NIS Temsilciliği AB SSS

Question 1

NIS'e kimler uymak zorundadır?

Accepted Answer

Ağ ve Bilgi Sistemlerinin Güvenliğine ilişkin Direktif (NIS2), AB'deki temel ve önemli sektörlerde siber güvenliğin geliştirilmesi amacıyla orijinal NIS 1'i güncelleyerek kapsamını daha fazla sektörü kapsayacak şekilde genişletmiş ve daha katı gereklilikler getirmiştir. Adresler:

- Enerji, bankacılık, ulaştırma, dijital altyapı, ICT hizmet yönetimi (B2B) sektörleri gibi Temel Hizmet Operatörleri (OES); ve
- Posta hizmetleri, atık yönetimi, araştırma, dijital sağlayıcılar gibi Önemli Hizmetlerin Operatörleri.

Aşağıdaki şirketler için geçerlidir

- eşikleri karşılamak
- AB'de bir kuruluşa sahip olmak
- AB dışında kurulmuştur ancak hizmetlerini AB içinde sunmaktadır.

Question 2

Dijital Hizmet Sağlayıcı nedir?

Accepted Answer

Dijital Hizmet Sağlayıcı, dijital bir hizmet sunan herhangi bir tüzel kişidir.

**Çevrimiçi Pazar Yerleri:** Çevrimiçi pazar yeri, tüketicilerin ve tüccarların tüccarlarla çevrimiçi satış veya hizmet sözleşmeleri yapmasına olanak tanıyan ve bu sözleşmelerin sonuçlandırılması için nihai hedef olarak işlev gören bir yerdir. Üçüncü taraflardan gelen uygulamaların veya yazılım programlarının dijital dağıtımını sağlayan çevrimiçi mağazalar olarak faaliyet gösteren uygulama mağazaları bir tür çevrimiçi pazaryeridir. Bu terim, yalnızca bir sözleşmenin nihai olarak sonuçlandırılabileceği üçüncü taraf hizmetlerine aracılık eden çevrimiçi hizmetleri içermez.

**Çevrimiçi Arama Motorları:** Bir çevrimiçi arama motoru, kullanıcının herhangi bir konudaki bir sorguya dayalı olarak web sitelerinde arama yapmasına olanak tanır. Belirli dillerdeki web sitelerine de odaklanılabilir. Belirli bir web sitesinin içeriğiyle sınırlı olan arama işlevleri, işlev harici bir arama motoru tarafından sağlansa bile, NIS-Direktifine dahil değildir. Farklı tüccarlardan belirli ürün veya hizmetlerin fiyatlarını karşılaştıran ve daha sonra kullanıcıyı ürünü satın almak için tercih edilen tüccara yönlendiren çevrimiçi hizmetler de dahil değildir.

**Sosyal ağ platformu sağlayıcıları:** Bir sosyal ağ platformu, son kullanıcıların, özellikle sohbetler, gönderiler, videolar ve öneriler aracılığıyla, birden fazla cihaz üzerinden birbirleriyle bağlantı kurmasını, paylaşmasını, keşfetmesini ve iletişim kurmasını sağlar.

Question 3

Dijital Altyapı Sektörüne neler giriyor?

Accepted Answer

## İnternet Değişim Noktası sağlayıcıları

İkiden fazla bağımsız ağın (otonom sistem), öncelikle internet trafiğinin değişimini kolaylaştırmak amacıyla birbirine bağlanmasını sağlayan, sadece otonom sistemler için ara bağlantı sağlayan ve herhangi bir katılımcı otonom sistem çifti arasında geçen internet trafiğinin herhangi bir üçüncü otonom sistemden geçmesini gerektirmeyen veya bu trafiği değiştirmeyen veya başka bir şekilde müdahale etmeyen bir ağ tesisidir

## Kök ad sunucularının operatörleri hariç olmak üzere DNS hizmet sağlayıcıları

Sağlayan bir kuruluştur:

- İnternet son kullanıcıları için kamuya açık özyinelemeli alan adı çözümleme hizmetleri; veya
- Kök ad sunucuları hariç olmak üzere, üçüncü taraf kullanımı için yetkili bir alan adı çözümleme hizmetleri.

