Evet, Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri Birleşik Krallık’ta hâlâ tam olarak yürürlüktedir.
Başlangıçta Avrupa NIS Direktifi’ne dayanan bu gereklilikler, Birleşik Krallık tarafından 2018 tarihli Birleşik Krallık NIS Yönetmelikleri olarak ulusal mevzuata aktarılmıştır. Brexit’e rağmen bu düzenlemeler yürürlükte kalmış ve Birleşik Krallık’ta ağ ve bilgi sistemlerinin güvenliğini sağlamaya devam etmektedir. Bu nedenle, Birleşik Krallık NIS Yönetmelikleri Brexit sonrasında da geçerli ve bağlayıcıdır.

Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 aşağıdakilere uygulanır:

Temel Hizmet Operatörleri (OES): Enerji, bankacılık, ulaşım, sağlık, su ve dijital altyapı gibi sektörlerde faaliyet gösteren kuruluşlar.

Dijital Hizmet Sağlayıcıları (DSP): Çevrimiçi arama motorları, çevrimiçi pazar yerleri ve bulut bilişim hizmeti sağlayıcıları bu kapsama girer.

Bu yönetmelikler, aşağıdaki koşulları karşılayan DSP’lere uygulanır:

• En az bir hizmet sunuyor olması: çevrimiçi arama motoru, çevrimiçi pazar yeri veya bulut bilişim hizmeti,
• Mikro veya küçük işletme tanımına girmemesi, yani 50 veya daha fazla çalışanı bulunması ve yıllık cirosunun veya bilanço toplamının 10 milyon euroyu aşması.

DSP’nin merkez ofisi Birleşik Krallık dışında bulunuyorsa, bu düzenlemelere uymak için Birleşik Krallık’ta yerleşik bir temsilci ataması gerekmektedir.

Bu düzenlemeler, ilgili kuruluşların güçlü güvenlik önlemleri uygulamasını ve önemli olayları bildirmesini zorunlu kılarak Birleşik Krallık genelinde kritik hizmetlerin güvenliğini ve dayanıklılığını korumayı amaçlar.

Bir Dijital Hizmet Sağlayıcısı (DSP), Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 kapsamına giren dijital hizmetler sunan herhangi bir tüzel kişiliktir. Ancak tüm dijital hizmetlerin bu yükümlülüklere tabi olmadığını belirtmek önemlidir, yalnızca belirli hizmet türleri kapsama alınmıştır.

Çevrimiçi Pazar Yerleri: Çevrimiçi pazar yerleri, tüketiciler ile satıcıların çevrimiçi satış veya hizmet sözleşmeleri yapmasına olanak tanıyan platformlardır. Bu pazar yerleri, sözleşmenin sonuçlandığı nihai ortamı oluşturur. Örneğin, üçüncü taraf uygulama veya yazılımların dijital olarak dağıtılmasını sağlayan uygulama mağazaları çevrimiçi pazar yerleri olarak kabul edilir. Ancak yalnızca üçüncü taraf hizmetlere aracılık eden ve sözleşmenin bu hizmetler aracılığıyla sonuçlandığı çevrimiçi hizmetler bu kapsama dahil değildir.

Çevrimiçi Arama Motorları: Çevrimiçi arama motorları, kullanıcıların herhangi bir konuda web sitelerinde arama yapmasına olanak tanır. Tüm dillerde çalışan arama motorları bu kapsamdadır. Ancak belirli bir web sitesinin içeriğiyle sınırlı arama işlevleri, bu işlev harici bir arama motoru tarafından sağlansa bile, Birleşik Krallık NIS Yönetmelikleri kapsamına girmez. Ayrıca belirli ürün veya hizmetlerin fiyatlarını karşılaştırarak kullanıcıyı tercih ettiği satıcının sitesine yönlendiren hizmetler de kapsam dışıdır.

Bulut Bilişim Hizmetleri: Bulut bilişim hizmetleri, ağlar, sunucular, depolama alanları, uygulamalar ve hizmetler gibi ölçeklenebilir ve esnek paylaşılabilir bilişim kaynaklarına erişim sağlar. Bir hizmetin Birleşik Krallık NIS Yönetmelikleri kapsamında bulut bilişim hizmeti olarak kabul edilmesi için aşağıdaki üç özelliği taşıması gerekir:

• Ölçeklenebilir Kaynaklar: Kaynaklar, coğrafi konumdan bağımsız olarak talebe göre esnek biçimde tahsis edilebilir.
• Esnek Kaynak Havuzu: Kaynaklar talebe göre sağlanır ve serbest bırakılır; bu sayede iş yüküne bağlı olarak hızlı artış veya azalma sağlanabilir.
• Paylaşılabilirlik: Kaynaklar birden fazla kullanıcıya ortak erişimle sunulur, ancak her kullanıcı için veri işleme ayrı ayrı yürütülür.

