Avrupa Birliği’nin yeni siber güvenlik düzenlemesi olan NIS2 (Network and Information Systems Directive 2), Avrupa Birliği üye ülkelerinde faaliyet gösteren belirli sektörlerdeki orta ve büyük ölçekli kuruluşları kapsamaktadır. NIS2’nin amacı, bu kuruluşların siber güvenlik seviyelerini artırarak, Avrupa Birliği’nin kritik altyapı ve hizmetlerinin sürekliliğini sağlamaktır.
NIS2’nin Uygulanacağı Sektörler:
NIS2 Direktifi, aşağıdaki sektörlerde faaliyet gösteren orta ve büyük ölçekli kuruluşları kapsamaktadır:
- Enerji: Elektrik, petrol, gaz, ısıtma ve soğutma
- Ulaştırma: Hava, demiryolu, su yolu ve karayolu taşımacılığı altyapısı
- Bankacılık ve Finans: Kredi kuruluşları, yatırım firmaları, sigorta şirketleri
- Sağlık: Sağlık hizmeti sağlayıcıları, tıbbi cihaz üreticileri
- Dijital Altyapı: İnternet servis sağlayıcıları, bulut bilişim hizmetleri, veri merkezleri
- Kamu Yönetimi: Merkezi ve yerel yönetimler
- Dijital Hizmetler: Çevrimiçi pazar yerleri, arama motorları, sosyal medya platformları
- Atık Yönetimi: Atık toplama, işleme ve bertaraf tesisleri
- Su: Su temini ve arıtma tesisleri
- Gıda Üretimi, İşleme ve Dağıtım: Gıda üreticileri, işleyicileri ve dağıtıcıları
- İmalat: Belirli kritik ürünlerin üreticileri
- Kimyasallar: Kimyasal madde üreticileri ve dağıtıcıları
- Posta ve Kurye Hizmetleri: Posta ve kurye şirketleri
Hangi Kuruluşlar Uygulamalı?
Yukarıda belirtilen sektörlerde faaliyet gösteren ve Avrupa Birliği üye ülkelerinde yerleşik olan orta ve büyük ölçekli kuruluşlar, NIS2 Direktifi’ne uymakla yükümlüdür. Küçük ve mikro işletmeler genellikle bu direktifin kapsamı dışındadır. Ancak, üye ülkeler kendi ulusal mevzuatlarında bu kapsamı genişletebilirler. KOBİ’ler için uygun ve uygulanabilir bazı ISO standartları da bulunmaktadır. Bilgi varlıklarını korumak için bir çerçeve sağlayan ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı, KOBİ’lerin bilgi güvenliği seviyelerini artırmalarına yardımcı olabilir. Bu standardın gerekliliklerini tam olarak karşılamak zorunda olmasalar bile, temel prensiplerini uygulamak önemlidir. Kişisel verilerin korunması için bir çerçeve sunan ISO 27701 Gizlilik Bilgisi Yönetimi Sistemi (GBYS) standardı ise müşteri ve çalışan verilerini daha güvenli bir şekilde işlemeyi sağlar. İş kesintilerine karşı hazırlıklı olmayı ve iş sürekliliğini sağlamayı hedefleyen ISO 22301 İş Sürekliliği Yönetim Sistemi (İSYS) standardı da KOBİ’lerin beklenmedik olaylar karşısında işlerinin devamlılığını sürdürmelerine yardımcı olur.
NIS2’nin Getirdiği Yükümlülükler:
NIS2 Direktifi, kapsadığı kuruluşlara bir dizi yükümlülük getirmektedir. Bunlar arasında:
- Siber Güvenlik Risk Yönetimi: Kuruluşlar, siber güvenlik risklerini belirlemeli, değerlendirmeli ve yönetmelidir.
- Olay Bildirimi: Kuruluşlar, ciddi siber güvenlik olaylarını yetkililere bildirmekle yükümlüdür.
- Güvenlik Tedbirleri: Kuruluşlar, siber güvenlik risklerini azaltmak için teknik ve organizasyonel tedbirler almalıdır.
- Siber Güvenlik Eğitimi: Kuruluşlar, çalışanlarına siber güvenlik eğitimi vermelidir.
NIS2 Direktifi, Avrupa Birliği’nde siber güvenliği artırmayı amaçlayan önemli bir düzenlemedir. Yukarıda belirtilen sektörlerde faaliyet gösteren orta ve büyük ölçekli kuruluşlar, bu direktife uyum sağlamakla yükümlüdür. Bu yükümlülükler, kuruluşların siber güvenlik seviyelerini artırmalarını ve kritik altyapı ve hizmetlerin sürekliliğini sağlamalarını amaçlamaktadır. NIS2 uyumu yanında Yapay Zeka, Bilgi Güvenliği, İş Sürekliliği ve daha birçok konuda ISO standartları ile kurumlara uluslararası standartları yakalamaları için destek oluyoruz. Güvenli ve sürdürülebilir bir gelecek için eğitimlerimiz ve belgelendirme hizmetlerimiz hakkında bilgi almak için bizimle hemen iletişime geçin! sales@cfecert.co.uk