## TLD isim kayıtları

Belirli bir TLD'nin devredildiği ve TLD altındaki alan adlarının kaydı ve TLD'nin teknik işletimi dahil olmak üzere TLD'nin yönetiminden sorumlu olan, ad sunucularının işletimi, veritabanlarının bakımı ve TLD bölge dosyalarının ad sunucuları arasında dağıtımı dahil olmak üzere, bu işlemlerden herhangi birinin kuruluşun kendisi tarafından gerçekleştirilip gerçekleştirilmediğine veya dış kaynak kullanılıp kullanılmadığına bakılmaksızın, ancak TLD adlarının bir kayıt kuruluşu tarafından yalnızca kendi kullanımı için kullanıldığı durumlar hariç olmak üzere bir kuruluştur.

## Bulut bilişim hizmet sağlayıcıları

Bulut bilişim hizmetleri ağlar, sunucular veya diğer altyapı, depolama, uygulamalar ve hizmetler gibi paylaşılabilir bilişim kaynaklarından oluşan ölçeklenebilir ve esnek bir havuza erişim sağlar. NISD, bir bulut bilişim hizmetinin bulut hizmeti olarak nitelendirilebilmesi için sahip olması gereken üç özellikten bahseder:

### Ölçeklenebilir Kaynaklar

Kaynakların coğrafi konumundan bağımsız olarak, talepteki dalgalanmaların üstesinden gelmek için kaynaklar bulut hizmetleri sağlayıcısı tarafından esnek bir şekilde tahsis edilebilir; ve

### Elastik Kaynak Havuzu

İş yüküne bağlı olarak mevcut kaynakları hızla artırmak ve azaltmak için talebe göre sağlanan ve serbest bırakılan bilgi işlem kaynakları; ve

### Paylaşılabilir

Bilgi işlem kaynakları, hizmete ortak bir erişimi paylaşan birden fazla kullanıcıya sağlanır, ancak hizmet aynı elektronik ekipmandan sağlansa bile işlem her kullanıcı için ayrı ayrı gerçekleştirilir.

IaaS (Hizmet Olarak Altyapı), PaaS (Hizmet Olarak Platform) veya SaaS (Hizmet Olarak Yazılım) gibi farklı iş modelleri NISD2'de yer almaktadır.

## Veri merkezi hizmet sağlayıcıları

Güç dağıtımı ve çevre kontrolü için tüm tesis ve altyapılarla birlikte veri depolama, işleme ve taşıma hizmetleri sağlayan BT ve ağ ekipmanlarının merkezi olarak barındırılması, birbirine bağlanması ve işletilmesine adanmış yapıları veya yapı gruplarını kapsayan bir hizmettir.

## İçerik dağıtım ağı sağlayıcıları

İçerik ve hizmet sağlayıcıları adına dijital içerik ve hizmetlerin internet kullanıcılarına yüksek kullanılabilirlik, erişilebilirlik veya hızlı bir şekilde sunulmasını sağlamak amacıyla coğrafi olarak dağıtılmış sunuculardan oluşan bir ağdır

## Hizmet sağlayıcılara güvenin

Elektronik imzaların, mühürlerin, zaman damgalarının, kayıtlı teslimat hizmetlerinin ve ilgili sertifikaların oluşturulmasını, doğrulanmasını ve onaylanmasını veya web sitesi kimlik doğrulaması için sertifikaların oluşturulmasını, doğrulanmasını ve onaylanmasını veya elektronik imzaların, mühürlerin veya ilgili sertifikaların korunmasını içeren ücret karşılığında elektronik hizmetler sunanlar.