Birleşik Krallık NIS Yönetmelikleri kapsamında Hizmet Olarak Altyapı (IaaS), Hizmet Olarak Platform (PaaS) ve Hizmet Olarak Yazılım (SaaS) gibi tüm iş modelleri kapsama dahildir. Ayrıca, ölçeklenebilir, esnek ve paylaşılabilir bilişim kaynaklarına erişim sağlayan hibrit modeller ve benzer varyasyonlar da bu kapsama girer.

Muafiyetler: Küçük ve Mikro İşletmeler
Birleşik Krallık NIS Yönetmelikleri kapsamında mikro ve küçük işletmeler genel olarak muaf tutulur.
Eğer dijital hizmet sağlayıcınızın:

• 50’den az çalışanı varsa ve
• Yıllık cirosu ve/veya bilanço toplamı 10 milyon euronun altındaysa,

DSP olarak sınıflandırılmazsınız ve NIS yükümlülüklerinden muaftır.
Bu muafiyet bireysel girişimleri (sole traders) de kapsar. Ancak, hizmetiniz daha büyük bir grubun parçasıysa, toplam çalışan sayısı ve mali eşiklerin grup düzeyinde bu sınırları aşıp aşmadığını değerlendirmeniz gerekir.

Şirketinizin Birleşik Krallık’ta hizmet sunup sunmadığını belirlemek, hedeflemeyi planladığınız pazarların değerlendirilmesini gerektirir. Yalnızca İngilizce erişilebilir bir web sitesine sahip olmak bu niyeti göstermek için yeterli değildir. Bunun yerine aşağıdaki unsurlar dikkate alınmalıdır:

• Birleşik Krallık’a Özgü Dil veya Para Birimi Kullanımı: Hizmetlerin GBP üzerinden fiyatlandırılması veya içeriğin İngiliz İngilizcesine uyarlanması, Birleşik Krallık müşterilerini hedeflediğinizi gösterir.
• Sipariş İmkanları: Birleşik Krallık pazarına özel olarak tasarlanmış sipariş veya hizmet erişimi sunmak, ülkede hizmet sağladığınızı gösterir.
• Pazarlama ve Hedefleme Faaliyetleri: Pazarlama kampanyalarının Birleşik Krallık’a yönelik yürütülmesi veya Birleşik Krallık’ta müşteri desteği sağlanması, bölgeye hizmet sunulduğunun güçlü göstergeleridir.

Evet, bazı muafiyetler vardır. Şirketinizin Birleşik Krallık’ta bir merkezi bulunmuyorsa ancak Birleşik Krallık içinde dijital hizmetler sunuyorsa, genel olarak Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 uyarınca bir Birleşik Krallık NIS temsilcisi atamanız gerekir. Ancak bu yükümlülük aşağıdaki durumlarda uygulanmaz:

• Küçük işletmeler: 50’den az çalışanı olan ve yıllık cirosu ve/veya bilanço toplamı 10 milyon euroyu geçmeyen şirketler.
• Mikro işletmeler: 10’dan az çalışanı olan ve yıllık cirosu ve/veya bilanço toplamı 2 milyon euroyu geçmeyen şirketler.

Dolayısıyla, şirketinizin 50’den az çalışanı varsa ve yıllık ciro ve/veya bilanço toplamı 10 milyon euronun altındaysa, Birleşik Krallık NIS temsilcisi atama zorunluluğundan muaftır.

According to the UK Network and Information Systems (NIS) Regulations 2018, Digital Service Providers (DSPs) have several key obligations to ensure the security and resilience of their network and information systems when providing services in the United Kingdom:

Technical and Organisational Measures
DSPs must identify and implement appropriate and proportionate technical and organisational measures to manage risks to the security of their network and information systems.

These measures should include:

• Managing threats: Address risks that could compromise the integrity, accuracy, or confidentiality of data and services.
• Proportionality: Measures must be proportionate to the potential impact of the risk, taking into account the state of the art and implementation costs.
• Preventive actions: Include steps to prevent cybersecurity incidents wherever possible.

Incident Management and Impact Minimisation
DSPs must:

• Prevent incidents: Take steps to avoid incidents that could compromise the security of network and information systems.
• Minimise impact: Implement measures to reduce the impact of any incident and ensure the continuity of digital services.
• Recovery plans: Develop and maintain incident response and recovery plans to restore services quickly.

