Ağ ve Bilgi Sistemlerinin Güvenliği Direktifi (NIS2), AB'deki temel ve önemli sektörlerde siber güvenliği iyileştirmek için orijinal NIS 1'i günceller, kapsamını daha fazla endüstriye genişletir ve daha sıkı gereksinimler getirir.

Aşağıdakilere değinir:

• Temel Hizmet Operatörleri (OES) örneğin enerji, bankacılık, ulaşım, dijital altyapı, B2B ICT hizmet yönetimi sektörleri; ve
• Önemli Hizmet Operatörleri örneğin posta hizmetleri, atık yönetimi, araştırma, dijital sağlayıcılar.

Şirketlere uygulanır ki:

• Eşik değerlerini karşılar
• AB'de bir tesisi bulunur
• AB dışında kurulu olmalarına rağmen hizmetlerini AB içinde sunmaktadırlar.

Bir Dijital Hizmet Sağlayıcı, bir dijital hizmet sunan herhangi bir tüzel kişiliktir.

• Çevrimiçi Pazar Yerleri: Bir çevrimiçi pazar yeri, satışları veya sözleşmeleri kolaylaştıran bir platformdur (ör. uygulama mağazaları). Terim, yalnızca üçüncü taraf hizmetlerine aracılık eden çevrimiçi hizmetleri içermez, bu hizmetler aracılığıyla nihai olarak bir sözleşme yapılabilir.
• Çevrimiçi Arama Motorları: Çevrimiçi bir arama motoru web sitesi aramalarına izin verir. Bir web sitesinin içeriğiyle sınırlı olan arama işlevleri, işlev harici bir arama motoru tarafından sağlansa bile NIS-Direktifi'ne dahil edilmez. Belirli ürünlerin veya hizmetlerin farklı satıcılardan fiyatlarını karşılaştıran ve ardından kullanıcıyı tercih edilen satıcıya yönlendiren çevrimiçi hizmetler de dahil değildir.
• Sosyal Ağ Platformu Sağlayıcıları: Kullanıcılar arasında iletişim ve içerik paylaşımını sağlayan çoklu cihazlar üzerinden çalışan bir sosyal ağ platformudur.

• İnternet Değişim Noktası sağlayıcıları: Otonom sistemlerin birbirine bağlanması için ağlar.
• DNS hizmet sağlayıcıları, kök alan adı sunucularının işletmecileri hariç: Alan adı çözümleme sunan hizmet sağlayıcıları.
• TLD adı kayıt defterleri: Belirli bir TLD'ye devredilmiş bir varlık ve TLD'nin yönetiminden, TLD'nin altında alan adlarının kaydından ve TLD'nin teknik işleyişinden sorumlu olan bir varlık.
• Bulut bilişim hizmet sağlayıcıları: Bulut bilişim hizmetleri, ağlar, sunucular veya diğer altyapı, depolama, uygulamalar ve hizmetler gibi paylaşılan hesaplanabilir ve elastik bir havuza erişim sağlar. Üç özellik bir bulut bilişim hizmetini bir bulut hizmeti olarak nitelendirir:
  • Ölçeklenebilir Kaynaklar
  • Elastik Kaynak Havuzu
  • Paylaşılabilir
• Altyapı Olarak Hizmet (IaaS), Platform Olarak Hizmet (PaaS) veya Yazılım Olarak Hizmet (SaaS) gibi farklı iş modelleri NIS2'de yer almaktadır.
• Veri merkezi hizmet sağlayıcıları: Bir veri merkezi, veri depolama, işleme ve taşıma için IT ve ağ ekipmanlarını barındıran, güç dağıtımı ve çevresel kontrol için altyapı ile birlikte olan bir tesisdir.
• İçerik dağıtım ağı sağlayıcısı, içerik ve hizmet sağlayıcıları adına dijital içeriğin ve hizmetlerin internet kullanıcılarına yüksek erişilebilirlik, erişilebilirlik veya hızlı teslimatını sağlamak amacıyla coğrafi olarak dağıtılmış sunucular ağıdır.
• Güven hizmet sağlayıcıları: Ücret karşılığında elektronik imzaların, mühürlerin, zaman damgalarının, kayıtlı teslimat hizmetlerinin ve ilgili sertifikaların oluşturulması, doğrulanması ve doğrulanması; veya web sitesi kimlik doğrulaması için sertifikaların oluşturulması, doğrulanması ve doğrulanması; veya elektronik imzaların, mühürlerin veya ilgili sertifikaların korunması gibi elektronik hizmetler sunar.
• Halka açık elektronik iletişim ağları sağlayıcıları: Kablolu, radyo, optik veya diğer elektromanyetik araçlar aracılığıyla sinyalleri ileten altyapı, anahtarlama, yönlendirme ve kaynakları içeren iletim sistemleri sunar. Bu, radyo, televizyon ve yayıncılık için kullanılan sistemleri de içerir.
• Genel olarak erişilebilir elektronik iletişim hizmetleri sağlayıcıları: Genellikle elektronik iletişim ağları aracılığıyla ücret karşılığında sunulan bir hizmet olup, elektronik iletişim ağları ve hizmetler aracılığıyla iletilen içeriğe veya içeriğin sunulmasına veya düzenlenmesine editoryal kontrol sağlayan hizmetler hariç olmak üzere, aşağıdaki türde hizmetleri kapsar:
  • internet erişim hizmeti
  • kişiler arası iletişim hizmeti; ve
  • sinyallerin iletilmesi gibi hizmetlerin büyük ölçüde veya tamamen taşınmasını içeren hizmetler, makine iletişimi hizmetleri sağlamak ve yayıncılık için kullanılan iletim hizmetleri.

