Avrupa Sayıştayı (ECA), AB Komisyonu’nun üye devletlerin üzerine siber bir kalkan koymak ve böylece onları İnternet’ten gelen tehditlere karşı daha iyi silahlandırmak istediği siber dayanışma yasası taslağını çevreleyen çeşitli riskler konusunda uyarıyor. Bütçe denetçileri Perşembe günü yayınlanan bir bildiride, planlanan önlemlerin AB’nin zaten kafa karıştırıcı olan “siber güvenlik galaksisini” daha da karmaşık hale getireceğinden korkuyor. Sanal şemsiyenin işlevi, AB ülkeleri arasında bilgi alışverişi eksikliğinden dolayı zarar görme riskiyle karşı karşıyadır. Ayrıca koruyucu kalkanın işletimi ve bakımının yalnızca AB finansmanına bağımlı hale gelmesi riski de mevcut.
Reklamcılık
Komisyon, teklifle tüm üye ülkelerdeki güvenlik operasyon merkezlerinden oluşan bir altyapı öngörüyor. Siber olaylara müdahale kabiliyetinin geliştirilmesi için bir acil durum mekanizması da kurulmalıdır. ECA artık revize edilmiş Ağ ve Bilgi Güvenliği Yönergesi’nin (NIS2) ulusal düzeyde bir veya daha fazla Bilgisayar Güvenliği Olayına Müdahale Ekibi (CSIRT) oluşturmayı amaçladığına işaret ediyor. Ayrıca daha üst düzey bir kriz ağı da var (AB Kasırgası). AB’nin tüm üye ülkelerdeki koordinasyon kurumlarıyla birlikte bir Avrupa Siber Güvenlik Yeterlilik Merkezi kurması 2021 yılına kadar mümkün olmadı. Ayrıca yakın zamanda BT güvenliğine odaklanan ortak bir siber birim oluşturuldu.
Çift yapılardan kaçınılmalı
Bu arka plana karşı, Sayıştay, örneğin CSIRT ağı ile ana hatlarıyla belirtilen güvenlik operasyon merkezleri arasında bir örtüşme yoluyla, maliyetli mükerrer yapılar kurmanın tehlikesini görmektedir. Her iki kuruluşun bazı görev ve hedefleri birbirine çok benzerdi. Yasama organları, “etkili koordinasyon sağlamak ve sinerji elde etmek için” tüm paydaşların rollerini ve sorumluluklarını en azından açıkça tanımlamalıdır.
Denetçiler ayrıca, AB kurumlarının, organlarının ve ajanslarının mevcut yükümlülüklere rağmen önemli siber güvenlik bilgilerini birbirleriyle sistematik olarak paylaşmadıkları yönündeki 2022 bulgularını da hatırlatıyor. Bunun nedeni “güvenli iletişimi engelleyen” birlikte çalışabilirlik sorunlarıydı. Bu eleştiri yönetilebilir bir grup AB aktörüne atıfta bulunuyordu. Bu zorlukların ek yetkililerin katılımıyla artması muhtemeldir. Veri paylaşımına yönelik planlanan mali teşvikler yeterli değildi. Komisyon ayrıca, altyapıda yüksek düzeyde BT güvenliği ve fiziksel güvenlik sağlamak için Üye Devletlere yönelik teknik gereklilikleri hızlı bir şekilde belirlemelidir.
Raporlar için son tarih belirlenmedi
ECA ayrıca geçen yıl, AB kurumlarına yönelik bilgisayar acil durum ekibinin (CERT-EU) denetim sırasında 24 saat görev başında olmadığından da şikâyette bulunmuştu. Artık AB siber güvenlik rezervinden destek başvurularının, siber güvenlik otoritesi Enisa’nın desteğiyle Komisyon tarafından değerlendirilerek “hemen” yanıt verilmesi planlanıyor. Ancak taslak, önceden belirlenmiş bir son tarih öngörmüyor ve bu süreye uymak için herhangi bir organizasyonel tedbir gerektirmiyor. AB Parlamentosu Sanayi Komitesi raportörü Lina Gálvez Muñoz, Euractiv dergisine yapılan başvuruyu memnuniyetle karşıladı. AP milletvekilleri girişim için orta ve uzun vadeli finansman sağlamak ve mükerrerliği önlemek için çalışıyor.
