NIS2 Direktifi Hakkında

Cihat SADIKOGLU
9 min readSep 9, 2024

--

NIS2 nedir ve neden çıktı?

Network and Information Security (NIS) Direktifi 2016 yılında yürürlüğü girmişti. COVID-19 salgını sırasında dünya’ da yaşanan siber saldırılardaki artış ve yeni siber tehditlerden korunmak için güncelleme ihtiyaçı ortaya çıktı. Bu ihtiyaç, geliştirilmiş bir NIS2 direktifinin önüne açtı. Ocak 2023 yılında NIS2 yasalaştı ve 18 Ekim 2024 yılında NIS2 yürürlüğe giriyor. Avrupa birliğinde yerleşik olan veya Avrupa birliğine hizmet sağlayan tüm kritik altyapıya sahip olan kuruluşların 18 Ekim 2024 yılına kadar uyum süreçlerini tamamlanması gerekiyor. 3 yılda bir direktifin gözden geçirilmesi ve güncellenmesi ön görülmüştür. 2025 yılında sıkı bir şekilde uygulanması bekleniliyor.

NIS2 direktifinde yenilikler;

· Yeni kritik hizmet sektörleri eklenerek güvenlik gerekliliklerin güçlendirilmesi,

· Tedarik zinciri güvenliğini ele alınması,

· Raporlama yükümlülüklerin sağlanılması

· Yüksek cezai para yaptırımlar eklendi.

AB’nin en son politikası olan NIS2 (Ağ ve Bilgi Güvenliği) Direktifi, Avrupa birliği üye devletlerin siber güvenlik dayanıklığını güçlendirmeyi amaçlıyor. NIS2, AB’deki siber güvenlik seviyesini daha geniş bir şekilde uyumlu hale getirmeyi amaçlarken DORA’nın amacı ise finans sektörünü korumak, operasyonel dayanıklılığı ve dijital sistemlerinin güvenilirliğini, kullanılabilirliğini ve bütünlüğünü sağlamaktır.

NIS2’nin Temel Hedefleri;

  1. Temel hizmet sağlayıcıların siber dayanıklılığı artırılması.
  2. Daha sıkı güvenlik gereksinimleri ve ihlallere yönelik cezalar yoluyla siber dayanıklılığı artırılması.
  3. AB’nin siber saldırılara karşı hazırlıklı olma seviyesinin artırılması.
  4. Toplumda önemli bir işlevi olan tüm kuruluşların yüksek düzeyde siber güvenliğe sahip olmasını sağlanması

NIS2 hangi kritik altyapıları kapsıyor ve kimler için geçerli?

NIS2, Genelde, 50'den fazla çalışanı ve yıllık cirosu 10 milyon avronun üzerinde bulunan AB’nin Avrupa ekonomisi ve toplumu için elzem gördüğü kuruluşlar için geçerlidir. NIS2, önem seviyesine göre sektörleri temel kuruluşlar ve önemli kuruluşlar şeklinde ikiye ayırmıştır.

1. Temel Kuruluşlar (Essential entities), yaklaşık 250 kişiyi istihdam eden, yıllık cirosu 50 milyon avro olan veya bilançosu yaklaşık 43 milyon avro olan ve aşağıdaki sektörlerden birinde faaliyet gösteren kuruluşları içeriyor;

  • Enerji
  • Taşımacılık
  • Finans
  • Kamu Yönetimi
  • Sağlık
  • Uzay
  • Su Temini
  • Dijital Altyapı (örneğin bulut hizmetleri sağlayıcıları ve BT yönetimi)

Ülke içinde hizmetin tek sağlayıcısı olan veya bu hizmetin kesintiye uğraması durumunda, diğer herhangi bir çok önemli veya diğer kuruluş önemli bir etkiye sahiptir. Temel kuruluşların NIS2 Direktifi gerekliliklerini karşıladıklarından emin olmak için proaktif olarak denetlenecektir.

