NIS2 Direktifi Hakkında

9 min readSep 9, 2024

NIS2 nedir ve neden çıktı?

Network and Information Security (NIS) Direktifi 2016 yılında yürürlüğü girmişti. COVID-19 salgını sırasında dünya’ da yaşanan siber saldırılardaki artış ve yeni siber tehditlerden korunmak için güncelleme ihtiyaçı ortaya çıktı. Bu ihtiyaç, geliştirilmiş bir NIS2 direktifinin önüne açtı. Ocak 2023 yılında NIS2 yasalaştı ve 18 Ekim 2024 yılında NIS2 yürürlüğe giriyor. Avrupa birliğinde yerleşik olan veya Avrupa birliğine hizmet sağlayan tüm kritik altyapıya sahip olan kuruluşların 18 Ekim 2024 yılına kadar uyum süreçlerini tamamlanması gerekiyor. 3 yılda bir direktifin gözden geçirilmesi ve güncellenmesi ön görülmüştür. 2025 yılında sıkı bir şekilde uygulanması bekleniliyor.

NIS2 direktifinde yenilikler;

· Yeni kritik hizmet sektörleri eklenerek güvenlik gerekliliklerin güçlendirilmesi,

· Tedarik zinciri güvenliğini ele alınması,

· Raporlama yükümlülüklerin sağlanılması

· Yüksek cezai para yaptırımlar eklendi.

AB’nin en son politikası olan NIS2 (Ağ ve Bilgi Güvenliği) Direktifi, Avrupa birliği üye devletlerin siber güvenlik dayanıklığını güçlendirmeyi amaçlıyor. NIS2, AB’deki siber güvenlik seviyesini daha geniş bir şekilde uyumlu hale getirmeyi amaçlarken DORA’nın amacı ise finans sektörünü korumak, operasyonel dayanıklılığı ve dijital sistemlerinin güvenilirliğini, kullanılabilirliğini ve bütünlüğünü sağlamaktır.

NIS2’nin Temel Hedefleri;

Temel hizmet sağlayıcıların siber dayanıklılığı artırılması.
Daha sıkı güvenlik gereksinimleri ve ihlallere yönelik cezalar yoluyla siber dayanıklılığı artırılması.
AB’nin siber saldırılara karşı hazırlıklı olma seviyesinin artırılması.
Toplumda önemli bir işlevi olan tüm kuruluşların yüksek düzeyde siber güvenliğe sahip olmasını sağlanması

NIS2 hangi kritik altyapıları kapsıyor ve kimler için geçerli?

NIS2, Genelde, 50'den fazla çalışanı ve yıllık cirosu 10 milyon avronun üzerinde bulunan AB’nin Avrupa ekonomisi ve toplumu için elzem gördüğü kuruluşlar için geçerlidir. NIS2, önem seviyesine göre sektörleri temel kuruluşlar ve önemli kuruluşlar şeklinde ikiye ayırmıştır.

1. Temel Kuruluşlar (Essential entities), yaklaşık 250 kişiyi istihdam eden, yıllık cirosu 50 milyon avro olan veya bilançosu yaklaşık 43 milyon avro olan ve aşağıdaki sektörlerden birinde faaliyet gösteren kuruluşları içeriyor;

Enerji
Taşımacılık
Finans
Kamu Yönetimi
Sağlık
Uzay
Su Temini
Dijital Altyapı (örneğin bulut hizmetleri sağlayıcıları ve BT yönetimi)

Ülke içinde hizmetin tek sağlayıcısı olan veya bu hizmetin kesintiye uğraması durumunda, diğer herhangi bir çok önemli veya diğer kuruluş önemli bir etkiye sahiptir. Temel kuruluşların NIS2 Direktifi gerekliliklerini karşıladıklarından emin olmak için proaktif olarak denetlenecektir.

2. Önemli Kuruluşlar (Important entities), yaklaşık 50 kişiyi istihdam eden, yıllık cirosu veya bilançosu 10 milyon avro olan aşağıdaki sektörlerden birinde faaliyet gösteren kuruluşları içeriyor;

Posta Hizmetleri
Atık Yönetimi
Kimyasallar
Araştırma
Yiyecekler
Üretme
Dijital Sağlayıcılar (örneğin, sosyal medya ve arama motorları)

Önemli kuruluşlar “olaydan sonra” denetlenir, yani yalnızca yetkililer uyumsuzluğa dair kanıt alırsa soruşturma başlatılacaktır.

