Ağ ve Bilgi Sistemlerinin Güvenliği Direktifi (NIS2), siber güvenliği geliştirmek amacıyla NIS1’in yerini alarak kapsamını genişletmiş ve daha sıkı gereklilikler getirmiştir. AB’deki temel ve önemli sektörlerde siber güvenliği güçlendirmeyi hedefler.

NIS2 şu alanları kapsar:

• Temel Hizmet Operatörleri (OES): Enerji, bankacılık, ulaşım, dijital altyapı, B2B bilgi teknolojileri hizmet yönetimi gibi sektörler.
• Önemli Hizmet Operatörleri: Posta hizmetleri, atık yönetimi, araştırma, dijital hizmet sağlayıcılar gibi sektörler.

NIS2 şu şirketlere uygulanır:

• Belirlenen eşik değerleri karşılayan şirketler,
• AB içinde kurulmuş şirketler,
• AB dışında kurulmuş ancak hizmetlerini AB içinde sunan şirketler.

Dijital Hizmet Sağlayıcısı, dijital bir hizmet sunan her türlü tüzel kişiyi ifade eder.

Online Pazar Yerleri: Satışları veya sözleşmeleri kolaylaştıran platformlardır (örneğin uygulama mağazaları). Yalnızca üçüncü taraf hizmetlere aracılık eden ve sözleşmenin bu hizmetler aracılığıyla sonuçlandığı çevrimiçi platformlar bu kapsama girmez.

Online Arama Motorları: İnternet sitelerinde arama yapılmasını sağlayan hizmetlerdir. Belirli bir web sitesinin içeriğiyle sınırlı arama işlevleri, bu işlev harici bir arama motoru tarafından sağlansa bile, NIS Direktifi kapsamına girmez. Belirli ürün veya hizmetlerin fiyatlarını karşılaştıran ve kullanıcıyı tercih ettiği satıcının sitesine yönlendiren hizmetler de bu kapsama dahil değildir.

Sosyal Ağ Platformu Sağlayıcıları: Kullanıcıların birden fazla cihaz üzerinden iletişim kurmasını ve içerik paylaşmasını sağlayan sosyal ağ platformlarıdır.

Dijital Altyapı Sektörü Kapsamına Girenler:

İnternet Değişim Noktası (IXP) Sağlayıcıları: Bağımsız sistemlerin birbirine bağlanmasını sağlayan ağlardır.

DNS Hizmet Sağlayıcıları (kök alan adı sunucusu işletmecileri hariç): Alan adlarının çözümlemesini sağlayan hizmet sağlayıcılardır.

Üst Düzey Alan Adı (TLD) Kayıt Operatörleri: Belirli bir üst düzey alan adının (TLD) yönetimi için yetkilendirilmiş, bu alan altında alan adı kaydı ve teknik işletiminden sorumlu kuruluşlardır.

Bulut Bilişim Hizmet Sağlayıcıları: Ağlar, sunucular, depolama, uygulamalar ve hizmetler gibi ölçeklenebilir ve paylaşılabilir bilişim kaynaklarına erişim sağlayan hizmetlerdir. Bir hizmetin bulut hizmeti sayılması için üç özellik bulunur:

• Ölçeklenebilir kaynaklar
• Esnek kaynak havuzu
• Paylaşılabilir yapı

NIS2 kapsamında IaaS (Hizmet Olarak Altyapı), PaaS (Hizmet Olarak Platform) ve SaaS (Hizmet Olarak Yazılım) gibi tüm iş modelleri dahildir.

Veri Merkezi Hizmet Sağlayıcıları: Veri merkezleri, bilgi işlem ve ağ ekipmanlarının barındırıldığı; veri depolama, işleme ve iletimi için güç dağıtımı ve çevresel kontrol altyapısına sahip tesislerdir.

İçerik Dağıtım Ağı (CDN) Sağlayıcıları: Dijital içerik ve hizmetlerin yüksek erişilebilirlik, kullanılabilirlik ve hızlı teslimini sağlamak amacıyla coğrafi olarak dağıtılmış sunuculardan oluşan ağlardır.

Güven Hizmeti Sağlayıcıları: Elektronik imzalar, mühürler, zaman damgaları, kayıtlı teslimat hizmetleri ve bunlara ilişkin sertifikaların oluşturulması, doğrulanması ve geçerliliğinin sağlanması; ayrıca web sitesi kimlik doğrulama sertifikaları veya elektronik imzaların ve mühürlerin korunması gibi ücretli elektronik hizmetler sunan sağlayıcılardır.