2. Önemli Kuruluşlar (Important entities), yaklaşık 50 kişiyi istihdam eden, yıllık cirosu veya bilançosu 10 milyon avro olan aşağıdaki sektörlerden birinde faaliyet gösteren kuruluşları içeriyor;

  • Posta Hizmetleri
  • Atık Yönetimi
  • Kimyasallar
  • Araştırma
  • Yiyecekler
  • Üretme
  • Dijital Sağlayıcılar (örneğin, sosyal medya ve arama motorları)

Önemli kuruluşlar “olaydan sonra” denetlenir, yani yalnızca yetkililer uyumsuzluğa dair kanıt alırsa soruşturma başlatılacaktır.

NIS2, temel ve önemli kuruluşları 18 alt sektörle kategorize edilmiştir. Bu sektörlerde; son derece kritik ve diğer kritik şeklinde iki ayırmıştır. Sektörlere göre detaylı tablo’ ya 2. kaynak linkten ulaşabilirsiniz.

18 alt sektörün detayları aşağıdaki gibidir;

A. Son derece kritik olan sektörler

1. Enerji Sektörü

Elektrik

  • Elektrik tedarikçileri
  • Dağıtım sistemi operatörleri
  • İletim sistemi operatörleri
  • Üreticiler
  • Aday gösterilen elektrik piyasası işletmecileri
  • Toplama, talep yanıtı veya enerji depolama hizmetleri sağlayan piyasa katılımcıları
  • Son kullanıcılara şarj hizmeti sağlayan bir şarj noktasının işletmecileri ve yöneticileri, bir mobilite hizmet sağlayıcısı adına ve hesabına da dahil olmak üzere

Bölgesel ısıtma ve soğutma

  • Bölgesel ısıtma veya soğutma işletmecileri

Petrol

  • Petrol iletim boru hattı operatörleri
  • Petrol üretim, rafinasyon ve arıtma tesisleri, depolama ve iletim operatörleri
  • Merkezi hisse senedi sahipliği kuruluşları

Gaz

  • Tedarik taahhütleri
  • Dağıtım sistemi operatörleri
  • İletim sistemi operatörleri
  • Depolama sistemi operatörleri
  • LNG sistem operatörleri
  • Doğal gaz işletmeleri
  • Doğal gaz rafinasyon ve arıtma tesislerinin işletmecileri

Hidrojen

  • Hidrojen üretimi, depolanması ve iletimi operatörlerini içerir.

2. Ulaşım Taşımacılık Sektörü

Hava

  • Ticari amaçlı kullanılan hava taşıyıcıları
  • Havaalanı yönetim organları, havaalanları ve havaalanları içerisinde yardımcı tesisler işleten kuruluşlar
  • Hava trafik kontrolü (ATC) hizmetleri sağlayan trafik yönetimi kontrol operatörleri

Demiryolu

  • Altyapı yöneticileri
  • Hizmet tesislerinin işletmecileri de dahil olmak üzere demiryolu işletmeleri

Deniz

İç su, deniz ve kıyı yolcu ve yük taşımacılığı şirketleri — bu şirketler tarafından işletilen bireysel gemiler hariç

  • Liman tesisleri ve limanlarda bulunan iş ve ekipmanları işleten kuruluşlar da dahil olmak üzere limanların yönetim organları
  • Gemi trafik hizmetleri operatörleri (VTS)

Karayolu

  • Trafik yönetimi kontrolünden sorumlu yol idareleri — trafik yönetiminin veya akıllı ulaşım sistemlerinin işletilmesinin genel faaliyetlerinin temel olmayan bir parçası olduğu kamu kuruluşları hariç
  • Akıllı Ulaşım Sistemleri Operatörleri

3. Bankacılık Sektörü

  • Kredi kuruluşlarını içerir

4. Finans Alt Yapı Sektörü

  • Ticaret platformlarının operatörleri
  • Merkezi Karşı Taraflar (CCP’ler)

5. Sağlık Sektörü

  • Sağlık hizmeti sağlayıcıları
  • AB referans laboratuvarları
  • Tıbbi ürünlerin araştırma ve geliştirme faaliyetlerini yürüten kuruluşlar
  • Temel eczacılık ürünleri ve eczacılık üreten kuruluşlar
  • Kamu sağlığı acil durumu sırasında kritik olduğu düşünülen tıbbi cihazlar üreten kuruluşlar

6. Su Temini

  • İnsan tüketimine yönelik suyun tedarikçilerini ve dağıtımcılarını içerir; insan tüketimine yönelik suyun dağıtımının, diğer emtia ve malların dağıtımına ilişkin genel faaliyetlerinin zorunlu olmayan bir parçası olduğu dağıtımcılar hariçtir.