NIS2, temel ve önemli kuruluşları 18 alt sektörle kategorize edilmiştir. Bu sektörlerde; son derece kritik ve diğer kritik şeklinde iki ayırmıştır. Sektörlere göre detaylı tablo’ ya 2. kaynak linkten ulaşabilirsiniz.

18 alt sektörün detayları aşağıdaki gibidir;

A. Son derece kritik olan sektörler

1. Enerji Sektörü

Elektrik

Elektrik tedarikçileri
Dağıtım sistemi operatörleri
İletim sistemi operatörleri
Üreticiler
Aday gösterilen elektrik piyasası işletmecileri
Toplama, talep yanıtı veya enerji depolama hizmetleri sağlayan piyasa katılımcıları
Son kullanıcılara şarj hizmeti sağlayan bir şarj noktasının işletmecileri ve yöneticileri, bir mobilite hizmet sağlayıcısı adına ve hesabına da dahil olmak üzere

Bölgesel ısıtma ve soğutma

Bölgesel ısıtma veya soğutma işletmecileri

Petrol

Petrol iletim boru hattı operatörleri
Petrol üretim, rafinasyon ve arıtma tesisleri, depolama ve iletim operatörleri
Merkezi hisse senedi sahipliği kuruluşları

Gaz

Tedarik taahhütleri
Dağıtım sistemi operatörleri
İletim sistemi operatörleri
Depolama sistemi operatörleri
LNG sistem operatörleri
Doğal gaz işletmeleri
Doğal gaz rafinasyon ve arıtma tesislerinin işletmecileri

Hidrojen

Hidrojen üretimi, depolanması ve iletimi operatörlerini içerir.

2. Ulaşım Taşımacılık Sektörü

Hava

Ticari amaçlı kullanılan hava taşıyıcıları
Havaalanı yönetim organları, havaalanları ve havaalanları içerisinde yardımcı tesisler işleten kuruluşlar
Hava trafik kontrolü (ATC) hizmetleri sağlayan trafik yönetimi kontrol operatörleri

Demiryolu

Altyapı yöneticileri
Hizmet tesislerinin işletmecileri de dahil olmak üzere demiryolu işletmeleri

Deniz

İç su, deniz ve kıyı yolcu ve yük taşımacılığı şirketleri — bu şirketler tarafından işletilen bireysel gemiler hariç

Liman tesisleri ve limanlarda bulunan iş ve ekipmanları işleten kuruluşlar da dahil olmak üzere limanların yönetim organları
Gemi trafik hizmetleri operatörleri (VTS)

Karayolu

Trafik yönetimi kontrolünden sorumlu yol idareleri — trafik yönetiminin veya akıllı ulaşım sistemlerinin işletilmesinin genel faaliyetlerinin temel olmayan bir parçası olduğu kamu kuruluşları hariç
Akıllı Ulaşım Sistemleri Operatörleri

3. Bankacılık Sektörü

Kredi kuruluşlarını içerir

4. Finans Alt Yapı Sektörü

Ticaret platformlarının operatörleri
Merkezi Karşı Taraflar (CCP’ler)

5. Sağlık Sektörü

Sağlık hizmeti sağlayıcıları
AB referans laboratuvarları
Tıbbi ürünlerin araştırma ve geliştirme faaliyetlerini yürüten kuruluşlar
Temel eczacılık ürünleri ve eczacılık üreten kuruluşlar
Kamu sağlığı acil durumu sırasında kritik olduğu düşünülen tıbbi cihazlar üreten kuruluşlar

6. Su Temini

İnsan tüketimine yönelik suyun tedarikçilerini ve dağıtımcılarını içerir; insan tüketimine yönelik suyun dağıtımının, diğer emtia ve malların dağıtımına ilişkin genel faaliyetlerinin zorunlu olmayan bir parçası olduğu dağıtımcılar hariçtir.

7. Atık Su

Kentsel atık su, evsel atık su veya endüstriyel atık su toplayan, bertaraf eden veya arıtan işletmeleri
Kentsel, endüstriyel veya evsel atık su toplamanın, bertaraf etmenin veya arıtmanın genel faaliyetlerinin temel olmayan bir parçası olduğu işletmeler hariçtir.