Kamuya Açık Elektronik İletişim Ağı Sağlayıcıları: Uydu, internet, mobil ve kablo ağları dahil olmak üzere kablo, radyo, optik veya diğer elektromanyetik yollarla sinyallerin iletilmesini sağlayan sistemler ve altyapılar sunar. Bu kapsama radyo, televizyon ve yayın sistemleri de girer.

Kamuya Açık Elektronik İletişim Hizmet Sağlayıcıları: Elektronik iletişim ağları üzerinden ücret karşılığı sunulan hizmetlerdir. İçerik üzerinde editoryal kontrolü bulunan hizmetler hariç olmak üzere şu tür hizmetleri kapsar:

• İnternet erişim hizmeti,
• Kişiler arası iletişim hizmeti,
• Makineden makineye iletişim ve yayıncılık için kullanılan sinyal iletim hizmetleri.

Yönetilen Hizmet Sağlayıcısı: Müşterilerin tesislerinde veya uzaktan gerçekleştirilen destek ya da aktif yönetim yoluyla, BT ürünleri, ağlar, altyapılar, uygulamalar veya diğer ağ ve bilgi sistemlerinin kurulumu, yönetimi, işletimi ya da bakımına ilişkin hizmetler sunar.

Yönetilen Güvenlik Hizmeti Sağlayıcısı: Siber güvenlik risk yönetimiyle ilgili faaliyetleri yürüten veya bu faaliyetlere destek sağlayan hizmet sağlayıcısıdır.

Bir şirketin AB içinde hizmet sunup sunmadığını belirlerken, esas olarak şirketin hizmetlerini hangi pazarlara sunmayı planladığı dikkate alınır. Bu niyetin varlığını değerlendirmek için çeşitli faktörler göz önünde bulundurulur.

Bir web sitesine (şirkete veya aracısına ait), e-posta adresine ya da diğer iletişim bilgilerine AB’den erişilebilmesi veya şirketin kurulu olduğu bölgede yaygın olarak kullanılan bir dilin kullanılması tek başına bu niyeti göstermez.

Bunun yerine, bir veya birden fazla AB üye devletinde yaygın olarak kullanılan bir dilin veya para biriminin kullanılması, hizmetlerin bu dillerde sipariş edilebilmesi ya da AB’deki müşteriler veya kullanıcıların açıkça belirtilmesi, şirketin ana merkezinin bulunmadığı bir bölgede hizmet sunma niyetinin göstergesi olarak değerlendirilebilir.

Şirketinizin AB’de bir merkezi yoksa ancak belirtilen dijital hizmetleri bu bölgelerde sunuyorsa, genel olarak bir NIS temsilcisi atamanız gerekir. Ancak NIS2’ye uyma ve temsilci atama yükümlülüğü, belirli bir şirket büyüklüğünü aşmayan işletmeler için geçerli değildir. Muaf tutulanlar şunlardır:

• Küçük işletmeler: 50’den az çalışanı olan ve yıllık cirosu ve/veya bilanço toplamı 10 milyon euroyu geçmeyen işletmeler.
• Mikro işletmeler: 10’dan az çalışanı olan ve yıllık cirosu ve/veya bilanço toplamı 2 milyon euroyu geçmeyen işletmeler.

Özetle, şirketinizin 50’den az çalışanı varsa ve yıllık ciro ve/veya bilanço toplamı 10 milyon euronun altındaysa, NIS temsilcisi atama zorunluluğunuz bulunmaz.

NIS2 kapsamına giren kuruluşların başlıca yükümlülükleri şunlardır:

Siber Güvenlik Risk Yönetimi Önlemleri:
Dijital Hizmet Sağlayıcıları (DSP’ler), AB içinde sundukları hizmetlerle bağlantılı olarak kullandıkları ağ ve bilgi sistemlerinin güvenliğini tehdit eden riskleri belirlemeli ve bu riskleri yönetmek için uygun ve orantılı teknik ve organizasyonel önlemleri almalıdır.

Bildirim Yükümlülüğü:
Kuruluşlar, önemli bir siber güvenlik olayı meydana geldiğinde belirlenen süreler içinde yetkili otoritelere bildirimde bulunmakla yükümlüdür:

• Erken Uyarı: Olayın farkına varıldıktan sonraki 24 saat içinde, olayın yasa dışı eylemler içerip içermediği veya sınır ötesi etkisi olup olmadığı belirtilerek bildirim yapılmalıdır.
• Olay Bildirimi: 72 saat içinde ayrıntılı bir olay bildirimi sunulmalı; olayın ilk değerlendirmesi, ciddiyeti, etkisi ve mevcut göstergeler paylaşılmalıdır.
• Ara Rapor: İlgili otorite veya CSIRT’in talebi üzerine olayın durumu hakkında ara rapor sağlanmalıdır.
• Nihai Rapor: Olaydan itibaren bir ay içinde, olayın açıklaması, temel nedeni, alınan önlemler ve olası sınır ötesi etkiler dâhil olmak üzere ayrıntılı bir nihai rapor sunulmalıdır.

