Avrupa Ağ ve Bilgi Güvenliği 2 (NIS 2) direktifi ile binlerce kuruluşun siber güvenliklerini yükseltmeleri gerekecek. Metnin Aralık ayı sonunda Avrupa düzeyinde kabul edilmesinden bu yana sektörün hazırlamakta olduğu bir zorluk. Fransız yasalarına geçiş sonbaharda gerçekleşecek. Siècle Digital’in fırsatı…
Avrupa Ağ ve Bilgi Güvenliği 2 (NIS 2) direktifi ile binlerce kuruluşun siber güvenliklerini yükseltmeleri gerekecek. Metnin Aralık ayı sonunda Avrupa düzeyinde kabul edilmesinden bu yana sektörün hazırlamakta olduğu bir zorluk. Fransız yasalarına geçiş sonbaharda gerçekleşecek. için fırsat Dijital Yüzyıl Hexatrust profesyonel derneğinin başkanı Jean-Noël de Galzain ile görüşecek. Bu grup, tamamı siber güvenlik ve güvenilir bulut alanında uzmanlaşmış, cirosu 7 milyar avroya denk gelen, çeşitli büyüklüklerde 131 Fransız şirketini bir araya getiriyor. Açıkçası, yaklaşmakta olan NIS 2 ayaklanmasının ön saflarında yer alıyor.
Siècle Digital: Bu ünlü NIS 2 direktifini birkaç kelimeyle anlatabilir misiniz?
Jean-Noël de Galzain: NIS 2 direktifi, NIS direktifinin mirasçısıdır. Bir dizi hassas sektörde siber dayanıklılık düzeyini yükseltmek için 2016 yılında oluşturuldu. Günlük yaşamlarımız için gerekli veya hayati önem taşıyan tüm organizasyonları etkileyen ve dijital teknolojinin işleyiş, iş ve daha genel olarak kullanımlarda bir dönüşüm uyguladığı bir Avrupa direktifidir.
NIS 2 direktifi, kapsanan sektörlerin sayısının artırılması ilkesiyle bu ilk metnin geliştirilmiş halidir. Şimdi, daha önce 10’a kıyasla 18 kişi etkilendi. Eskiden beri NIS’e tabi olan yaklaşık bin kuruluş vardı, şimdi ise sayımız 10.000 ila 15.000 arasında.Bu direktif büyük grupları ve aynı zamanda onların taşeronlarını da hedefliyor. Devlet için aynı zamanda Devlet kurumları, sağlık kuruluşları vb. Bu, kapsamı orta ölçekli veya daha küçük şirketlere kadar genişletir.
NIS 2, tüm ekonomik aktörleri ve kuruluşları bir siber güvenlik standardına getirerek Avrupa’yı siber risklere karşı daha dayanıklı hale getirmeyi amaçlıyor.
NIS 2, önceki sürümüne göre etkilenen sektör sayısının ötesinde neleri değiştiriyor?
NIS 2 direktifinin özelliği baskıcı yönüdür. Bu çok önemli. Bir şirket sahip olması gereken minimum siber güvenlik düzeyini uygulamadıysa cirosunun %2’sine kadar ceza alma riskiyle karşı karşıyadır. Riskler yüksek ve yaptırım, statüsünün kaldırılmasına kadar gidebilir.
Şirketin ayrıca siber saldırıya uğradığında 72 saat içinde yetkililere bildirimde bulunma yükümlülüğü de bulunuyor. Daha ağır ve daha etkili bir şey.
Peki bu ne anlama geliyor? Bu, bu kuruluşları önemli operatörler veya temel hizmetlerin operatörleri olarak güçlendirdiği anlamına gelir. Yöneticiler, iş dünyası liderleri ve yönetim kurulları doğrudan bu sürece katılmaktadır. NIS 2 direktifi düzeyinde siber güvenlik, sağlam yönetim ve iyi yönetişimin bir ölçüsüdür.
Yöneticileri siber güvenlik önlemleri almaya ikna etmek zor mu?