8. Dijital Altyapı sektörü

İnternet Değişim Noktası sağlayıcıları
Kök ad sunucularının operatörleri hariç DNS servis sağlayıcıları
TLD ad kayıtları
Bulut bilişim hizmet sağlayıcıları
Veri merkezi hizmet sağlayıcıları
İçerik dağıtım ağı sağlayıcıları
Güvenilir hizmet sağlayıcıları
Kamu elektronik iletişim ağlarının sağlayıcıları
Kamuya açık elektronik iletişim hizmetleri sağlayıcıları

9. Bit Hizmet Yönetimi (İşletmeler Arası)

Yönetilen hizmet sağlayıcıları
Yönetilen güvenlik hizmeti sağlayıcıları

10. Kamu Yönetimi

Merkezi hükümetlerin kamu yönetimi kuruluşları
Bölgesel düzeyde kamu yönetimi kuruluşları
Üye Devletler NIS2'yi aşağıdakilere uygulayabilir: (a) yerel düzeydeki kamu yönetimi kuruluşları; (b) özellikle kritik araştırma faaliyetleri yürüttükleri eğitim kurumları
Suçların önlenmesi, soruşturulması, tespiti ve kovuşturulması dahil olmak üzere ulusal güvenlik, kamu güvenliği, savunma veya kolluk kuvvetleri alanlarında faaliyet gösteren kamu yönetimi kuruluşları için geçerli değildir.

11. Uzay

Devletler veya özel taraflarca sahip olunan, yönetilen ve işletilen, uzay tabanlı hizmetlerin sağlanmasını destekleyen kara tabanlı altyapı operatörleri
Kamu elektronik iletişim ağları sağlayıcıları hariçtir.

B. Diğer kritik sektörler

1. Posta ve Kurye Hizmetleri

Kurye hizmeti sağlayıcıları da dahil olmak üzere posta hizmeti sağlayıcıları.

2. Atık Yönetimi

Atık yönetimi yapan işletmeler — atık yönetiminin temel ekonomik faaliyeti olmadığı işletmeler hariç.

3. Kimyasalların Üretimi ve Dağıtımı

Maddelerin imalatını ve madde veya karışımların dağıtımını yapan işletmeler ve maddelerden veya karışımlardan eşya imalatı yapan işletmeler.

4. Gıda Üretimi, İşlenmesi ve Dağıtımı

Toptan dağıtım ve endüstriyel üretim ve işleme faaliyetinde bulunan gıda işletmeleri

5. Üretim

Tıbbi cihazların ve in vitro tanı tıbbi cihazlarının imalatı
Bilgisayar, elektronik ve optik ürünlerin imalatı
Elektrikli ekipman imalatı
Makine ve ekipman imalatı (başka yerde sınıflandırılmamış)
Motorlu taşıt, römork ve yarı römork imalatı
Diğer ulaşım ekipmanlarının imalatı

6. Dijital Sağlayıcılar

Çevrimiçi pazar yeri sağlayıcıları
Çevrimiçi arama motorlarının sağlayıcıları
Sosyal ağ hizmetleri platformlarının sağlayıcıları

7. Araştırma

· Araştırma kuruluşlarını içerir — temel amacı uygulamalı araştırma veya deneysel geliştirme yapmak ve araştırma sonuçlarını ticari amaçlarla kullanmak olan kuruluş anlamına gelir, ancak eğitim kurumlarını içermez.

NIS2 Direktifi, kuruluşların sahip olması gereken asgari güvenlik önlemlerine, güvenlik olaylarının bildirilmesine ilişkin zaman çizelgelerine ve uymadıkları takdirde kuruluşların nasıl cezalandırılacağına ilişkin gerekliliklere sahiptir.

NIS2 gerekliliklerine uymamanın cezası nedir?

Denetimler, yerinde denetim/incelemeler ve NIS2 uyumluluk bilgisi/belgeleri için kuruluşların gereklilikleri yerine getirmesi bekleniliyor. NIS2 siber saldırı ve veri ihlali olursa, kuruluşa para cezası ve uyumluluk emri şartını yerine getirmeme cezalar verilmektedir. Kuruluşlar çoğunlukla, dijital altyapı sektöründeki kuruluşlar için bazı istisnalar dışında, kuruldukları ülke tarafından denetlenecektir.

NIS2'nin güvenlik riski yönetimi veya raporlama gerekliliklerini karşılamadığında asgari idari para cezaları:

· Temel Kuruluşlar için, 10 milyon avro veya küresel cironun %2'si, hangisi daha yüksekse.

· Önemli Kuruluşlar için, 7 milyon avro veya küresel cironun %1,4'ü, hangisi daha yüksekse.

Ø NIS2 Gereklilikleri nelerdir ve Nelere dikkat etmeleriyiz?

Avrupa’nın mevcut ve gelecekteki siber tehditlere karşı dayanıklılığını artırmak için NIS2 Direktifi, kuruluşlara dört kapsamlı alanda; risk yönetimi, kurumsal hesap verebilirlik, raporlama yükümlülükleri ve iş sürekliliği yer vermektedir.