7. Atık Su

  • Kentsel atık su, evsel atık su veya endüstriyel atık su toplayan, bertaraf eden veya arıtan işletmeleri
  • Kentsel, endüstriyel veya evsel atık su toplamanın, bertaraf etmenin veya arıtmanın genel faaliyetlerinin temel olmayan bir parçası olduğu işletmeler hariçtir.

8. Dijital Altyapı sektörü

  • İnternet Değişim Noktası sağlayıcıları
  • Kök ad sunucularının operatörleri hariç DNS servis sağlayıcıları
  • TLD ad kayıtları
  • Bulut bilişim hizmet sağlayıcıları
  • Veri merkezi hizmet sağlayıcıları
  • İçerik dağıtım ağı sağlayıcıları
  • Güvenilir hizmet sağlayıcıları
  • Kamu elektronik iletişim ağlarının sağlayıcıları
  • Kamuya açık elektronik iletişim hizmetleri sağlayıcıları

9. Bit Hizmet Yönetimi (İşletmeler Arası)

  • Yönetilen hizmet sağlayıcıları
  • Yönetilen güvenlik hizmeti sağlayıcıları

10. Kamu Yönetimi

  • Merkezi hükümetlerin kamu yönetimi kuruluşları
  • Bölgesel düzeyde kamu yönetimi kuruluşları
  • Üye Devletler NIS2'yi aşağıdakilere uygulayabilir: (a) yerel düzeydeki kamu yönetimi kuruluşları; (b) özellikle kritik araştırma faaliyetleri yürüttükleri eğitim kurumları
  • Suçların önlenmesi, soruşturulması, tespiti ve kovuşturulması dahil olmak üzere ulusal güvenlik, kamu güvenliği, savunma veya kolluk kuvvetleri alanlarında faaliyet gösteren kamu yönetimi kuruluşları için geçerli değildir.

11. Uzay

  • Devletler veya özel taraflarca sahip olunan, yönetilen ve işletilen, uzay tabanlı hizmetlerin sağlanmasını destekleyen kara tabanlı altyapı operatörleri
  • Kamu elektronik iletişim ağları sağlayıcıları hariçtir.

B. Diğer kritik sektörler

1. Posta ve Kurye Hizmetleri

  • Kurye hizmeti sağlayıcıları da dahil olmak üzere posta hizmeti sağlayıcıları.

2. Atık Yönetimi

  • Atık yönetimi yapan işletmeler — atık yönetiminin temel ekonomik faaliyeti olmadığı işletmeler hariç.

3. Kimyasalların Üretimi ve Dağıtımı

  • Maddelerin imalatını ve madde veya karışımların dağıtımını yapan işletmeler ve maddelerden veya karışımlardan eşya imalatı yapan işletmeler.

4. Gıda Üretimi, İşlenmesi ve Dağıtımı

  • Toptan dağıtım ve endüstriyel üretim ve işleme faaliyetinde bulunan gıda işletmeleri

5. Üretim

  • Tıbbi cihazların ve in vitro tanı tıbbi cihazlarının imalatı
  • Bilgisayar, elektronik ve optik ürünlerin imalatı
  • Elektrikli ekipman imalatı
  • Makine ve ekipman imalatı (başka yerde sınıflandırılmamış)
  • Motorlu taşıt, römork ve yarı römork imalatı
  • Diğer ulaşım ekipmanlarının imalatı

6. Dijital Sağlayıcılar

  • Çevrimiçi pazar yeri sağlayıcıları
  • Çevrimiçi arama motorlarının sağlayıcıları
  • Sosyal ağ hizmetleri platformlarının sağlayıcıları

7. Araştırma

· Araştırma kuruluşlarını içerir — temel amacı uygulamalı araştırma veya deneysel geliştirme yapmak ve araştırma sonuçlarını ticari amaçlarla kullanmak olan kuruluş anlamına gelir, ancak eğitim kurumlarını içermez.