Her zaman. Devlet ya da özel kuruluşlar tarafından hazırlanan çeşitli rapor ve çalışmalara göre şirketlerin BT bütçelerinin yüzde 5’inden azını siber güvenliğe ayıracaklarını da belirtmek gerekiyor. Bu yeterli değil, norm değil. Standartların karşılanabilmesi için bu bütçelerin acilen yüzde 5’ten yüzde 10’a çıkarılması gerekiyor.
Bu yüzde sektöre göre değişmektedir. Banka gibi bazıları daha fazla yatırım yapacak. Bir hizmeti durdurmanın sonuçları ciddi olabileceğinden, belirli endüstriyel sektörlerin güçlü yükümlülükleri olacaktır. Bir kilidin, bir taşıma sisteminin, bir elektrik sisteminin artık çalışmamasını kaldıramayız.
NIS 2, siber güvenliğe ayrılan BT bütçesinin %10’unun yıllık taahhütlerini vermek için yöneticilere, yönetim kuruluna veya COMEX’e verilecek ilk argümandır.
Kuruluşlar bazen bir siber saldırının kurbanı olduklarını kabul etmekte de zorluk yaşıyorlar…
İnandırıcılık sorunu var. Olanları başkalarına bildirmemek itibarınızı kaybetmemek içindir. KOBİ’ler ve ETI’ler açısından mağdurların yarısının saldırıyı takip eden 24 ay içinde iflas başvurusunda bulunma riskiyle karşı karşıya olduğu söyleniyor. Bu tür olaylar hızlı hareket etmeyi ve bir o kadar da hızlı bir şekilde yetkililere bilgi vermeyi gerektirir. Kısa sürede yetkililere bildirimde bulunma zorunluluğu da eklendiyse, bu da veriye ihtiyaç olmasından kaynaklanmaktadır. Olayın kökeninin izini sürmek ve bu bilgisayar korsanlarını aramak için bu siber saldırıların izlerine ihtiyaç var.
Ayrıca, düzenlemeler ne kadar kısıtlayıcı olursa, öyle görünüyor ki, göz kamaştırıcı tutuklamaların da arttığını gözlemliyoruz. Lockbit veya diğer grupların son örneği var. Siber suçluları bulmaya çalışmak, kırıntılardan oluşan bir iz. Bu zorunluluk sistemin başarısının önemli bir şartıdır.
Hexatrust NIS 2’nin gelişine nasıl hazırlanıyor?
Henüz gerekli çalışma ve yatırımları yapmamış veya konu hakkında yeterli bilgisi olmayanlar için yükseltme yapmamız gerekiyor. ANSSI genel müdürü Vincent Strubel, bu yıl InCyber forumunda yaptığı konuşmada ANSSI’nin başından itibaren aşırı baskıcı olmayacağını öne sürdü. Pek çok şirketimiz olimpiyat oyunlarına katılıyor. Çok fazla kaynak ve dikkat gerektiren çok yoğun bir andır.
Artık bu dönemde kendimizi hazırladık. Yalnızca tek başımıza değil, kullanıcılarla birlikte çalıştık. CESIN, Clusif, CIGRF ile konuştuk… Bu gerçekten kolektif bir yaklaşım, ekosistemi bir bütün olarak işlemeye çalışmalıyız, yetkililerle, bakanlıklarla birlikte…
Bu çözümleri uygulamak zorunda kalacaklar için iyi bir haber var: sektör iyi durumda. Çözümler orada. Satıcılar ihtiyaç duydukları çözümleri uygulamaya hazır olmak için birbirleriyle, bulut sağlayıcılarıyla ve entegratörlerle birlikte çalışır.
Halihazırda topluluklar, sağlık kuruluşları, OSE’ler, OIV’ler olan müşterilerimiz var [ndlr : opérateurs de services essentiels, opérateurs d’importance vitale]. İletişim halindeyiz, risklerinin bir kısmını zaten karşılıyoruz. Derneğimizin “birlikten güç doğar” prensibi sayesinde grup liderleri ve diğer üyelerin yardımıyla uyum için gerekli korumaları genişletebileceğiz.
Yayınladığınız broşürün anlamı bu mu?
