Ağ ve Bilgi Sistemleri (NIS) 2 Direktifi (“NIS 2 Direktifi“) 27 Aralık 2022 tarihinde Avrupa Birliği (“AB”) Resmî Gazetesi’nde yayımlanmıştır. NIS 2 Direktifi, AB’nin mevcut siber güvenlik çerçevesini güçlendirmeyi, genişletmeyi ve uyumlaştırmayı amaçlamaktadır.
NIS 2 Direktifinin yerini aldığı NIS Direktifi (2016/1148/EC sayılı Direktif) (“NIS 1“), AB’nin kritik siber güvenlik altyapısının korunmasına odaklanmaktaydı. Bu yasal çerçeve üzerine inşa edilen NIS 2 Direktifi, odağını AB’de ortak bir siber risk yönetimi, olay raporlama ve bilgi paylaşımı yükümlülüklerine doğru kaydırmıştır.
NIS 2 Direktifi, NIS 1’in sahip olduğu sınırlamaların üstesinden gelmek için çıkarılmıştır. NIS 2 Direktifinin uygulama kapsamına (i) AB’de hizmet sunan veya faaliyetlerini yürüten ve (ii) tanımlanmış bir sektör listesinde “temel” veya “önemli” kuruluş tanımına uyan tüm kuruluşlar girmektedir. Bu sektörler arasında bankacılık, finansal bankacılık altyapısı, dijital sağlayıcılar, bulut hizmeti sağlayıcıları, işletmeler arası ICT hizmet yönetimi vb. yer almaktadır.
Bu kapsamın istisnaları arasında, birçok durumda kapsam dışında tutulan küçük ve mikro işletmeler ile Üye Devletlerin muafiyet getirdiği ulusal güvenlik, kamu güvenliği, savunma veya kolluk kuvvetleri alanlarında faaliyet gösteren kuruluşlar yer almaktadır.
NIS 2 Direktifinin NIS 1’den ayrıldığı konuların arasında kuruluşların NIS 1 ile getirilen sınıflandırmasının ortadan kaldırılması, Üye Devletlerin sorumlulukları ve NIS 2 Direktifi ile getirilen ilave sektörlerdir.
NIS 2 Direktifi, NIS 1 ile getirilen “temel hizmet operatörleri” veya “dijital hizmet sağlayıcıları” sınıflandırmasını ortadan kaldırıyor. Sektöre veya sağlanan hizmetin türüne ve kuruluşun büyüklüğüne bağlı olarak NIS 2 Direktifi kuruluşları “temel” veya “önemli” olarak sınıflandırmaktadır. Tüm temel ve önemli kuruluşlar aynı siber güvenlik risk yönetimi gerekliliklerine ve olay raporlama yükümlülüklerine tabi iken, uygunluk ve orantılılık gereklilikleri NIS 2 Direktifi kapsamında bir kuruluşun maruz kaldığı riske, önemine ve büyüklüğüne göre farklılık gösterecektir.
NIS 2 Direktifi ayrıca büyük ölçekli siber güvenlik olaylarının koordineli bir şekilde yönetilmesi ve Üye Devletler ile AB organları arasında bilgi akışının sağlanması amacıyla “Avrupa Siber Krizler İrtibat Organizasyonu Ağı” (EU-CyCLONe) adında yeni bir yapı oluşturacaktır. Ayrıca NIS 2 Direktifi kapsamında ENISA’ya, kuruluşların güvenlik açıklarını belgelemelerini sağlamak için bir “Avrupa güvenlik açığı sicili” geliştirme ve sürdürme görevi verilecektir.
NIS 2 Direktifi, kapsamına giren tüm kuruluşlara bir dizi temel politika oluşturma zorunluluğu getirmiştir. Bu politikalar arasında risk analizi ve olaylara müdahale, şifreleme ve kriptografi, güvenlik açığı belgelendirmesi, siber güvenlik eğitimi ve BİT tedarik zinciri güvenliği vb. yer almaktadır.
NIS 2 Direktifi asgari düzeyde bir uyumlaştırma sağlamaktadır. Bununla birlikte, Üye Devletler NIS 2 Direktifinden daha yüksek standartlar getiren hükümler benimseyebilir veya muhafaza edebilir.
NIS 2 Direktifi 16 Ocak 2023 tarihinde yürürlüğe girecektir. Üye Devletler, 17 Ekim 2024 tarihine kadar NIS 2 Direktifine uyum için gerekli tedbirleri almakla ve yayınlamakla ve bu tedbirleri 18 Ekim 2024 tarihinden itibaren uygulamakla yükümlüdürler.
NIS 2 Direktifi’nin tam metnine aşağıdaki linkten ulaşabilirsiniz.
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2022:333:FULL&from=FR
