Herkes hâlâ NIS-2'ye doğru koşarken, bir sonraki Avrupa siber güvenlik yasal düzenlemesi şimdiden başlangıç aşamasında: Avrupa Parlamentosu bu hafta geleceğin “Dijital unsurlara sahip ürünler için yatay siber güvenlik gerekliliklerine ilişkin Yönetmelik” – veya Siber Dayanıklılık'ı kabul etti Kısaca Kanunu (CRA)). Şimdi yasanın yürürlüğe girmesi için Konsey'den geçmesi gerekiyor.
Reklamcılık
Gelecekte CRA, dijital unsurlara sahip ürünler için siber güvenlik gereksinimlerini düzenleyecektir ve bu nedenle, öncelikle operasyonel siber güvenlikle ilgilenen NIS-2'yi tamamlayıcı düzenlemeler olarak görülebilir. CRA ile ilgili siyasi anlaşmaya Aralık 2023'te ulaşıldıktan sonra, en son AB siber güvenlik mevzuatının Haziran ayında yapılacak Avrupa Parlamentosu seçimlerine kadar zamanında kabul edilip edilmeyeceği 2024'ün başında hâlâ sorgulanabilir durumdaydı. Avrupa Birliği, CRA'nın kabul edilmesiyle birlikte, AB iç pazarında ekonomik faaliyetin geliştirilmesi için gelecekte ürünlerin siber güvenliğinin temel bir gereklilik olacağını açıkça ortaya koyuyor.
BSI mı yoksa BNetzA mı sorumlu?
CRA, NIS-2'den farklı olarak bir düzenleme olduğundan, tüm Avrupa üye ülkelerinde doğrudan uygulanır; dolayısıyla ulusal bir uygulama kanunu gerekli değildir. Şu anda Almanya'da CRA düzenlemelerini denetlemekten hangi makamın sorumlu olacağı belli değil. Federal Bilgi Güvenliği Dairesi'nin (BSI) yanı sıra Federal Ağ Ajansı'na (BNetzA) yönelik yeni bir sorumluluk da tartışılıyor. Kapsamında CRA, amaçlanan veya makul olarak öngörülebilir kullanımı bir cihaza veya ağa doğrudan veya dolaylı mantıksal veya fiziksel veri bağlantısını içeren dijital öğeler içeren tüm ürünlere uygulanacaktır.
Bu, yazılım veya donanım ürünleri ve bunlarla ilişkili bulut çözümlerinin yanı sıra ayrı olarak pazarlanan yazılım ve donanım bileşenleri için de geçerlidir. Temelde B2B ve B2C uygulamaları arasında ayrım yapmayan bu geniş uygulama kapsamı nedeniyle, CRA'nın tüm endüstrilerde dijital öğeler içeren önemli sayıda ürünü kapsayacağı zaten varsayılabilir.
CRA aynı zamanda ilk kez “Tasarım Yoluyla Güvenlik” ilkesini Avrupa teknoloji hukukuna dahil ediyor. Gelecekte, dijital unsurlara sahip bir ürünün yalnızca pazara giriş anında CRA uyumluluğunu sağlamak artık yeterli olmayacak; bunun yerine sürekli bir risk değerlendirmesi yapılması gerekecek. Yüksek riskli yapay zeka sistemleriyle ilgili olarak gelecekteki Yapay Zeka Yasası gibi diğer AB yasal düzenlemelerine de atıfta bulunulacaktır. CRA'nın düzenleyici gereklilikleri, uygulanacak siber güvenlik gereklilikleri, kullanıcılara sağlanacak bilgi ve talimatlar, dijital unsurlara sahip ürünlerin farklı kritiklik sınıflarına yönelik gereklilikler, AB uygunluk beyanı ve değerlendirme prosedürleri ile ilgili olarak çeşitli eklerde belirtilmiştir. Ürün belgelerinde gereklilikler oluşturulmalıdır. CRA'nın daha fazla spesifikasyonu, AB Komisyonu'nun devredilen yasal düzenlemeleri ve teknik açıklamaları yoluyla sağlanabilir; etkilenen paydaşların da dahil edilmesi gerekir.