Evet, bu katalogla, bu yetenekler broşürüyle konuşmayı seçtik. İlgili farklı sektörlerde NIS 2’ye yanıt verebilmek için üyelerimizden gelen farklı teklifleri nasıl kullanacağımızı, bunları nasıl birleştireceğimizi anlamamızı sağlar. Bir umut mesajı vermenin önemli olduğunu düşünüyorum: Ulaşılamaz değildir.
Bugün hem içerideki hem de Hexatrust dışındaki (GAFAM dahil) yoldaşlarımı daha fazla iş birliği yaratmaya teşvik ediyorum ve teşvik ettim. Çözümleri daha paketlenmiş ve daha erişilebilir hale getirmek için birlikte çalışıyoruz. Tekliflerin paketlenmesini sunmamız gerektiğini söylediğimde bu aynı zamanda şirketlere bütçesel görünürlük kazandırmaktır.
NIS 2 bir seviyedir, siber silahlanma yarışına girmeye gerek yoktur. Ticari fuarlarda veya pazarlamada çok sayıda siber teklif var. Gezinmek zor olabilir. NIS 2, dayanıklılık düzeyinizi artırmanıza olanak tanıyan bir güvenlik standardıdır.
Bu yıl Hexatrust üyesi Docaposte bir dizi hizmet duyurdu. 12 ortak yayıncının tekliflerini entegre ettikleri 8 alan. Topluluklara, sağlık kuruluşlarına ve KOBİ’lere hizmet veren birleşik çözümler. Bunlar, NIS 2, DORA ve olası tüm düzenlemelerle hızlı bir şekilde uyumlu hale gelmek için sibere erişimi kolaylaştıran işbirliği örnekleridir.
Başka yerlerde olduğu gibi siber alanda da başta Amerikan olmak üzere büyük dijital şirketlerin tekel kurma riski var mı?
Risk var… Tekel riskine kadar gitmenin de anlamı yok. Bu büyük satıcıların NIS 2 olma ve NIS 2’ye çözüm sunma çabalarını anlıyorum. Sadece dikkatli olun diyorum.
Her şeyi yapabilecek kapasitede olduklarını ancak tüm yumurtaları tek bir sepete koymanın, tüm dijital güvenliğinizi tek bir hizmet sağlayıcıya emanet etmenin büyük bir bağımlılık ve güvenlik riski taşıdığını açıklayan bazı büyük bulut platformu yayıncıları var. Bu onun organizasyonu için ekonomik bir risktir.
Bu bir sağduyu meselesidir. Bir servis sağlayıcıyla çalışıyorsanız onların çalışmalarını izlemelisiniz. Tüm dijital kaynaklarınızı büyük bir GAFAM platformuna koyarsanız, siber güvenliği Avrupa ve hatta Fransız çözümlerine koyun. Fransız çözümleri en iyi Avrupa çözümleri arasındadır.
SD: Hexatrust ve üyeleri Avrupa pazarına mı bakıyor?
Bir hırs var. Şunu da söylemeliyim ki ihracat yapan bir sektör. Şüphesiz savunma ve silahlanmanın ardından dünyanın en büyük ikinci ihracat yapan sanayi sektörüdür.
Hexatrust, üyelerimizin tekliflerinin etkisinin ötesinde, Avrupa ekosisteminden daha fazla ortağın kabul edilmesi ve tüm Avrupa’nın siber konularda desteklenmesi fikrine doğru evrilmektedir.
Dediğim gibi Fransa’da yapılan siber güvenlik çok iyi bir ivme yakaladı. Bununla birlikte, bir müşterinin birden fazla ihtiyacı vardır. Egemen çözümler sunabilmek istiyorsak bunları Avrupa düzeyinde tasarlamalıyız. Bu sayede siber anlamda ihtiyaçların büyük bir kısmını karşılayabileceğiz… İhtiyaçların neredeyse tamamını söylememize gerek yok.
İşlerimizi ölçeklendirmek için bir pazara ihtiyacımız var. Amerikalı oyunculara güç veren şey kesinlikle finansal güçleri olan Nasdaq’tır ama aynı zamanda onların iç pazarıdır. Yarın teknolojimiz ve siber şirketlerimiz için bir Avrupa pazarı yaratmayı başarırsak, Amerikalı dostlarımızla rekabet edecek küresel şampiyonlar yaratabileceğiz.
genel-16