## Kamuya açık elektronik iletişim ağları sağlayıcıları

Kalıcı bir altyapıya veya merkezi yönetim kapasitesine dayansın veya dayanmasın, bir iletim sistemi ve uygun olduğu hallerde, anahtarlama veya yönlendirme ekipmanı ve aktif olmayan ağ elemanları da dahil olmak üzere, sinyallerin tel, radyo, optik veya diğer elektromanyetik yollarla iletilmesine izin veren, uydu ağları, sabit (internet de dahil olmak üzere devre ve paket anahtarlamalı) ve mobil ağlar, sinyal iletmek amacıyla kullanıldıkları ölçüde elektrik kablo sistemleri, radyo ve televizyon yayıncılığı için kullanılan ağlar ve iletilen bilginin türüne bakılmaksızın kablolu televizyon ağları da dahil olmak üzere diğer kaynaklar.

## Kamuya açık elektronik iletişim hizmetleri sağlayıcıları

Normalde elektronik iletişim ağları üzerinden ücret karşılığında sağlanan bir hizmet olup, elektronik iletişim ağları ve hizmetleri kullanılarak iletilen içeriği sağlayan veya üzerinde editoryal kontrol uygulayan hizmetler hariç olmak üzere, aşağıdaki hizmet türlerini kapsar:

- İnternet erişim hizmeti
- Kişilerarası iletişim hizmeti; ve
- Makineden makineye hizmetlerin sağlanması ve yayıncılık için kullanılan iletim hizmetleri gibi tamamen veya esas olarak sinyallerin iletilmesinden oluşan hizmetler.

Question 4

ICT Hizmet Yönetimi (işletmeden işletmeye) Sektörüne neler giriyor?

Accepted Answer

**Yönetilen hizmet sağlayıcı:** Müşterilerin tesislerinde veya uzaktan yürütülen yardım veya aktif yönetim yoluyla BİT ürünlerinin, ağların, altyapının, uygulamaların veya diğer ağ ve bilgi sistemlerinin kurulumu, yönetimi, işletimi veya bakımı ile ilgili hizmetler sağlayan bir kuruluştur.

Yönetilen güvenlik sağlayıcısı: \*\*Siber güvenlik risk yönetimi ile ilgili faaliyetleri yürüten veya bu faaliyetler için yardım sağlayan yönetilen bir hizmet sağlayıcısıdır.

Question 5

Şirketim AB'de hizmet sunuyor mu?

Accepted Answer

Bir şirketin hizmetlerini AB içinde sunup sunmadığını belirlerken önemli olan bilgi, şirketin hizmetlerini hangi pazarlara sunmayı planladığıdır. Niyetin belirlenmesi için farklı faktörler göz önünde bulundurulur. Şirketin ya da aracının web sitesinin ya da e-posta adresinin ya da diğer iletişim bilgilerinin sadece erişilebilir olması ya da şirketin kurulu olduğu bölgede genel olarak kullanılan bir dilin kullanılması, bu niyeti tespit etmek için yeterli değildir. Bunun yerine, genellikle bir veya daha fazla Üye Devlette kullanılan bir dilin veya para biriminin kullanılması ve bu diğer dilde hizmet siparişi verme imkanı veya Birlik içinde bulunan müşterilerden veya kullanıcılardan bahsedilmesi gibi faktörler, kuruluşun hizmetlerini ana kuruluşunun bulunmadığı bir bölgede sunma niyetinde olduğunun bir göstergesi olabilir.

Question 6

Bu yükümlülükten herhangi bir muafiyet var mı?

Accepted Answer

Şirketinizin AB'de bir kuruluşu yoksa ancak söz konusu dijital hizmetleri bu bölgelerde sunuyorsanız, genellikle bir NIS temsilcisi atamak zorundasınız. Ancak, NIS2'ye uyma ve bir temsilci atama yükümlülüğü, belirli bir şirket büyüklüğünü aşmayan şirketler için geçerli değildir. Hariç tutulanlar şunlardır:

- 50'den az kişi çalıştıran ve yıllık cirosu ve/veya yıllık bilanço toplamı 10 milyonu aşmayan işletmeler olarak tanımlanan Küçük İşletmeler; ve
- 10'dan az kişi istihdam eden ve yıllık cirosu ve/veya yıllık bilanço toplamı 2 milyonu aşmayan işletmeler olarak tanımlanan mikro işletmeler

Sonuç olarak, bu, şirketinizin 50'den az çalışanı varsa ve yıllık ciro ve/veya yıllık bilanço toplamı 10 milyondan azsa, bir temsilci atamak zorunda olmadığınız anlamına gelir.