Açık kaynak iyileştirmeleri
Yasal süreçte açık kaynak topluluğundan gelen ciddi eleştirilerin ardından açık kaynak ekosistemine zarar vermemek adına çok sayıda alan istisnası da dahil olmak üzere kapsamlı iyileştirmeler yapıldı. Bununla birlikte özellikle geliştiricilerin yeni “açık kaynak yazılım yöneticileri” ve açık kaynak bileşenleri için güvenlik açığı yönetimine ilişkin düzenlemelere göz atması gerekiyor.
CRA'nın yükümlülüklerinin ele aldığı iş grupları başlangıçta üreticilerdir, ancak aynı zamanda ithalatçılar ve tüccarlardır, dolayısıyla düzenleme (dijital) tedarik zincirini AB iç pazarı için temel bir koruyucu araç olarak ele almaktadır. Gereksinimler, bir yandan dijital unsurlara sahip ürünlerin tasarımı, geliştirilmesi, üretimi, teslimatı ve bakımına ilişkin risk değerlendirmesini, diğer yandan da siber güvenlik risklerine ilişkin raporlama yükümlülüklerini ve güvenlik açıkları ve yamalarının ele alınmasını içermektedir. Gelecekte, üreticiler ve onların endüstri birlikleri, ürünlerinin tipik ve endüstri standardı ömrünü belirlemek zorunda kalacaklar; CRA'ya göre prensipte bu en az beş yıl. Yasal düzenleme halihazırda piyasada bulunan ürünler için geçiş hükümleri öngörmektedir. Bu Yönetmeliğin yürürlüğe girdiği tarihten itibaren 36 ay içinde piyasaya arz edilen ürünler, yalnızca söz konusu ürünlerin bu tarihten itibaren önemli değişikliklere uğraması durumunda, raporlama gereklilikleri dışında CRA'nın gerekliliklerine tabidir.
İhlallere ilişkin cezalar, halihazırda bilinen grup düzenlemelerine dayanmaktadır: İhlaller için, 15 milyon Euro'ya kadar veya bir önceki mali yılın toplam küresel yıllık cirosunun yüzde 2,5'ine kadar para cezaları mümkündür. Etkilenen aktörler için uygulama süresi genellikle CRA'nın yürürlüğe girmesinden sonraki 36 aydır.
(fo)
Haberin Sonu
Reklamcılık
Gelecekte CRA, dijital unsurlara sahip ürünler için siber güvenlik gereksinimlerini düzenleyecektir ve bu nedenle, öncelikle operasyonel siber güvenlikle ilgilenen NIS-2'yi tamamlayıcı düzenlemeler olarak görülebilir. CRA ile ilgili siyasi anlaşmaya Aralık 2023'te ulaşıldıktan sonra, en son AB siber güvenlik mevzuatının Haziran ayında yapılacak Avrupa Parlamentosu seçimlerine kadar zamanında kabul edilip edilmeyeceği 2024'ün başında hâlâ sorgulanabilir durumdaydı. Avrupa Birliği, CRA'nın kabul edilmesiyle birlikte, AB iç pazarında ekonomik faaliyetin geliştirilmesi için gelecekte ürünlerin siber güvenliğinin temel bir gereklilik olacağını açıkça ortaya koyuyor.
BSI mı yoksa BNetzA mı sorumlu?
CRA, NIS-2'den farklı olarak bir düzenleme olduğundan, tüm Avrupa üye ülkelerinde doğrudan uygulanır; dolayısıyla ulusal bir uygulama kanunu gerekli değildir. Şu anda Almanya'da CRA düzenlemelerini denetlemekten hangi makamın sorumlu olacağı belli değil. Federal Bilgi Güvenliği Dairesi'nin (BSI) yanı sıra Federal Ağ Ajansı'na (BNetzA) yönelik yeni bir sorumluluk da tartışılıyor. Kapsamında CRA, amaçlanan veya makul olarak öngörülebilir kullanımı bir cihaza veya ağa doğrudan veya dolaylı mantıksal veya fiziksel veri bağlantısını içeren dijital öğeler içeren tüm ürünlere uygulanacaktır.
