Avrupa Birliği (AB) üyesi ülkelerin büyük çoğunluğu, kritik kurumları siber saldırılara karşı koruma amacı taşıyan kuralları uygulama konusunda belirlenen son tarih olan 17 Ekim’i kaçırdı. Bu durum, birçok sektörde belirsizlik ve hazırlık eksikliği nedeniyle endişe yaratıyor.
Avrupa Komisyonu, bugüne kadar yalnızca Belçika ve Hırvatistan’ın Network and Information Security Directive (NIS 2) direktifini uyguladığını doğruladı. 16 Ekim'de yapılan açıklamaya göre, İtalya ve Litvanya da kısmen bu kuralları uygulamaya başlamış durumda. Almanya, Hollanda, İsveç ve Çekya gibi ülkelerde yasalar hâlâ taslak aşamasında, İrlanda, Yunanistan ve İspanya ise sürecin gerisinde bulunuyor.
NIS2’nin Amaçları ve Zorluklar
2022 yılında onaylanan NIS2, enerji, ulaşım, bankacılık, su ve dijital altyapılar gibi kritik sektörleri büyük siber saldırılara karşı korumayı amaçlıyor. NIS1’in yerine geçen bu direktif, AB Komisyonu’na göre, şirketlerin siber dirençlerini artırma konusunda yetersiz kaldı ve ortak kriz müdahalesini teşvik edemedi.
Yeni kurallar, şirketlerin büyük operasyonel aksaklıklarla karşılaştıklarında 24 saat içinde uyarı yapmalarını ve 72 saat içinde olay raporu sunmalarını gerektiriyor.
Ancak ülkeler bu kuralları uygularken farklı yaklaşımlar sergiliyor. Danimarka, uyumu sektör bazında ele almayı ve önceliği enerji sektörüne vermeyi planlarken, Fransa'da hükümet, kurallar kapsamına giren şirketler arasında farkındalığın düşük olduğunu ve kapsamın genişlemesiyle zorlukların artacağını belirtti. NIS1 ile 500 olan kapsam altındaki şirket sayısı, NIS2 ile 15.000’e çıkabilir.
Şirketlerin Endişeleri
Birçok şirket, bu kuralların üye ülkeler arasında farklı şekillerde uygulanmasından ve çoklu pazarlarda faaliyet gösteren sağlayıcılar için uyum zorluklarından endişe duyuyor. Özellikle su hizmetleri sağlayıcılarını temsil eden EurEau, ülkelerde hangi operatörlerin direktif kapsamında olacağının belirsizliğini koruduğunu ifade etti.
EurEau Genel Sekreteri Oliver Loebel, bazı ülkelerde su sektörü için gerekli önlemleri uygulayabilmek adına mali desteğe ihtiyaç duyulacağını, ancak bu desteğin garanti olmadığını belirtti.
Yazılım lobisi BSA ise, AB Komisyonu’nun henüz "olay raporlama" ile ilgili uygulama yönetmeliğini yayımlamamasının işletmeleri belirsizlik içinde bıraktığını ve uyum sürecini zorlaştırdığını vurguladı.
Küçük ve orta ölçekli işletmeleri (KOBİ) temsil eden European DIGITAL SME Alliance, bu işletmelerin büyük şirketlerin tedarik zincirinde yer almaları durumunda NIS2 kurallarına uyum sağlamak zorunda kalabileceklerine dikkat çekti.
NIS2'ye uyulmaması durumunda şirketler, yıllık küresel gelirlerinin %2'sine veya 10 milyon Euro’ya kadar para cezası ile karşı karşıya kalabilirler. Ayrıca, üst düzey yönetim, ihmal nedeniyle meydana gelen güvenlik ihlallerinden şahsen sorumlu tutulabilir.