Incident Reporting
DSPs must notify the relevant authorities when an incident occurs that significantly affects the provision of their services in the UK:

• Notification obligation: Report incidents without undue delay to the Information Commissioner’s Office (ICO).
• Content of the notification: Provide the ICO with sufficient information about the nature, impact, and remedial actions taken to assess the significance of the incident.
• Cooperation: Work with the ICO and the National Cyber Security Centre (NCSC) during investigations and incident management as required.

Appointment of a UK Representative
Under the UK NIS Regulations, organisations offering services in the UK but not established there must appoint a UK NIS representative to ensure compliance. This representative is responsible for:

• Acting as the point of contact for the ICO and other relevant UK authorities.
• Ensuring the DSP meets all obligations under the UK NIS Regulations.
• Being accessible to UK authorities in connection with any investigation or enforcement action.

Şirketiniz bir Dijital Hizmet Sağlayıcısı (DSP) ise ve ilgili eşik değerleri aşıyorsa, hangi yasanın uygulanacağı Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 uyarınca şirketinizin nerede kurulu olduğuna ve hizmetlerinizi nerede sunduğunuza bağlıdır:

• Şirketinizin merkez ofisi Birleşik Krallık’taysa: Birleşik Krallık NIS Yönetmelikleri 2018’e tabisiniz.
• Şirketinizin merkez ofisi Birleşik Krallık’ta değil ancak orada hizmet sunuyorsa: Birleşik Krallık NIS Yönetmelikleri 2018’e tabisiniz ve Birleşik Krallık’ta sizin adınıza hareket edecek bir temsilci atamanız gerekir.

Her iki durumda da şirketiniz uygun güvenlik önlemlerini uygulayarak ve tüm bildirim yükümlülüklerini yerine getirerek Birleşik Krallık NIS Yönetmeliklerine uymakla yükümlüdür.

Şirketiniz bir Dijital Hizmet Sağlayıcısı (DSP) ise, merkez ofisi Birleşik Krallık’ta bulunmuyor ancak Birleşik Krallık içinde belirli dijital hizmetler sunuyorsa, Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 uyarınca bir Birleşik Krallık temsilcisi atamanız gerekir.

Yönetmeliklere göre:

• Temsilci Atama: Merkez ofisi Birleşik Krallık’ta olmayan ancak burada belirli dijital hizmetler sunan şirketler, Birleşik Krallık’ta yerleşik bir temsilci atamak zorundadır. Bu temsilci, şirketiniz adına hareket ederek Birleşik Krallık NIS Yönetmeliklerine uyumu sağlar.
• Brexit’in Etkisi: Brexit sonrasında, Avrupa Birliği (AB) Birleşik Krallık açısından artık “üçüncü ülke” olarak kabul edilmektedir. Bu nedenle, AB merkezli olup Birleşik Krallık’ta hizmet sunan ancak burada merkez ofisi bulunmayan şirketlerin bir Birleşik Krallık temsilcisi ataması gerekir.

Temsilcinin Rolü:

• Şirketiniz adına Birleşik Krallık NIS Yönetmeliklerine uyumdan sorumludur.
• İlgili Birleşik Krallık otoriteleri için iletişim noktası görevi görür.

Bir Birleşik Krallık temsilcisi atayarak, şirketiniz Birleşik Krallık NIS Yönetmeliklerine uyumu güvence altına alır ve Birleşik Krallık’taki ağ ve bilgi sistemlerinin güvenliğine ve dayanıklılığına katkıda bulunur.

Şirketiniz bir Dijital Hizmet Sağlayıcısı (DSP) ise, merkez ofisi Birleşik Krallık’ta bulunmuyor ancak Birleşik Krallık içinde dijital hizmetler sunuyorsa, Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 uyarınca Birleşik Krallık’ta bir temsilci atamanız gerekir. Birleşik Krallık NIS temsilcisi atamak için gereken koşullar şunlardır:

• Yazılı Onay: Bilgi Komiserliği Ofisi’ne (ICO) kayıt işlemini tamamladıktan sonra Birleşik Krallık temsilcinizin atamasını yazılı olarak onaylamanız gerekir.
• Temsilcinin Uyum Yükümlülüğü: Temsilciniz, Birleşik Krallık yasalarına uygun şekilde hareket etmeli ve Birleşik Krallık NIS Yönetmelikleri kapsamındaki yasal yükümlülüklerinizi (örneğin olay bildirimi gibi) sizin adınıza yerine getirmelidir.
• Erişilebilirlik: Temsilci, ICO ve Ulusal Siber Güvenlik Merkezi (NCSC) tarafından kolaylıkla ulaşılabilir olmalıdır.