Question 7

NIS-Direktifi kapsamında kuruluşlar için temel yükümlülükler nelerdir?

Accepted Answer

NIS2 kapsamına giren kuruluşlar söz konusu olduğunda, başlıca yükümlülükler şunlardır:

- **Siber güvenlik risk yönetimi tedbirleri:** DSP'ler, AB içinde hizmetlerini sunma bağlamında kullandıkları ağ ve bilgi sistemlerinin güvenliğine yönelik riskleri yönetmek için uygun ve orantılı teknik ve organizasyonel önlemleri belirlemeli ve almalıdır.

- **Raporlama Yükümlülüğü:** Kuruluşların önemli bir siber güvenlik olayı durumunda belirli raporlama zaman çizelgelerini takip etmeleri gerekmektedir. Temel yükümlülükler şunlardır:

- Erken Uyarı: Önemli bir olaydan haberdar olduktan sonra 24 saat içinde, yasadışı eylemler içerip içermediğini veya sınır ötesi etkiye sahip olup olmadığını belirterek rapor verin.
    - Olay Bildirimi: İlk değerlendirmeyi, ciddiyeti, etkiyi ve mevcut tehlikeye girme göstergelerini sağlayan ayrıntılı bir olay bildirimini 72 saat içinde gönderin.
    - Ara Rapor: İlgili makamdan veya CSIRT'ten gelen talep üzerine durum güncellemeleri sağlayın.
    - Nihai Rapor: Bir ay içinde olay tanımını, kök nedenini, hafifletme önlemlerini ve potansiyel sınır ötesi etkiyi kapsayan ayrıntılı bir nihai rapor gönderin.

- Temsilci: AB'de yerleşik olmayan ancak AB içinde belirli hizmetler sunan kuruluşların, kuruluş adına hareket eden bir temsilci ataması gerekmektedir. Bu kuruluşlar şunları içerir:

- DNS hizmet sağlayıcıları
    - Üst düzey alan adı (TLD) kayıtları
    - Alan adı kayıt hizmetleri sağlayan kuruluşlar
    - Bulut bilişim hizmet sağlayıcıları
    - Veri merkezi hizmet sağlayıcıları
    - İçerik dağıtım ağı (CDN) sağlayıcıları
    - Yönetilen hizmet sağlayıcıları
    - Yönetilen güvenlik hizmeti sağlayıcıları
    - Çevrimiçi pazar yeri sağlayıcıları
    - Çevrimiçi arama motorları
    - Sosyal ağ hizmetleri platformları

Question 8

Hangi NIS yasasına uymak zorundayım?

Accepted Answer

Tüm Üye Devletlerde geçerli olan tek bir yasa olan GDPR'nin aksine, NIS2 her AB Üye Devleti tarafından kendi ulusal yasalarına ayrı ayrı uygulanmıştır. Şirketiniz için hangi ulusal yasanın geçerli olduğu, her zaman şirketinizin **temel veya önemli** bir **kuruluş** olduğu ve ilgili eşikleri aştığı varsayılarak aşağıdaki şekilde belirlenir:

- Şirketinizin AB içinde bir veya daha fazla kuruluşu varsa, şirketiniz ana kuruluşunun bulunduğu (yani merkez ofisinizin bulunduğu) Üye Devletin yargı yetkisine tabidir;
- AB içinde yerleşik değilseniz, ancak AB içinde **bir ICT Hizmet Yönetimi Sağlayıcısı, Dijital Altyapı Sağlayıcısı veya Dijital Hizmet Sağlayıcısı olarak** hizmet sunuyorsanız, hizmetlerinizi sunduğunuz bir Üye Devlette yerleşik bir temsilci atamanız gerekecektir. Bu durumda şirketiniz, temsilcinin kurulu olduğu Üye Devletin yargı yetkisi altında kabul edilir;

Question 9

Şirketimizin bir Madde 26 (3) NIS2-Direktifi temsilcisi ataması gerekiyor mu? 26 (3) NIS2-Direktifinin AB'deki temsilcisi?