(Asla)
Haberin Sonu
Reklamcılık
Komisyon, teklifle tüm üye ülkelerdeki güvenlik operasyon merkezlerinden oluşan bir altyapı öngörüyor. Siber olaylara müdahale kabiliyetinin geliştirilmesi için bir acil durum mekanizması da kurulmalıdır. ECA artık revize edilmiş Ağ ve Bilgi Güvenliği Yönergesi’nin (NIS2) ulusal düzeyde bir veya daha fazla Bilgisayar Güvenliği Olayına Müdahale Ekibi (CSIRT) oluşturmayı amaçladığına işaret ediyor. Ayrıca daha üst düzey bir kriz ağı da var (AB Kasırgası). AB’nin tüm üye ülkelerdeki koordinasyon kurumlarıyla birlikte bir Avrupa Siber Güvenlik Yeterlilik Merkezi kurması 2021 yılına kadar mümkün olmadı. Ayrıca yakın zamanda BT güvenliğine odaklanan ortak bir siber birim oluşturuldu.
Çift yapılardan kaçınılmalı
Bu arka plana karşı, Sayıştay, örneğin CSIRT ağı ile ana hatlarıyla belirtilen güvenlik operasyon merkezleri arasında bir örtüşme yoluyla, maliyetli mükerrer yapılar kurmanın tehlikesini görmektedir. Her iki kuruluşun bazı görev ve hedefleri birbirine çok benzerdi. Yasama organları, “etkili koordinasyon sağlamak ve sinerji elde etmek için” tüm paydaşların rollerini ve sorumluluklarını en azından açıkça tanımlamalıdır.
Denetçiler ayrıca, AB kurumlarının, organlarının ve ajanslarının mevcut yükümlülüklere rağmen önemli siber güvenlik bilgilerini birbirleriyle sistematik olarak paylaşmadıkları yönündeki 2022 bulgularını da hatırlatıyor. Bunun nedeni “güvenli iletişimi engelleyen” birlikte çalışabilirlik sorunlarıydı. Bu eleştiri yönetilebilir bir grup AB aktörüne atıfta bulunuyordu. Bu zorlukların ek yetkililerin katılımıyla artması muhtemeldir. Veri paylaşımına yönelik planlanan mali teşvikler yeterli değildi. Komisyon ayrıca, altyapıda yüksek düzeyde BT güvenliği ve fiziksel güvenlik sağlamak için Üye Devletlere yönelik teknik gereklilikleri hızlı bir şekilde belirlemelidir.
Raporlar için son tarih belirlenmedi
ECA ayrıca geçen yıl, AB kurumlarına yönelik bilgisayar acil durum ekibinin (CERT-EU) denetim sırasında 24 saat görev başında olmadığından da şikâyette bulunmuştu. Artık AB siber güvenlik rezervinden destek başvurularının, siber güvenlik otoritesi Enisa’nın desteğiyle Komisyon tarafından değerlendirilerek “hemen” yanıt verilmesi planlanıyor. Ancak taslak, önceden belirlenmiş bir son tarih öngörmüyor ve bu süreye uymak için herhangi bir organizasyonel tedbir gerektirmiyor. AB Parlamentosu Sanayi Komitesi raportörü Lina Gálvez Muñoz, Euractiv dergisine yapılan başvuruyu memnuniyetle karşıladı. AP milletvekilleri girişim için orta ve uzun vadeli finansman sağlamak ve mükerrerliği önlemek için çalışıyor.
(Asla)
Haberin Sonu