gerektirir.
Belediye Şirketleri Birliği'nden (VKU) Ingbert Liebing bunun pratik olup olmadığından şüphe ediyor: “Yüzlerce şirket, binlerce bireysel dava incelemesi: Böyle bir prosedürün personel açısından Federal İçişleri Bakanlığı için uygulanabilir olduğundan ciddi şekilde şüphe duyuyoruz, özellikle de düzenli tedarik süreçleri gecikeceği ve arızalı bileşenler artık bu kadar hızlı bir şekilde değiştirilemeyeceği için.” BMI kullanımı yasaklarsa, ilgili bileşen kullanılmayabilir – ve gelecekte tamamen yasaklanabilir. İncelemeyle ilgili belgeler erişilebilir hale getirilmemiştir.
4617803
NIS2 uygulama yasasının aslında Ekim ayında yürürlüğe girmesi gerekiyordu – Federal İçişleri Bakanlığı aylar önce bunun muhtemelen gerçekleşmeyeceğini açıkça kabul etti. Bu nedenle iş dünyası dernekleri yasaya daha uzun geçiş dönemlerinin dahil edilmesini talep ediyor – yavaş yasama süreci, değişiklikler için gereken süreyi, bunlara uyulmasını engelleyecek kadar kısalttı.
Yeşil Parti'nin parlamento grup başkan yardımcısı Konstantin von Notz, taslağı eleştirerek parlamentonun bundan sonra yasayı “çok yoğun” bir şekilde ele alacağını duyurdu: “Genel olarak, lider bakanlığın eylemleri nedeniyle parlamento gruplarının yasayı iyi bir yasa haline getirmek ve kritik altyapının tek tip korunmasının garantisi olarak diğer AB gereklilikleri ve şemsiye yasa ile uzun zamandır talep edilen uyumu sağlamak için hala yapmaları gereken çok iş var.”
(fiil)