NIS Representation AB ve İngiltere FAQ

Question 1

NIS, Birleşik Krallık'ta hala uygulanabilir mi?

Accepted Answer

GDPR'ın aksine, NIS Direktifi tüm Üye Devletlerde doğrudan uygulanabilir değildir, bunun yerine tüm Üye Devletler tarafından ulusal hukuka aktarılması gerekir. Dolayısıyla, NIS yasası Avrupa yasal gerekliliklerine dayanmasına rağmen, ulusal İngiltere hukukunda belirtilmiştir, bu nedenle Brexit geçerliliğini etkilememiştir. Geçiş döneminden sonra da geçerli olacağını söyleyebiliriz.

Question 2

NIS'e kimler uymalıdır?

Accepted Answer

Ağ ve Bilgi Sistemleri Güvenliği Direktifi (NISD), ağ ve bilgi sistemleri için daha yüksek, AB'yi kapsayacak ortak bir güvenlik standardına ulaşmayı amaçlamaktadır. Bu gösteriyor ki:

- Temel Hizmet Operatörleri (OES) ör. enerji, bankacılık, ulaşım vb. sektörlerde; ve
- Üç gruba ayrılan Dijital Hizmet Sağlayıcıları (DSP'ler): çevrimiçi arama motorları, çevrimiçi pazar yerleri ve bulut bilişim hizmetleri.

Bu şu ''Dijital Servis Sağlayıcıları'' için geçerlidir

- AB'de bir kuruluşa sahip olan
- AB dışında yerleşik olup, hizmetlerini AB içinde sunan

Question 3

Dijital Servis Sağlayıcı ne demektir?

Accepted Answer

Dijital Hizmet Sağlayıcısı, dijital hizmet sunan herhangi bir tüzel kişidir. Tüm dijital hizmetlerin NISD kapsamındaki yükümlülüklerden etkilenmediği, yalnızca belirli hizmetlerin etkilendiği unutulmamalıdır.

**Çevrimiçi Pazarlar:** An online marketplace is a spot that allows consumers and traders to conduct online sales or service contracts with traders, and which function as the final destination for the conclusion of those contracts. Application stores, which operate as online stores enabling the digital distribution of applications or software programs from third parties, are a type of online marketplace.

Terim, yalnızca bir sözleşmenin nihai olarak sonuçlandırılabileceği üçüncü taraf hizmetlerine aracı olarak işlev gören çevrimiçi hizmetleri içermez.

**Çevrimiçi Arama Motorları:** An online search engine allows the user to perform searches of websites based on a query on any subject. It can also be focused on websites in certain languages.

Belirli bir web sitesinin içeriğiyle sınırlı olan arama işlevleri, işlev harici bir arama motoru tarafından sağlanmış olsa bile, NIS Yönergesi'ne dahil değildir. Farklı tüccarlardan belirli ürünlerin veya hizmetlerin fiyatını karşılaştıran ve ardından kullanıcıyı ürünü satın almak için tercih edilen tüccara yönlendiren çevrimiçi hizmetler de dahil değildir.

**Bulut Bilişim Hizmetleri:** Cloud computing services allow access to a scalable and elastic pool of shareable computing resources such as networks, servers or other infrastructure, storage, applications, and services. The NISD mentions three properties that a cloud computing service must have in order to be qualified as a cloud service:

- **Scalable Kaynaklar:** Resources can be flexibly allocated by the cloud services provider, irrespective of the geographical location of the resources, in order to handle fluctuations in demand; and
- **Elastic Pool of Kaynaklar:** Computing resources that are provisioned and released according to demand to rapidly increase and decrease resources available depending on workload; and
- **Paylaşılabilir:** Computing resources are provided to multiple users who share a common access to the service, but the processing is carried out separately for each user even though the service is provided from the same electronic equipment.

IaaS (Hizmet Olarak Altyapı), PaaS (Hizmet Olarak Platform) veya SaaS (Hizmet Olarak Yazılım) gibi farklı iş modelleri NISD'ye dahildir.

