Blog
Bildirim: Gönderiler İngilizceden otomatik olarak çevrilmiştir. Orijinal içerik için lütfen İngilizce sayfamızı ziyaret edin. Bazı çeviriler mükemmel olmayabilir; anlayışınız için teşekkür ederiz.
Illustration of a European map.

AB ve Birleşik Krallık'ta NIS Temsilciliği - 31 Mart son tarihi bir dönüm noktası mı?

Andreas

Andreas Maetzler

Her şey NIS Direktifi ile başladı

Ağ ve Bilgi Sistemi Direktifi (EU 2016/1148 - NISD), Avrupa Birliği’nde (başlatıldığında Birleşik Krallık dahil) yüksek standartta bir ağ ve bilgi sistemleri güvenliği sağlamayı amaçlamaktadır. İki tür kuruluş için geçerlidir: Temel Hizmet Operatörleri ve Dijital Hizmet Sağlayıcıları. Son değişiklikler özellikle DSP’ler için geçerli olduğundan bu makale DSP’lere odaklanmaktadır (DSP olup olmadığınızı kontrol etmek için buraya bakabilirsiniz).

NIS Direktifi, yasal yapısı nedeniyle AB Üye Devletlerinde doğrudan uygulanabilir olmadığı için AB Genel Veri Koruma Yönetmeliğinden farklıdır. Ulusal hukuka aktarılması gerekmektedir. Teknik olarak, yürürlükte 28 farklı NIS kanunu bulunmaktadır. NISD’nin veya ulusal yasalara aktarımının GDPR gibi ülke dışı kapsama sahip olduğuna dikkat etmek önemlidir; bu da AB veya Birleşik Krallık dışında yerleşik şirketlerin de bu ulusal yasalardan etkilenebileceği anlamına gelir. Ülke dışı kapsamdan kaynaklanan temel yükümlülük, AB/İngiltere dışında yerleşik şirketlerin bir NIS temsilcisi ataması gerekliliğidir.

Dijital hizmet sağlayıcı nedir?

Dijital hizmet sağlayıcı, dijital bir hizmet sunan herhangi bir tüzel kişidir. Ancak, tüm dijital hizmetler NIS’e tabi değildir, yalnızca belirli hizmetler NIS’e tabidir. Aşağıdaki dijital hizmet sağlayıcılar NIS’e tabidir.

Çevrimiçi pazar yerleri: Bir çevrimiçi pazar yeri, tüketicilerin ve tüccarların tüccarlarla çevrimiçi satış veya hizmet sözleşmeleri yapmasına olanak tanır ve bu sözleşmelerin imzalanması için hedef olarak işlev görür. Üçüncü taraflardan gelen uygulamaların veya yazılım programlarının dijital dağıtımını sağlayan çevrimiçi mağazalar olarak faaliyet gösteren uygulama mağazaları, bir tür çevrimiçi pazaryeri olarak anlaşılmaktadır. Bunlar, yalnızca bir sözleşmenin nihai olarak sonuçlandırılabileceği üçüncü taraf hizmetlerine aracılık eden çevrimiçi hizmetleri içermez.

Çevrimiçi arama motorları: Bir çevrimiçi arama motoru, kullanıcının herhangi bir konudaki bir sorguya dayalı olarak web sitelerinde arama yapmasına olanak tanır. Belirli dillerdeki web sitelerine de odaklanılabilir. Belirli bir web sitesinin içeriği ile sınırlı olan arama işlevleri, işlev harici bir arama motoru tarafından sağlansa bile, NIS’e tabi değildir. Farklı tüccarlardan belirli ürün veya hizmetlerin fiyatlarını karşılaştıran ve daha sonra kullanıcıyı ürünü satın almak için tercih edilen tüccara yönlendiren çevrimiçi hizmetler de dahil değildir.

Bulut Bilişim Hizmetleri: Bulut bilişim hizmetleri, ağlar, sunucular veya diğer altyapı, depolama, uygulamalar ve hizmetler gibi paylaşılabilir bilişim kaynaklarından oluşan ölçeklenebilir ve esnek bir havuza erişim sağlar. NISD, bir bulut bilişim hizmetinin bulut hizmeti olarak nitelendirilebilmesi için sahip olması gereken üç özellikten bahsetmektedir:

  • Ölçeklenebilir kaynaklar: Kaynaklar, talepteki dalgalanmaları ele almak için coğrafi konumlarına bakılmaksızın bulut hizmetleri sağlayıcısı tarafından esnek bir şekilde tahsis edilebilir.
  • Elastik kaynak havuzu: İş yüküne bağlı olarak mevcut kaynakları artırmak ve azaltmak için talebe göre sağlanan ve serbest bırakılan bilgi işlem kaynakları.
  • Paylaşılabilir: Bilgi işlem kaynakları, hizmete ortak erişimipaylaşan birden fazla kullanıcıya sağlanır, ancak işlem aynı elektronik ekipmandan sağlansa bile her kullanıcı için ayrı ayrı gerçekleştirilir. IaaS (Hizmet Olarak Altyapı), PaaS (Hizmet Olarak Platform) veya SaaS (Hizmet Olarak Yazılım) gibi farklı modeller bulunmaktadır.