NIS2 Direktifi, kuruluşların sahip olması gereken asgari güvenlik önlemlerine, güvenlik olaylarının bildirilmesine ilişkin zaman çizelgelerine ve uymadıkları takdirde kuruluşların nasıl cezalandırılacağına ilişkin gerekliliklere sahiptir.

NIS2 gerekliliklerine uymamanın cezası nedir?

Denetimler, yerinde denetim/incelemeler ve NIS2 uyumluluk bilgisi/belgeleri için kuruluşların gereklilikleri yerine getirmesi bekleniliyor. NIS2 siber saldırı ve veri ihlali olursa, kuruluşa para cezası ve uyumluluk emri şartını yerine getirmeme cezalar verilmektedir. Kuruluşlar çoğunlukla, dijital altyapı sektöründeki kuruluşlar için bazı istisnalar dışında, kuruldukları ülke tarafından denetlenecektir.

NIS2'nin güvenlik riski yönetimi veya raporlama gerekliliklerini karşılamadığında asgari idari para cezaları:

· Temel Kuruluşlar için, 10 milyon avro veya küresel cironun %2'si, hangisi daha yüksekse.

· Önemli Kuruluşlar için, 7 milyon avro veya küresel cironun %1,4'ü, hangisi daha yüksekse.

Ø NIS2 Gereklilikleri nelerdir ve Nelere dikkat etmeleriyiz?

Avrupa’nın mevcut ve gelecekteki siber tehditlere karşı dayanıklılığını artırmak için NIS2 Direktifi, kuruluşlara dört kapsamlı alanda; risk yönetimi, kurumsal hesap verebilirlik, raporlama yükümlülükleri ve iş sürekliliği yer vermektedir.

1- Risk Yönetimi

Kuruluşların siber riskleri en aza indirmek için önlemler alması gerekir. Bu önlemler arasında olay yönetimi, daha güçlü tedarik zinciri güvenliği, geliştirilmiş ağ güvenliği, daha iyi erişim kontrolü ve şifreleme güvenliğine önem vermesi gerekir. NIS2, kuruluşların insan hatası, sistem arızası, kötü niyetli kişiler, doğal afetler ve sistemlerin fiziksel ve çevresel güvenliği gibi durumlardan kaynaklanabilecek riskleri ele almak için tüm tehlikeleri kapsayan bir yaklaşım kullanmaları gerektiğini söylüyor.

2- Kurumsal Sorumluluk

NIS2, kurumsal yönetimin kuruluşun siber güvenlik önlemlerini denetlemesini, onaylamasını ve bu konuda eğitim almasını ve siber riskleri ele almasını gerektirir. İhlaller, sorumluluk ve yönetim rollerine dikkat edilmemesi durumunda kuruluşların üst yöneticileri idari para cezalarıyla karşı karşıya kalabilirler.

3- Raporlama Yükümlülükleri

Temel ve önemli kuruluşların, hizmet sunumları veya alıcıları üzerinde önemli etkisi olan güvenlik olaylarının derhal bildirilmesi için süreçlere sahip olması gerekir. Bir güvenlik olayı yaşarsanız “contact of point kurumlarına” bildirmeniz gerekir. NIS2 Yönergesi, kuruluşların güvenlik olaylarını nasıl bildirmeleri gerektiği konusunda net talimatlara yer vermektedir. Kuruluşunuz AB’de bulunmasa bile, AB içinde hizmet veriyorsa, NIS2 Direktifine uymalıdır. AB içinde hizmet sağlayan AB dışı kuruluşların, hizmetlerin sunulduğu ülkelerden birinde AB’ye bir temsilci ataması gerektiğini söylüyor. Temsilci daha sonra kuruluşun NIS2 uyumluluk çalışmalarını yönetmekte ve güvenlik olaylarını raporlamaktan sorumlu oluyor.Türkiye’ deki Sektörel ve Kurumsal SOME yapısına benzer bir yapıdan bahsediliyor. Her avrupa ülkesinde raporlama ve olay bildirimi için contact of point adresleri yer almaktadır.