Question 4

Şirketim AB veya Birleşik Krallık'ta hizmet sunuyor mu?

Accepted Answer

Bir şirketin hizmetlerini AB'de mi yoksa Birleşik Krallık'ta mı sunacağını belirlerken önemli olan bilgi, şirketin hizmetlerini hangi pazarlara sunmayı planladığıdır. Niyeti belirlemek için farklı faktörler dikkate alınır. Dijital Hizmet Sağlayıcının (DSP) veya bir aracının web sitesinin yalnızca erişilebilirliği veya DSP'nin kurulduğu bölgede genellikle kullanılan bir dilin kullanılması, bu tür bir amacı belirlemek için yetersizdir. Bunun yerine, bir veya daha fazla Üye Devlette veya Birleşik Krallık'ta genel olarak kullanılan bir dil veya para biriminin kullanımı ve bu diğer dilde hizmet sipariş etme olasılığı gibi faktörler, DSP'nin hizmetlerini kendi ana kuruluşunun olmadığı bir bölgede sunuyor ise önem teşkil eder.

Question 5

Bu yükümlülükten muaf olmak mümkün mü?

Accepted Answer

Şirketinizin AB veya Birleşik Krallık'ta kuruluşu yoksa ancak söz konusu dijital hizmetleri bu bölgelerde sunuyorsa, genellikle bir NIS temsilcisi atama zorunluluğu vardır.

Ancak, bir temsilci atama yükümlülüğü, belirli bir şirket büyüklüğünü aşmayan şirketler için geçerli değildir. Hariç tutulanlar:

- **Küçük İşletmeler**, which are defined as enterprises which employ less than 50 persons and whose annual turnover and/or annual balance sheet total does not exceed 10 million; and
- **Mikro Girişimler**, which are defined as enterprises which employ less than 10 persons and whose annual turnover and/or annual balance sheet total does not exceed 2 million

Sonuç olarak, bu, şirketinizin 50'den az çalışanı varsa ve yıllık ciro ve / veya yıllık bilanço toplamı 10 milyondan azsa, bir temsilci atamanıza gerek olmadığı anlamına gelir.

Question 6

NIS Direktifi kapsamında Dijital Servis Sağlayıcılarının temel yükümlülükler neler olarak belirlenmiştir?

Accepted Answer

Veri Sahibi Talepleri (DSP) söz konusu olduğunda, temel yükümlülükler NIS Direktifinin 16. Maddesinde belirtilmiştir:

- **Teknik ve Organizasyonel Önlemler:** DSPs must identify and take appropriate and proportionate technical and organisational measures to manage risks posed to the security of network and information systems which they use in the context of offering their services within the EU and UK.
- **Etki Minimizasyonu:** DSPs must take measures to prevent and minimise the impact of incidents affecting the security of their network and information systems.
- **Raporlama Yükümlülüğü / Temsilcisi:** DSPs must notify the relevant authority or the CSIRT when an incident occurs that has a substantial impact on the provision of their service offered in the EU or UK. In the event that a company does not have an establishment in the EU it will need to appoint a representative who acts on behalf of the company.

Question 7

Hangi NIS yasasına uymam gerekiyor?

Accepted Answer

Tüm Üye Devletlerde geçerli olan bir kanun olan GDPR'dan farklı olarak, NISD her AB Üye Devleti ve Birleşik Krallık tarafından kendi ulusal kanunlarında ayrı ayrı uygulanmıştır. Şirketiniz için hangi ulusal yasanın geçerli olduğu, her zaman şirketinizin bir DSP olduğu ve ilgili eşikleri aştığı varsayılarak aşağıdaki şekilde belirlenir:

- If your company has one or more establishments within the EU then your company is governed by the jurisdiction of the Member State in which it has its main establishment (i.e. where your Merkez Ofis is);
- Şirketinizin ana kuruluşu İngiltere'de bulunuyorsa, şirketiniz için Ağ ve Bilgi Sistemleri Yönetmelikleri (2018) geçerlidir;
- AB içinde yerleşik değilseniz, ancak hizmetlerinizi AB içinde sunuyorsanız, hizmetlerinizi sunduğunuz bir Üye Devlette yerleşik bir temsilci atamanız gerekecektir. Daha sonra şirketiniz, temsilcinin yerleşik olduğu Üye Devletin yargı yetkisi altında kabul edilir;
- Birleşik Krallık'ta yerleşik değilseniz ancak hizmetlerinizi orada sunuyorsanız, Birleşik Krallık yargı yetkisi altında olacak Birleşik Krallık'ta bir temsilci atamanız gerekecektir.