NISD, ağ ve bilgi sistemleri güvenliği seviyesini artırmayı amaçladığından, bu tür bir altyapı üzerinde belirli bir etkisi olan şirketler için geçerlidir; bu nedenle küçük işletmeler muaftır. Ne AB NISD ve ulusal aktarımları ne de Birleşik Krallık NIS Yönetmeliği, 50’den az çalışanı ve yıllık cirosu veya bilançosu 10 milyon Euro’dan az olan işletmeler için geçerlidir.

Şirketin AB veya Birleşik Krallık içinde hizmet sunup sunmadığının değerlendirilmesi

Bir DSP’nin hizmetlerini belirli bir pazara sunup sunmadığının değerlendirilmesi söz konusu olduğunda, NISD’nin GDPR’ye benzer bir yaklaşım izlediği görülmektedir. NISD’nin ifadeleri, DSP’nin hizmetlerini AB’deki bir veya daha fazla Üye Devlete sunmaya çalıştığının açık olması gerektiğini veya başka bir deyişle, belirli bir pazarı “aktif olarak hedeflediğinin” kanıtlanması gerektiğini öne sürmektedir. Birleşik Krallık’ın NIS Yönetmeliği söz konusu olduğunda, muhtemelen benzer bir yaklaşım izleyeceklerdir.

GDPR kapsamında olduğu gibi, bir web sitesinin yalnızca erişilebilir olması veya farklı ülkelerde tipik olarak kullanılan bir dilin kullanılması, belirli bir pazarı hedefleme niyetini tespit etmek için yeterli değildir. Bununla birlikte, bu tür niyetlere işaret edebilecek bazı kriterler göz önünde bulundurulmalıdır:

  • Bir veya daha fazla Üye Devlette veya Birleşik Krallık’ta kullanılan bir dilin veya para biriminin kullanılması.
  • Bu dillerde hizmet siparişi verme imkanı.
  • AB veya Birleşik Krallık’ta bulunan müşterilerden veya kullanıcılardan bahsedilmesi.

SaaS çözümümüzü Birleşik Krallık temsilciliği için uyarladık ve size LegalTech hizmetlerimizi Birleşik Krallık ofisimizden sunabiliriz.

Brexit’in temsilci gereksinimi üzerindeki etkileri

NISD, Birleşik Krallık hala Avrupa Birliği’nin bir parçasıyken Ağ ve Bilgi Sistemi Yönetmelikleri (NIS Yönetmeliği) aracılığıyla Birleşik Krallık yasalarına aktarılmıştır. Brexit, NIS Yönetmeliği’nin geçerliliğini etkilemedi; ancak, sadece Birleşik Krallık’taki uygulamaya uyacak şekilde değiştirildi. Başlangıçta, Birleşik Krallık NIS Yönetmeliği bir NIS temsilcisi atama yükümlülüğünü içermiyordu. NIS Tüzüğünde Brexit ile birlikte yapılan değişiklikler bu zorunluluğu getirmiştir. Yeni düzenlemeler uyarınca, Birleşik Krallık dışındaki şirketler aşağıdaki durumlarda bir Birleşik Krallık temsilcisi atamak zorundadır:

  • Dijital hizmet sağlayıcı olmaları (çevrimiçi pazar yeri, çevrimiçi arama motoru veya bulut bilişim hizmeti).
  • Merkez ofisleri Birleşik Krallık’ta bulunmuyorsa
  • Birleşik Krallık’ta hizmet sunuyorlarsa Şirketin Birleşik Krallık’ta merkezi olmayan bir şubesi olsa bile bir Birleşik Krallık temsilcisi atama yükümlülüğü, NIS Yönetmeliği ile GDPR’nin temsilci atama yaklaşımı arasındaki en önemli ve zorlayıcı fark olabilir. Tüm bunlar geçerliyse, bir şirket Birleşik Krallık yasaları kapsamında bir dijital hizmet sağlayıcı olarak kabul edilir ve sonuç olarak Birleşik Krallık NIS Yönetmeliklerine uymak zorundadır. Bu, 31 Mart son tarihinden önce bir temsilci atamış olmaları gerektiği anlamına gelir. Ayrıca, DSP’ler, hizmetlerini destekleyen ağ ve bilgi sistemlerine yönelik riskleri yönetmek için uygun ve orantılı güvenlik önlemlerine sahip olmalıdır. Hizmetlerinin sağlanmasını önemli ölçüde etkileyen olayların meydana gelmesi halinde Birleşik Krallık Bilgi Komiserliği Ofisi’ni bilgilendirmelidirler. Birleşik Krallık NIS Yönetmeliği’nin GDPR’nin küçük kardeşi değil, uyumsuzluk için öngörülen cezalar söz konusu olduğunda eşit bir ortak olduğunun altını çizmek gerekir. Birleşik Krallık NIS Yönetmeliğine göre, ICO (ilgili otorite olarak) en ciddi durumlarda GDPR’de öngörülen para cezaları gibi 17 milyon sterline kadar para cezaları verebilir.

AB’de NIS Temsilciliği

Madde 18 (2) 18 (2) NISD, Üye Devletlerin, Avrupa Birliği dışında kurulmuş olan ve AB’de hizmet sunan DSP’lerin bir Avrupa temsilcisi atamasını zorunlu kılan ulusal tedbirler almasını gerektirmektedir; bu da Madde 27 kapsamındaki yükümlülüğe benzemektedir. 27 GDPR. Ancak bu gereklilik çeşitli Üye Devletlerde farklı şekillerde uygulanmıştır. Başlangıçta Birleşik Krallık da dahil olmak üzere bazıları bu yükümlülüğü hiç uygulamadı.

Peki Birleşik Krallık temsilcisinin atanması için 31 Mart son tarihi, Avrupa temsilcisinin atanması için de geçerli midir? Cevap hayır, çünkü son tarih Birleşik Krallık’a özgüdür ve Birleşik Krallık’ın temsilci yükümlülüğünü sadece yakın zamanda yapılan Brexit değişiklikleri ile benimsemiş olmasından kaynaklanmaktadır. Birleşik Krallık NIS Yönetmeliğinde yapılan değişiklikler, bir temsilci atamak için üç aylık bir zaman dilimi öngörmektedir ve bu süre, değişikliklerin yürürlüğe girdiği 1 Ocak 2021’de başlamıştır.

Şirketler şimdi ne yapmalı

DSP’ler üzerinde Brexit’ten kaynaklanan ve yukarıdakiler ışığında dikkatle değerlendirilmesi gereken bazı etkiler vardır. Temel mesele, artık şirketlerin bir NIS temsilcisi atamasını gerektirebilecek iki yasal çerçevenin olmasıdır. Bu çerçeveler aşağıdakiler için geçerlidir:

  • Merkezi Birleşik Krallık’ta olmayan DSP’ler, bunlar AB içinde veya dışında şirketler olabilir;
  • AB’de bir kuruluşu olmayan Birleşik Krallık DSP’leri ve ilgili dijital hizmet sağlayıcıları;
  • Merkezi Birleşik Krallık’ta ve AB’de bir kuruluşu olmayan DSP’ler. Daha fazla rehberlik için NIS-temsilci gereklilikleri hakkında ayrıntılı bir SSS oluşturduk. Bir AB veya Birleşik Krallık NIS temsilcisine veya her ikisine birden ihtiyaç duyan şirketlerin bir Arti’ye ihtiyaç duyma olasılığı çok yüksektir. 27 (Birleşik Krallık) GDPR temsilcisine ihtiyaç duyacaktır. NIS temsilcisi GDPR temsilcisi ile aynı olabilir, bu nedenle aynı kişi veya kuruluşun GDPR ve NIS temsilciniz olması mümkündür, bu da özellikle veri ihlalleri söz konusu olduğunda muhtemelen en kolay ve en uygun seçenektir. Avrupa temsilcisinin seçilmesi, temsilcilerinin kurulduğu Üye Devletin yargı yetkisi altında olduğu için DSP’ye uygulanacak yargı yetkisi üzerinde etkilere sahiptir. DSP, ağ ve bilgi sistemlerinin güvenliğine yönelik riskleri yönetmek için teknik ve organizasyonel tedbirlerin uygulanmasını ve hizmetlerinin sunulması üzerinde önemli etkileri olan olaylarda raporlama yükümlülüklerini içeren yerel NIS yasasına uymalıdır.