Birleşik Krallık temsilcinizi atarken ICO’ya şu bilgileri sağlamanız gerekir:

• Şirketinizin Merkez Ofisi: Merkez ofisinizin Birleşik Krallık dışında bulunup bulunmadığı.
• Diğer Temsilciler: Başka bir ülkede temsilci atayıp atamadığınız.
• Diğer Mevzuatlara Uyum: Başka bir ülkede benzer ağ ve bilgi sistemleri mevzuatına uyup uymadığınız.
• Sistemlerin Konumu: Birleşik Krallık dışında ağ ve bilgi sistemleri işletip işletmediğiniz.

Bu bilgileri sağlamak, ICO’nun şirketinizin yapısını anlamasına ve etkili iletişim kurulmasına yardımcı olur. Birleşik Krallık’ta bir temsilci atamak, şirketinizin Birleşik Krallık NIS Yönetmeliklerine uyumunu güvence altına alır ve ülkedeki kritik dijital hizmetlerin güvenliği ile dayanıklılığına katkıda bulunur.

Şirketinizin ne Avrupa Birliği’nde ne de Birleşik Krallık’ta bir merkezi bulunmuyorsa ancak her iki bölgede de kişilere hizmet sunuyorsa, hem AB’de hem de Birleşik Krallık’ta birer temsilci atamanız gerekir. Bu, bir yandan AB mevzuatına ve üye devletlerdeki uygulamalarına, diğer yandan Birleşik Krallık mevzuatına tam uyum sağlamak için zorunludur.

AB temsilcinizin, hizmet sunduğunuz üye devletlerden birinde yerleşik olması gerekir. Birleşik Krallık temsilciniz ise Birleşik Krallık’ta yerleşik olmalıdır.

Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 kapsamında, yükümlülüklerini yerine getirmeyen kuruluşlar ciddi para cezalarıyla karşılaşabilir. Uyumsuzluk durumunda şirketler 17 milyon sterline kadar para cezasına çarptırılabilir. Cezanın miktarı; ihlalin ciddiyetine, ihmalkarlığın derecesine ve ağ ile bilgi sistemlerinin güvenliği üzerindeki potansiyel etkiye bağlı olarak belirlenir.

Gerekli olduğu halde bir Birleşik Krallık NIS temsilcisi atamamak da ciddi bir ihlaldir. Birleşik Krallık’ta faaliyet gösteren ancak merkez ofisi ülkede bulunmayan kuruluşların, yönetmeliklere uyumu sağlamak için bir Birleşik Krallık NIS temsilcisi ataması zorunludur.

Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 kapsamında bir temsilci atanırken, Dijital Hizmet Sağlayıcısının (DSP) temsilciyi yazılı bir yetki belgesiyle açıkça görevlendirmesi gerekir. Bu temsilcinin Birleşik Krallık’ta yerleşik olması ve Bilgi Komiserliği Ofisi (ICO) ile Ulusal Siber Güvenlik Merkezi (NCSC) gibi ilgili otoriteler tarafından kolaylıkla erişilebilir bir yerel irtibat noktası olarak görev yapması gerekir.

Temsilci, DSP adına hareket eder ve Birleşik Krallık NIS Yönetmelikleri kapsamındaki tüm yasal yükümlülüklerden -olay bildirimi ve otoritelerle iletişim dahil olmak üzere- sorumludur. Birleşik Krallık yasalarına uygun hareket etmeli, uyumlulukla ilgili her türlü soruşturma veya talepte otoritelerle iş birliği yapmalıdır.

Birleşik Krallık’ta merkez ofisi bulunmayan Dijital Hizmet Sağlayıcıları, bir Birleşik Krallık NIS temsilcisi atayarak yasal yükümlülüklerini yerine getirir ve ülkedeki ağ ile bilgi sistemlerinin güvenliği ve dayanıklılığına katkıda bulunur.

Prighter, uçtan uca dijital bir onboarding süreci sunarak bu gerekliliklere tam uyum sağlar. Bu süreçte bir vekaletname (Power of Attorney) oluşturulur ve hem çevrimiçi hem de fiziksel olarak imzalanabilir. Prighter, Bilgi Komiserliği Ofisi (ICO) ve Ulusal Siber Güvenlik Merkezi (NCSC) gibi ilgili Birleşik Krallık otoriteleriyle özel iletişim kanalları sağlayarak, şirketiniz adına hareket eder. Bu kapsamda, Birleşik Krallık Ağ ve Bilgi Sistemleri (NIS) Yönetmelikleri 2018 uyarınca olay bildirimleri ve otoritelerle iletişim dahil tüm yasal yükümlülüklerinizi yerine getirmenizi sağlar.