Temsilci Atama Yükümlülüğü:
AB’de yerleşik olmayan ancak AB içinde belirli hizmetleri sunan kuruluşlar, kendileri adına hareket edecek bir temsilci atamakla yükümlüdür. Bu kuruluşlar şunlardır:

• DNS hizmet sağlayıcıları
• Üst düzey alan adı (TLD) kayıt operatörleri
• Alan adı kayıt hizmeti sunan kuruluşlar
• Bulut bilişim hizmet sağlayıcıları
• Veri merkezi hizmet sağlayıcıları
• İçerik dağıtım ağı (CDN) sağlayıcıları
• Yönetilen hizmet sağlayıcıları
• Yönetilen güvenlik hizmeti sağlayıcıları
• Çevrimiçi pazar yeri sağlayıcıları
• Çevrimiçi arama motorları
• Sosyal ağ platformu sağlayıcıları

GDPR'den farklı olarak, NIS2, tüm AB Üye Devletleri arasında tek tip bir yasa olmamasına rağmen, her Üye Devlet tarafından ulusal yasalara bireysel olarak uygulanmıştır. Şirketiniz için geçerli ulusal yasa, esaslı veya önemli bir şirket olarak nitelendirilir ve ilgili eşikleri aşar:

• Şirketinizin AB'de bir veya daha fazla tesisi varsa, o zaman ana tesisi bulunduğu AB Üye Devleti'nin yargı yetkisine tabi olacaktır (yani merkezinizin bulunduğu yer);
• Şirketiniz AB'de kurulu değilse ancak AB'de ICT hizmetleri, dijital altyapı veya dijital hizmetler sunuyorsa, hizmetlerinizi sunduğunuz bir AB Üye Devleti'nde temsilci atamanız gerekmektedir. Şirketiniz o zaman o yargı yetkisinin altında olacaktır.

AB NIS2-Direktifinin 26. maddesine göre (ve ulusal yasalardaki çoğu uygulamada), Avrupa Birliği'nde kurulu olmayan ve

• belirli dijital hizmetler sunanlar; ve
• AB içinde belirli dijital hizmetler sunanlar AB'de hizmet sunulan üye devletlerden birinde kurulu olan bir temsilci atamalıdır.

NIS2 yasası, her üye devlet tarafından farklı şekilde uygulanan bir AB direktifidir, bu nedenle cezalar değişmektedir. Bununla birlikte, yasa, güvenlik önlemlerini ve olaylara müdahaleyi uygulama gerekliliğine uymamanın üye devletler için bazı para cezası çerçeveleri belirlemektedir. Yasa gereği, esaslı kuruluşlar toplam dünya çapındaki yıllık cirolarının %2'si veya 10 milyon avroya kadar cezalandırılabilir. Önemli kuruluşlar toplam dünya çapındaki yıllık cirolarının %1,4'ü veya 7 milyon avroya kadar ceza alabilirler.

Temsilcinin, Dijital Hizmet Sağlayıcıların, Dijital Altyapıların ve Bilişim Hizmet Yönetimlerinin sağlayıcıları tarafından yazılı bir yetki belgesi aracılığıyla açıkça belirlenmesi gerekmektedir. İlgili makamların veya Bilgisayar Güvenliği Olay Yanıt Ekibinin (CSIRT) temsilciyle iletişime geçebilmesi gerekmektedir çünkü temsilci yerel bir iletişim noktası olarak hareket edecektir. Temsilci, NIS yasası kapsamındaki yasal yükümlülükler konusunda DSP Sağlayıcıları adına hareket eder, bu da olay bildirimi de dahil olmak üzere. Temsilci, bulundukları yerin yerel ulusal yasalarına uymak zorunda kalacaktır.

Prighter, bir Vekilin çevrimiçi olarak veya kağıt üzerinde imzalanabileceği bir vekaletnamenin oluşturulduğu ve sonuna kadar dijital bir kayıt sürecine sahiptir. Prighter, ilgili veri koruma otoriteleri ile ilgili iletişim kanalları sağlar.