“Madde 9.1. Her Üye Devlet, büyük ölçekli siber güvenlik olaylarının ve krizlerinin yönetiminden sorumlu bir veya daha fazla yetkili makamı (siber kriz yönetimi makamları) belirleyecek veya kuracaktır. Üye Devletler, bu makamların kendilerine verilen görevleri etkili ve verimli bir şekilde yerine getirmek için yeterli kaynaklara sahip olmasını sağlayacaktır. Üye Devletler, genel ulusal kriz yönetimi için mevcut çerçevelerle tutarlılığı sağlayacaktır. (ENISA).”

Olay bildirimi ve Raporlama ile ilgili zaman süreleri:

  • Bir olaydan ilk haberdar olduktan sonraki 24 saat içinde: Bilgisayar güvenliği olay müdahale ekibine (CSIRT) veya ulusal yetkiliye erken uyarı gönderilmel. Olayın sınır ötesi sonuçları olup olmadığına bakılması istenilmektedir.
  • Bir olaydan ilk haberdar olduktan sonraki 72 saat içinde olayın ilk değerlendirmesi, ciddiyeti ve etkisi ve herhangi bir tehlikeye dair göstergelerle daha önce yapılan erken uyarıya bir güncelleme yapılması istenilmektedir.
  • Bir olaydan ilk haberdar olmanızdan itibaren 1 ay içinde: nihai bir rapor sunulması. Raporda, olayın ciddiyeti ve etkisi dahil olmak üzere detaylandırılmalıdır. Olaya neyin sebep olduğunu; uygulanan ve devam eden hafifletme önlemlerin ve sınır ötesi etkileri içermelidir.

4- İş Sürekliliği

Kuruluşlar, büyük siber olaylar durumunda iş sürekliliğini nasıl sağlayacaklarını planlamalıdır. Bu plan, sistem kurtarma, acil durum prosedürleri ve bir kriz müdahale ekibi kurma hakkında değerlendirmeleri içermelidir. (ISO 22301 BCMS — İş sürekliliği yönetim sistemleri yeterlilikleri yerine getirilmesinin önemi.)

NIS2 tarafından gerekli görülen 10 asgari güvenlik önlemi nedir?

NIS2, kuruluşların güvenlik olaylarını önlemek ve etkilerini en aza indirmek için uygun ve orantılı risk yönetimi eylemleri almaları gerektiğini söylüyor.

Tüm kuruluşların ele alması gereken 10 temel güvenlik önlemi:

Ø Bilgi sistemleri için risk değerlendirmeleri ve güvenlik politikaları

Ø Güvenlik önlemlerinin etkinliğini değerlendirmeye yönelik politikalar ve prosedürler.

Ø Kriptografinin ve ilgili durumlarda şifrelemenin kullanımına ilişkin politikalar ve prosedürler.

Ø Güvenlik olaylarının ele alınmasına yönelik bir plan

Ø Sistemlerin tedariki ve sistemlerin geliştirilmesi ve güvenliğin işletilmesi (güvenlik açıklarını ele alma zafiyet yönetimi ve raporlama politikalarına sahip olmak anlamına gelir).

Ø Siber güvenlik farkındalık eğitimi

Ø Hassas veya önemli verilere erişimi olan çalışanlar için güvenlik prosedürleri, veri erişimi politikaları

Ø Bir güvenlik olayı sırasında ve sonrasında iş operasyonlarını yönetme planı. Sürekli yedeklemelerin güncel olması ve bir güvenlik olayı sırasında ve sonrasında BT sistemlerine ve işletim işlevlerine erişimin garanti altına almaya yönelik bir planın olması.

Ø Uygun durumlarda çok faktörlü kimlik doğrulamanın, sürekli kimlik doğrulama çözümlerinin, ses, video ve metin şifrelenmesi

Ø Tedarik zinciri güvenliği. Tüm tedarikçiler için genel güvenlik seviyesini artırılması ve değerlendirilrmesi