Question 8

Şirketimizin AB'de Madde 18 NIS Direktifi temsilcisi ataması gerekiyor mu?

Accepted Answer

NIS Direktifi Madde 18 (2) 'ye göre (ve ulusal hukuktaki çoğu aktarıma göre), Dijital Hizmet Sağlayıcıları;

- AB'de yerleşik değiller; ve
- AB içinde belirli dijital hizmetler sunuyorlar ise

AB'de hizmetlerin sunulduğu Üye Devletlerden birinde yerleşik bir temsilci atamalılar.

Brexit'ten sonra İngiltere, AB perspektifinden “üçüncü ülke” olarak değerlendirilmeye başlandı. Bu nedenle, Birleşik Krallık'taki bir kuruluş artık "Üye Devletteki bir kuruluş" olarak sayılmamaktadır. Sonuç olarak, AB'de kurulu olmayan Birleşik Krallık merkezli bir şirketseniz ve orada hizmetlerinizi sunuyorsanız, AB'de bir Madde 18 temsilcisi atamanız gerekecektir.

Question 9

Şirketimizin bir İngiltere temsilcisine ihtiyacı var mı?

Accepted Answer

İngiltere hükümeti, kuruluşların

- Birleşik Krallık dışında yerleşik; ve
- offering their services in the UK

Birleşik Krallık NIS yönetmeliklerine uyacak ve 2021 Mart ayı sonuna kadar Birleşik Krallık'ta bir temsilci atamak zorunda kalacak.

Bununla birlikte, Birleşik Krallık yasası küçük şirketler için muafiyetler sağlamaktadır. Şirketiniz 50'den az kişi çalıştırıyorsa ve yıllık cirosu ve / veya bilançosu 10 milyon Euro'nun altındaysa, Birleşik Krallık'ta bir temsilci atamanız gerekmeyecektir.

Kaynaklar: [ICO: NIS kılavuzu](https://ico.org.uk/for-organisations/the-guide-to-nis/key-concepts-and-definitions/) / [NIS Yönetmelikleri - Birleşik Krallık'ta faaliyet gösteren Birleşik Krallık dışındaki Dijital Servis Sağlayıcıları](https://www.gov.uk/guidance/nis-regulations-what-non-uk-digital-service-providers-operating-in-the-uk-should-do-from-1-january-2021)

Question 10

Birleşik Krallık temsilcisi atamanın şartları nelerdir?

Accepted Answer

Bilgi Komisyonu Ofisi (ICO) tarafından sağlanan kayıt sürecini tamamladıktan sonra temsilcinizin atamasını yazılı olarak onaylamanız gerekecektir. Temsilcinizin Birleşik Krallık yasalarına uyması ve ICO veya NCSC tarafından temasa geçilebilir olması gerekir. Ayrıca, olay bildirimi dahil olmak üzere Birleşik Krallık NIS yasası kapsamındaki yasal yükümlülüklerinizi yerine getirmek için sizin adınıza hareket edeceklerdir.

İngiltere temsilcinizi aday gösterirken, ICO'ya şunları söylemelisiniz:

- Have a Merkez Ofis in an EU Member State;
- Bir AB Üye Devletinde bir temsilci atamış olmak;
- Başka bir ülkedeki eşdeğer mevzuata uyuyorlarsa;
- Birleşik Krallık dışında bulunan işletim ağı ve bilgi sistemleridir.