Bu, yazılım veya donanım ürünleri ve bunlarla ilişkili bulut çözümlerinin yanı sıra ayrı olarak pazarlanan yazılım ve donanım bileşenleri için de geçerlidir. Temelde B2B ve B2C uygulamaları arasında ayrım yapmayan bu geniş uygulama kapsamı nedeniyle, CRA'nın tüm endüstrilerde dijital öğeler içeren önemli sayıda ürünü kapsayacağı zaten varsayılabilir.
CRA aynı zamanda ilk kez “Tasarım Yoluyla Güvenlik” ilkesini Avrupa teknoloji hukukuna dahil ediyor. Gelecekte, dijital unsurlara sahip bir ürünün yalnızca pazara giriş anında CRA uyumluluğunu sağlamak artık yeterli olmayacak; bunun yerine sürekli bir risk değerlendirmesi yapılması gerekecek. Yüksek riskli yapay zeka sistemleriyle ilgili olarak gelecekteki Yapay Zeka Yasası gibi diğer AB yasal düzenlemelerine de atıfta bulunulacaktır. CRA'nın düzenleyici gereklilikleri, uygulanacak siber güvenlik gereklilikleri, kullanıcılara sağlanacak bilgi ve talimatlar, dijital unsurlara sahip ürünlerin farklı kritiklik sınıflarına yönelik gereklilikler, AB uygunluk beyanı ve değerlendirme prosedürleri ile ilgili olarak çeşitli eklerde belirtilmiştir. Ürün belgelerinde gereklilikler oluşturulmalıdır. CRA'nın daha fazla spesifikasyonu, AB Komisyonu'nun devredilen yasal düzenlemeleri ve teknik açıklamaları yoluyla sağlanabilir; etkilenen paydaşların da dahil edilmesi gerekir.
Açık kaynak iyileştirmeleri
Yasal süreçte açık kaynak topluluğundan gelen ciddi eleştirilerin ardından açık kaynak ekosistemine zarar vermemek adına çok sayıda alan istisnası da dahil olmak üzere kapsamlı iyileştirmeler yapıldı. Bununla birlikte özellikle geliştiricilerin yeni “açık kaynak yazılım yöneticileri” ve açık kaynak bileşenleri için güvenlik açığı yönetimine ilişkin düzenlemelere göz atması gerekiyor.
CRA'nın yükümlülüklerinin ele aldığı iş grupları başlangıçta üreticilerdir, ancak aynı zamanda ithalatçılar ve tüccarlardır, dolayısıyla düzenleme (dijital) tedarik zincirini AB iç pazarı için temel bir koruyucu araç olarak ele almaktadır. Gereksinimler, bir yandan dijital unsurlara sahip ürünlerin tasarımı, geliştirilmesi, üretimi, teslimatı ve bakımına ilişkin risk değerlendirmesini, diğer yandan da siber güvenlik risklerine ilişkin raporlama yükümlülüklerini ve güvenlik açıkları ve yamalarının ele alınmasını içermektedir. Gelecekte, üreticiler ve onların endüstri birlikleri, ürünlerinin tipik ve endüstri standardı ömrünü belirlemek zorunda kalacaklar; CRA'ya göre prensipte bu en az beş yıl. Yasal düzenleme halihazırda piyasada bulunan ürünler için geçiş hükümleri öngörmektedir. Bu Yönetmeliğin yürürlüğe girdiği tarihten itibaren 36 ay içinde piyasaya arz edilen ürünler, yalnızca söz konusu ürünlerin bu tarihten itibaren önemli değişikliklere uğraması durumunda, raporlama gereklilikleri dışında CRA'nın gerekliliklerine tabidir.
İhlallere ilişkin cezalar, halihazırda bilinen grup düzenlemelerine dayanmaktadır: İhlaller için, 15 milyon Euro'ya kadar veya bir önceki mali yılın toplam küresel yıllık cirosunun yüzde 2,5'ine kadar para cezaları mümkündür. Etkilenen aktörler için uygulama süresi genellikle CRA'nın yürürlüğe girmesinden sonraki 36 aydır.
(fo)
Haberin Sonu