TLDR:
NIS2 Direktifi (Direktif 2022/2555), orijinal NIS Direktifini (2016) genişleten AB siber güvenlik mevzuatıdır. Üye Devletler bunu Ekim 2024’e kadar ulusal hukuka aktarmak zorundaydı. NIS2, 18 sektörde dramatik olarak genişletilmiş “temel” ve “önemli” kuruluşlar kümesini kapsar, risk yönetim yükümlülükleri, olay raporlama gereksinimleri ve siber güvenlik için yönetim hesap verebilirliği dayatır.
Kapsam
NIS2 temel sektörlerde (enerji, ulaşım, bankacılık, finansal piyasa altyapısı, sağlık, içme suyu, atık su, dijital altyapı, kamu yönetimi, uzay) ve önemli sektörlerde (posta hizmetleri, atık yönetimi, kimyasallar, gıda, üretim, dijital sağlayıcılar, araştırma) büyük ve orta büyüklükteki kuruluşlara uygulanır. Daha küçük kuruluşlar da belirli kriterleri karşılarsa kapsamda olabilir.
Anahtar Yükümlülükler
NIS2 yükümlülükleri şunları içerir: risk yönetim önlemleri (politika, olay işleme, iş sürekliliği, tedarik zinciri güvenliği, şifreleme, çok faktörlü kimlik doğrulama, varlık yönetimi, açık işleme), yönetici hesap verebilirliği (yönetim siber güvenlik önlemlerini onaylamalı ve denetlemelidir), olay bildirimi (24 saat erken uyarı, 72 saat bildirim, 1 ay nihai rapor), CSIRT’ler aracılığıyla açık ifşa koordinasyonu ve yetkili otoritelerle kayıt. Önemli olarak, yöneticiler başarısızlıklar için kişisel olarak sorumlu tutulabilir.
Cezalar ve Uygulama
NIS2 altında cezalar önemlidir: temel kuruluşlar için 10 milyon €’ya kadar veya küresel cironun %2’si, önemli kuruluşlar için 7 milyon € veya %1,4, idari para cezaları, periyodik ceza ödemeleri ve ciddi başarısızlıklar için yönetim sorumluluğu olasılığıyla. Uyum hem teknik önlemleri hem de yönetişim süreçlerini gerektirir. Kapsanan sektörlerde faaliyet gösteren startup’lar için—özellikle dijital hizmetler, sağlık, finansal hizmetler—NIS2 uyumu GDPR uyumunun yanı sıra planlanmalıdır.