Accepted Answer

NIS2 Yönergesinin 26 (3) Maddesine göre NIS2-Direktifinin 26 (3) Maddesine göre (ve ulusal hukuktaki çoğu aktarım), Dijital Hizmet Sağlayıcıları

- AB'de yerleşik olmayan; ve
- AB içinde belirli dijital hizmetler sunan şirketler, AB'de, hizmetlerin sunulduğu Üye Devletlerden birinde yerleşik bir temsilci atamalıdır.

Brexit'ten sonra Birleşik Krallık, AB açısından "üçüncü ülke" olarak kabul edilmektedir. Bu nedenle, Birleşik Krallık'taki bir kuruluş artık "bir Üye Devletteki kuruluş" olarak sayılmamaktadır. Sonuç olarak, AB'de bir kuruluşu olmayan Birleşik Krallık merkezli bir şirketseniz, ancak hizmetlerinizi orada sunuyorsanız, AB'de bir Madde 26 (3) atamanız gerekecektir. 26 (3) uyarınca AB'de bir yetkili atamanız gerekecektir.

Question 10

Uyumsuzluğun olası sonuçları nelerdir?

Accepted Answer

NIS2 yasası, her Üye Devlette farklı şekilde uygulanan bir AB direktifine dayandığından, evrensel bir ceza miktarı yoktur. **Ancak yasa, güvenlik önlemleri ve olay müdahaleleri uygulama gerekliliğine uyulmaması halinde Üye Devletler için bazı ceza çerçeveleri belirlemektedir. Yasa uyarınca, önemli kuruluşlar 10 milyon Euro'ya kadar veya dünya çapındaki toplam yıllık cirolarının %2'sine kadar para cezasına çarptırılabilir. Önemli kuruluşlar ise 7 milyon Avro'ya veya dünya çapındaki toplam yıllık cirolarının %1,4'üne kadar para cezasına çarptırılabilir.**

Question 11

Bir temsilci atarken genel şartlar nelerdir ve temsilcinin yükümlülükleri nelerdir?

Accepted Answer

Temsilci, Dijital Hizmet Sağlayıcıları, Dijital Altyapılar ve BİT Hizmet Yönetimleri tarafından yazılı bir talimatla açıkça belirlenmelidir. Temsilci yerel bir irtibat noktası olarak hareket edeceğinden, ilgili makamların veya Bilgisayar Güvenliği Olay Müdahale Ekibinin (CSIRT) temsilciyle irtibata geçmesi mümkün olmalıdır. Temsilci, olay raporlaması da dahil olmak üzere NIS yasası kapsamındaki yasal yükümlülükler konusunda DSP Sağlayıcıları adına hareket eder. Temsilci, kurulduğu yerin yerel ulusal yasalarına uymak zorundadır.

Question 12

Prighter bu gerekliliklere nasıl uyuyor?

Accepted Answer

Prighter, bir Vekaletnamenin oluşturulduğu ve çevrimiçi veya kağıt üzerinde imzalanabildiği uçtan uca bir dijital katılım sürecine sahiptir. Prighter, ilgili veri koruma yetkilileriyle özel iletişim kanalları sağlar.

Şirketimin bir NIS-Temsilcisine ihtiyacı var mı?

NIS'i Hazırlayın

Teknoloji Etkin

Güven Kazanın

Özellikler ve Hizmetler

Hepsi Bir Arada NIS-Temsilciliğiniz

NIS yetkilisi ve CSIRT için Tek Noktadan İletişim

Kayıt

Teknik açıdan geliştirilmiş NIS Temsilciliği

İnsidans raporlaması