Kaynaklar: [NIS Yönetmelikleri - Birleşik Krallık'ta faaliyet gösteren Birleşik Krallık dışındaki Dijital Servis Sağlayıcıları](https://www.gov.uk/guidance/nis-regulations-what-non-uk-digital-service-providers-operating-in-the-uk-should-do-from-1-january-2021)

Question 11

AB ve Birleşik Krallık dışında yerleşik şirketlerin şimdi iki temsilciye mi ihtiyacı olacak?

Accepted Answer

Şirketinizin ne AB'de ne de Birleşik Krallık'ta bir kuruluşu yoksa, ancak hizmetlerini her iki bölgedeki kişilere de sunuyorsa, ilgili tüm mevzuata uymak için hem bir AB hem de bir İngiltere temsilcisi atamanız gerekecektir. Bir yandan AB hukuku ve Üye Devletlerde uygulanması, diğer yandan İngiltere hukukuna uyum sağlanması adına lütfen AB temsilcinizin hizmetlerinizin sunulduğu Üye Devletlerden birinde yerleşik olması gerektiğini unutmayın. Birleşik Krallık temsilciniz de Birleşik Krallık'ta yerleşik olmalıdır.

Question 12

AB içinde hizmetler sunuyorum ve Brexit'ten önce Birleşik Krallık'ta yerleşik bir Madde 18 temsilcisi atadım. Şimdi ne yapmalıyım?

Accepted Answer

Birleşik Krallık'taki temsilciniz Brexit'ten sonra artık AB temsilciliğini kapsamayacağından, hizmetlerinizin sunulduğu AB Üye Devletlerinden birinde yerleşik ek bir temsilci atamanız gerekecektir.

Question 13

Uyumsuzluğun olası sonuçları nelerdir?

Accepted Answer

NIS kanunu, her Üye Devlette farklı şekilde uygulanan bir AB direktifine dayandığından, evrensel bir ceza miktarı yoktur. Örneğin, Birleşik Krallık'ta uyumlu olmayan şirketler 17.000.000 GBP'ye kadar para cezasına çarptırılabilirken, Avusturya'da cezalar 50.000 EUR'dur ve tekrarlanan suçlarda 100.000 EUR'ya kadar çıkabilir.

Ayrıca, bir NIS temsilcisi atamamanın cezaları her Üye Devlette farklılık gösterir. Örneğin Çek Cumhuriyeti'nde, şirketlere bir AB temsilcisi atayamadıkları için 40.000 Euro'ya kadar para cezası verilebilir.

Question 14

Bir temsilci atarken genel gereksinimler nelerdir ve temsilcinin yükümlülükleri nelerdir?

Accepted Answer

Temsilci, Dijital Hizmet Sağlayıcı tarafından yazılı bir yetki ile açıkça belirlenmelidir.

Temsilci yerel bir irtibat noktası olarak hareket edeceğinden, ilgili makamların veya Bilgisayar Güvenliği Olay Müdahale Ekibinin (CSIRT) temsilciyle iletişim kurması mümkün olmalıdır. Temsilci, olay bildirimi de dahil olmak üzere NIS yasası kapsamındaki yasal yükümlülüklerle ilgili olarak DSP adına hareket eder. Temsilcinin, kuruldukları yerin yerel ulusal kanunlarına uyması gerekecektir.

Question 15

Prighter bu gereksinimlere nasıl uyuyor?

Accepted Answer

Prighter kayıt sürecini uçtan uca dijital olarak tamamlanabilir hale getirmiş, vekaletnamenizi çevrimiçi olduğu gibi basılı olarakta imzalamanıza olanak sunmuştur.

Prighter, ilgili veri koruma yetkilileriyle özel iletişim kanalları sağlar.

Şirketimin bir NIS-Temsilcisine ihtiyacı var mı?

Features and Services

Your all in one NIS-Representation

NIS yetkilisi ve CSIRT için Tek Noktadan İletişim

Kayıt

Teknoloji ile geliştirilmiş NIS Temsili

Raporlama

Get NIS Ready

Tech Enabled

Gain Trust