• Yönetilen hizmet sağlayıcı: Müşterilerin yerinde veya uzaktan gerçekleştirilen yardım veya etkin yönetim yoluyla, ICT ürünleri, ağlar, altyapı, uygulamalar veya diğer ağ ve bilgi sistemlerinin kurulumu, yönetimi, işletilmesi veya bakımı ile ilgili hizmetler sunan sağlayıcı.
• Yönetilen güvenlik sağlayıcı: Siber güvenlik risk yönetimi ile ilgili faaliyetleri gerçekleştiren veya yardım sağlayan bir sağlayıcı.

Bir şirketin hizmetlerini AB içinde sunup sunmadığını belirlerken, şirketin hizmetlerini hangi pazarlara sunmayı planladığı önemli bilgidir. Niyetin belirlenmesi için farklı faktörler göz önünde bulundurulur. Şirketin veya bir aracının web sitesine veya e-posta adresine veya diğer iletişim detaylarına erişilebilir olması veya şirketin kurulu olduğu bölgede genellikle kullanılan bir dilin kullanılması gibi, sadece niyeti belirlemek yetersizdir. Bunun yerine, bir veya daha fazla Üye Devlet'te genellikle kullanılan bir dil veya para biriminin kullanılması, o dilde hizmet siparişi verme olasılığı veya Birlik içinde bulunan müşteriler veya kullanıcıların belirtilmesi, şirketin ana kuruluşu olmadığı bir bölgede hizmetlerini sunmayı niyetlediğine dair bir gösterge olabilir.

Eğer şirketiniz AB'de bir kuruluşa sahip değilse ancak bahsi geçen dijital hizmetleri bu bölgelerde sunuyorsa, genellikle bir NIS temsilcisi atamanız gerekmektedir. Bununla birlikte, NIS2'ye uyum sağlama ve bir temsilci atama yükümlülüğü, belirli bir şirket büyüklüğünü aşmayan şirketler için geçerli değildir. Hariç tutulanlar:

• 50'den az kişiyi istihdam eden ve yıllık ciro ve/veya yıllık bilanço toplamı 10 milyonu aşmayan işletmeler olarak tanımlanan Küçük İşletmeler; ve
• 10'dan az kişiyi istihdam eden ve yıllık ciro ve/veya yıllık bilanço toplamı 2 milyonu aşmayan işletmeler olarak tanımlanan Mikro İşletmeler

Sonuç olarak, eğer şirketinizde 50'den az çalışan varsa ve yıllık ciro ve/veya yıllık bilanço toplamı 10 milyonu aşmıyorsa, bir temsilci atamanız gerekmez.

NIS2 kapsamına giren varlıklar söz konusu olduğunda, ana yükümlülükler aşağıdaki gibidir:

• Güvenlik riski yönetimi önlemleri: DSP'ler, hizmetlerini AB içinde sunarken kullandıkları ağ ve bilgi sistemlerinin güvenliğine yönelik tehditleri yönetmek için uygun ve orantılı teknik ve organizasyonel önlemleri belirlemeli ve almalıdır.
   Raporlama Yükümlülüğü: Varlıklar, önemli bir güvenlik olayı meydana geldiğinde belirli raporlama sürelerine uymak zorundadır. Temel yükümlülükler şunları içerir:
• Erken Uyarı: Önemli bir olayı fark ettikten sonra 24 saat içinde rapor vermek ve olayın yasadışı eylemleri içerip içermediğini veya sınır ötesi etkisi olup olmadığını belirtmek.
• Olay Bildirimi: İlk değerlendirme, ciddiyet, etki ve mevcut tehlike göstergeleri sağlayarak 72 saat içinde detaylı bir olay bildirimi sunmak.
• Ara Rapor: İlgili otorite veya CSIRT tarafından talep edildiğinde durum güncellemeleri sağlamak.
• Nihai Rapor: Olay açıklaması, kök neden, önleme önlemleri ve olası sınır ötesi etkiyi kapsayan detaylı bir nihai rapor sunmak.
• Temsilci: AB'de kurulu olmayan ancak AB içinde belirli hizmetler sunan varlıkların, varlık adına hareket eden bir temsilci ataması yapması gerekmektedir. Bu varlıklar şunları içerir:
  • DNS hizmet sağlayıcıları
  • Üst düzey etki alanı (TLD) kayıt defterleri
  • Alan adı kayıt hizmetleri sunan varlıklar
  • Bulut bilişim hizmet sağlayıcıları
  • Veri merkezi hizmet sağlayıcıları
  • İçerik dağıtım ağı (CDN) sağlayıcıları
  • Yönetilen hizmet sağlayıcıları
  • Yönetilen güvenlik hizmet sağlayıcıları
  • Çevrimiçi pazar yerleri sağlayıcıları
  • Çevrimiçi arama motorları
  • Sosyal ağ hizmet platformları

GDPR'den farklı olarak, NIS2, tüm AB Üye Devletleri arasında tek tip bir yasa olmamasına rağmen, her Üye Devlet tarafından ulusal yasalara bireysel olarak uygulanmıştır. Şirketiniz için geçerli ulusal yasa, esaslı veya önemli bir şirket olarak nitelendirilir ve ilgili eşikleri aşar:

• Şirketinizin AB'de bir veya daha fazla tesisi varsa, o zaman ana tesisi bulunduğu AB Üye Devleti'nin yargı yetkisine tabi olacaktır (yani merkezinizin bulunduğu yer);
• Şirketiniz AB'de kurulu değilse ancak AB'de ICT hizmetleri, dijital altyapı veya dijital hizmetler sunuyorsa, hizmetlerinizi sunduğunuz bir AB Üye Devleti'nde temsilci atamanız gerekmektedir. Şirketiniz o zaman o yargı yetkisinin altında olacaktır.

AB NIS2-Direktifinin 26. maddesine göre (ve ulusal yasalardaki çoğu uygulamada), Avrupa Birliği'nde kurulu olmayan ve

• belirli dijital hizmetler sunanlar; ve
• AB içinde belirli dijital hizmetler sunanlar AB'de hizmet sunulan üye devletlerden birinde kurulu olan bir temsilci atamalıdır.

NIS2 yasası, her üye devlet tarafından farklı şekilde uygulanan bir AB direktifidir, bu nedenle cezalar değişmektedir. Bununla birlikte, yasa, güvenlik önlemlerini ve olaylara müdahaleyi uygulama gerekliliğine uymamanın üye devletler için bazı para cezası çerçeveleri belirlemektedir. Yasa gereği, esaslı kuruluşlar toplam dünya çapındaki yıllık cirolarının %2'si veya 10 milyon avroya kadar cezalandırılabilir. Önemli kuruluşlar toplam dünya çapındaki yıllık cirolarının %1,4'ü veya 7 milyon avroya kadar ceza alabilirler.

Temsilcinin, Dijital Hizmet Sağlayıcıların, Dijital Altyapıların ve Bilişim Hizmet Yönetimlerinin sağlayıcıları tarafından yazılı bir yetki belgesi aracılığıyla açıkça belirlenmesi gerekmektedir. İlgili makamların veya Bilgisayar Güvenliği Olay Yanıt Ekibinin (CSIRT) temsilciyle iletişime geçebilmesi gerekmektedir çünkü temsilci yerel bir iletişim noktası olarak hareket edecektir. Temsilci, NIS yasası kapsamındaki yasal yükümlülükler konusunda DSP Sağlayıcıları adına hareket eder, bu da olay bildirimi de dahil olmak üzere. Temsilci, bulundukları yerin yerel ulusal yasalarına uymak zorunda kalacaktır.

Prighter, bir Vekilin çevrimiçi olarak veya kağıt üzerinde imzalanabileceği bir vekaletnamenin oluşturulduğu ve sonuna kadar dijital bir kayıt sürecine sahiptir. Prighter, ilgili veri koruma otoriteleri ile ilgili iletişim kanalları sağlar.