1- Risk Yönetimi

Kuruluşların siber riskleri en aza indirmek için önlemler alması gerekir. Bu önlemler arasında olay yönetimi, daha güçlü tedarik zinciri güvenliği, geliştirilmiş ağ güvenliği, daha iyi erişim kontrolü ve şifreleme güvenliğine önem vermesi gerekir. NIS2, kuruluşların insan hatası, sistem arızası, kötü niyetli kişiler, doğal afetler ve sistemlerin fiziksel ve çevresel güvenliği gibi durumlardan kaynaklanabilecek riskleri ele almak için tüm tehlikeleri kapsayan bir yaklaşım kullanmaları gerektiğini söylüyor.

2- Kurumsal Sorumluluk

NIS2, kurumsal yönetimin kuruluşun siber güvenlik önlemlerini denetlemesini, onaylamasını ve bu konuda eğitim almasını ve siber riskleri ele almasını gerektirir. İhlaller, sorumluluk ve yönetim rollerine dikkat edilmemesi durumunda kuruluşların üst yöneticileri idari para cezalarıyla karşı karşıya kalabilirler.

3- Raporlama Yükümlülükleri

Temel ve önemli kuruluşların, hizmet sunumları veya alıcıları üzerinde önemli etkisi olan güvenlik olaylarının derhal bildirilmesi için süreçlere sahip olması gerekir. Bir güvenlik olayı yaşarsanız “contact of point kurumlarına” bildirmeniz gerekir. NIS2 Yönergesi, kuruluşların güvenlik olaylarını nasıl bildirmeleri gerektiği konusunda net talimatlara yer vermektedir. Kuruluşunuz AB’de bulunmasa bile, AB içinde hizmet veriyorsa, NIS2 Direktifine uymalıdır. AB içinde hizmet sağlayan AB dışı kuruluşların, hizmetlerin sunulduğu ülkelerden birinde AB’ye bir temsilci ataması gerektiğini söylüyor. Temsilci daha sonra kuruluşun NIS2 uyumluluk çalışmalarını yönetmekte ve güvenlik olaylarını raporlamaktan sorumlu oluyor.Türkiye’ deki Sektörel ve Kurumsal SOME yapısına benzer bir yapıdan bahsediliyor. Her avrupa ülkesinde raporlama ve olay bildirimi için contact of point adresleri yer almaktadır.

“Madde 9.1. Her Üye Devlet, büyük ölçekli siber güvenlik olaylarının ve krizlerinin yönetiminden sorumlu bir veya daha fazla yetkili makamı (siber kriz yönetimi makamları) belirleyecek veya kuracaktır. Üye Devletler, bu makamların kendilerine verilen görevleri etkili ve verimli bir şekilde yerine getirmek için yeterli kaynaklara sahip olmasını sağlayacaktır. Üye Devletler, genel ulusal kriz yönetimi için mevcut çerçevelerle tutarlılığı sağlayacaktır. (ENISA).”

Olay bildirimi ve Raporlama ile ilgili zaman süreleri:

Bir olaydan ilk haberdar olduktan sonraki 24 saat içinde: Bilgisayar güvenliği olay müdahale ekibine (CSIRT) veya ulusal yetkiliye erken uyarı gönderilmel. Olayın sınır ötesi sonuçları olup olmadığına bakılması istenilmektedir.
Bir olaydan ilk haberdar olduktan sonraki 72 saat içinde olayın ilk değerlendirmesi, ciddiyeti ve etkisi ve herhangi bir tehlikeye dair göstergelerle daha önce yapılan erken uyarıya bir güncelleme yapılması istenilmektedir.
Bir olaydan ilk haberdar olmanızdan itibaren 1 ay içinde: nihai bir rapor sunulması. Raporda, olayın ciddiyeti ve etkisi dahil olmak üzere detaylandırılmalıdır. Olaya neyin sebep olduğunu; uygulanan ve devam eden hafifletme önlemlerin ve sınır ötesi etkileri içermelidir.

4- İş Sürekliliği

Kuruluşlar, büyük siber olaylar durumunda iş sürekliliğini nasıl sağlayacaklarını planlamalıdır. Bu plan, sistem kurtarma, acil durum prosedürleri ve bir kriz müdahale ekibi kurma hakkında değerlendirmeleri içermelidir. (ISO 22301 BCMS — İş sürekliliği yönetim sistemleri yeterlilikleri yerine getirilmesinin önemi.)

NIS2 tarafından gerekli görülen 10 asgari güvenlik önlemi nedir?

NIS2, kuruluşların güvenlik olaylarını önlemek ve etkilerini en aza indirmek için uygun ve orantılı risk yönetimi eylemleri almaları gerektiğini söylüyor.