Sonuç ve Görüşlerim

2025 yılında NIS2 ile birlikte sıkı denetimler bizleri bekliyor. NIS2’ I Siber güvenliğinin GDPR’ si olarak nitelenebiliriz. GDPR’ deki global ciro üzerinden idari para ceza yaptırımları, 72 saat içinde olayın bildirilmesi ve Avrupa birliğine ilgili sektörlerde dışarıdan tedarik sağlayan tüm şirketleri kapsaması gibi benzerlikler taşıyor. Türkiye’de kritik altyapı sektörlerinde hizmet veren şirketler ISO 27001 Bilgi güvenliği yönetim sistemi belgesi alması, sektörel ve kurumsal SOME birimleri bulundurma ve olay raporlama zorunluluğu var. Fakat NIS2’ de farklı olarak kritik altyapı sektörleri bizde bu kadar geniş kapsamlı yer almamaktadır. NIS2 ‘de yer alan sektörlerin dikkatlice incelenmesi gerekiyor. Türkiye’ de kritik altyapı olarak nitelendirilmeyen Avrupa Birliği’ne hizmet veren bir şirketin NIS2 uyumluğuna ve siber dayanıklığa önem vermesi gerekiyor. Çünkü, Avrupa birliği’ne hizmet veren sektörler NIS2 kapsamında sıkı denetimlerle karşı karşıya kalabilirler.

Kuruluşların, iş sürekliliği dayanıklığı yanısıra (Business resilience) siber dayanıklığın (Cyber resilience) gereksinimleri yerine getirilmesi hayati önem taşımaktadır. Siber güvenlikte, Süreç, Teknoloji ve İnsan kavramına üzerinden NIS2 tam uyumluluğu yerine getirmek için aşağıdaki önerileri dikkate alınmalıdır.

· NIS2’ de temel gereksinimleri karşılamak için ISO 27001 Bilgi güvenliği yönetim sistemi ve ISO 22301 iş sürekliliği yönetim sistemleri ve süreçler entegre edilmeli,

· Siber dayanıklığı artırmak için vulnerability management, SIEM, SOAR, CTI, BAS gibi siber güvenlik çözümleri yanında OT güvenlik çözümlerine sahip olunmalı,

· Siber güvenliği alanında güvenlik cihazları ve süreçleri yönetebilecek yetkin kişilerin istihdam edilmesi veya eğitilmesi.

NIS2 ile birlikte IT organizasyonlarında siber dayanıklığı artırmak ve kriz/olay yönetimi için özel birimler veya organizasyonlar ortaya çıkacak gibi gözüküyor. GDPR’ ın yaptığı etkiyle şirketler veri koruma görevlileri veya organizasyonları oluşturmuştu. NIS2’ de aynı etkiyi yapacak görüşündeyim. NIS2’ de yaptırımlar ve denetimlerin artmasıyla birlikte Türkiye’ de bazı sektörel ve kamusal değişiklik olmasını bekliyorum.

Kaynaklar:

1. https://assets.kpmg.com/content/dam/kpmg/pl/pdf/2023/10/kpmg-network-and-information-security-directive-nis2.pdf

2. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022L2555

3. https://www.ey.com/en_be/cybersecurity/how-to-prepare-for-the-nis2-directive

4. https://antivirus.com.tr/nis2-yeni-avrupa-birligi-siber-guvenlik-yonergesi/?gad_source=1&gclid=EAIaIQobChMI_rrf5YiSiAMVpm1BAh0flAiaEAMYASAAEgL1QfD_BwE

5. https://www.nis-2-directive.com/NIS_2_Directive_Articles.html

6. https://www.tripwire.com/state-of-security/what-network-and-information-security-2-directive-nis2

7. https://nis2directive.eu/waste-management/

8. https://nis2directive.eu/nis2-requirements/

9. https://www.enisa.europa.eu/enisa-search#/?SearchableText=NIS2%20directive&sort_on_date=false&sort_on_relevancy=true

10.https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf

11. https://digital-strategy.ec.europa.eu/en/policies/nis-cooperation-group

12. https://eur-lex.europa.eu/eli/reg/2019/881/oj

13. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022L2555

14. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf

15. https://www.critical-entities-resilience-directive.com/

16. https://home-affairs.ec.europa.eu/policies/internal-security/counter-terrorism-and-radicalisation/prevention-radicalisation/terrorist-content-online/list-national-competent-authority-authorities-and-contact-points_en

--

--

Cihat SADIKOGLU

Information Security and Data Protection Specalist, MSc. Cyber Security,