Tüm kuruluşların ele alması gereken 10 temel güvenlik önlemi:

Ø Bilgi sistemleri için risk değerlendirmeleri ve güvenlik politikaları

Ø Güvenlik önlemlerinin etkinliğini değerlendirmeye yönelik politikalar ve prosedürler.

Ø Kriptografinin ve ilgili durumlarda şifrelemenin kullanımına ilişkin politikalar ve prosedürler.

Ø Güvenlik olaylarının ele alınmasına yönelik bir plan

Ø Sistemlerin tedariki ve sistemlerin geliştirilmesi ve güvenliğin işletilmesi (güvenlik açıklarını ele alma zafiyet yönetimi ve raporlama politikalarına sahip olmak anlamına gelir).

Ø Siber güvenlik farkındalık eğitimi

Ø Hassas veya önemli verilere erişimi olan çalışanlar için güvenlik prosedürleri, veri erişimi politikaları

Ø Bir güvenlik olayı sırasında ve sonrasında iş operasyonlarını yönetme planı. Sürekli yedeklemelerin güncel olması ve bir güvenlik olayı sırasında ve sonrasında BT sistemlerine ve işletim işlevlerine erişimin garanti altına almaya yönelik bir planın olması.

Ø Uygun durumlarda çok faktörlü kimlik doğrulamanın, sürekli kimlik doğrulama çözümlerinin, ses, video ve metin şifrelenmesi

Ø Tedarik zinciri güvenliği. Tüm tedarikçiler için genel güvenlik seviyesini artırılması ve değerlendirilrmesi

Sonuç ve Görüşlerim

2025 yılında NIS2 ile birlikte sıkı denetimler bizleri bekliyor. NIS2’ I Siber güvenliğinin GDPR’ si olarak nitelenebiliriz. GDPR’ deki global ciro üzerinden idari para ceza yaptırımları, 72 saat içinde olayın bildirilmesi ve Avrupa birliğine ilgili sektörlerde dışarıdan tedarik sağlayan tüm şirketleri kapsaması gibi benzerlikler taşıyor. Türkiye’de kritik altyapı sektörlerinde hizmet veren şirketler ISO 27001 Bilgi güvenliği yönetim sistemi belgesi alması, sektörel ve kurumsal SOME birimleri bulundurma ve olay raporlama zorunluluğu var. Fakat NIS2’ de farklı olarak kritik altyapı sektörleri bizde bu kadar geniş kapsamlı yer almamaktadır. NIS2 ‘de yer alan sektörlerin dikkatlice incelenmesi gerekiyor. Türkiye’ de kritik altyapı olarak nitelendirilmeyen Avrupa Birliği’ne hizmet veren bir şirketin NIS2 uyumluğuna ve siber dayanıklığa önem vermesi gerekiyor. Çünkü, Avrupa birliği’ne hizmet veren sektörler NIS2 kapsamında sıkı denetimlerle karşı karşıya kalabilirler.

Kuruluşların, iş sürekliliği dayanıklığı yanısıra (Business resilience) siber dayanıklığın (Cyber resilience) gereksinimleri yerine getirilmesi hayati önem taşımaktadır. Siber güvenlikte, Süreç, Teknoloji ve İnsan kavramına üzerinden NIS2 tam uyumluluğu yerine getirmek için aşağıdaki önerileri dikkate alınmalıdır.

· NIS2’ de temel gereksinimleri karşılamak için ISO 27001 Bilgi güvenliği yönetim sistemi ve ISO 22301 iş sürekliliği yönetim sistemleri ve süreçler entegre edilmeli,

· Siber dayanıklığı artırmak için vulnerability management, SIEM, SOAR, CTI, BAS gibi siber güvenlik çözümleri yanında OT güvenlik çözümlerine sahip olunmalı,

· Siber güvenliği alanında güvenlik cihazları ve süreçleri yönetebilecek yetkin kişilerin istihdam edilmesi veya eğitilmesi.

NIS2 ile birlikte IT organizasyonlarında siber dayanıklığı artırmak ve kriz/olay yönetimi için özel birimler veya organizasyonlar ortaya çıkacak gibi gözüküyor. GDPR’ ın yaptığı etkiyle şirketler veri koruma görevlileri veya organizasyonları oluşturmuştu. NIS2’ de aynı etkiyi yapacak görüşündeyim. NIS2’ de yaptırımlar ve denetimlerin artmasıyla birlikte Türkiye’ de bazı sektörel ve kamusal değişiklik olmasını bekliyorum.