Federal KRITIS mevzuatı: Etkilenenler arasında pek çok soru işareti var
Kritik altyapılarla ilgili mevzuat dalgası birçok cevapsız soruya yol açıyor. Federal İçişleri Bakanlığı, altyapıların daha iyi fiziksel olarak korunmasına yönelik KRITIS şemsiye yasasına yönelik iki yasa taslağını ve AB ağ ve bilgi güvenliği direktifi NIS2’nin uygulanmasına yönelik yasayı haftanın ilk yarısında federal hükümetin iç oylamasına sunduktan sonra, dernekler şimdi yeni düzenlemelere tepki gösteriyor.
Reklamcılık
Sözde AB CER Direktifini Alman yasalarına aktaran KRITIS Şemsiye Yasası ile yaklaşık 2.000 şirket için kritik altyapıları nasıl korumaları gerektiğine dair ilk kez zorunlu standartlar getiriliyor. Öte yandan, NIS2 Uygulama Yasası ile etkilenen kurumların çemberi büyük ölçüde genişleyecek; Federal Hükümet yaklaşık 29.000 bekliyor. KRITIS şemsiye kanunu, kritik altyapı sektöründeki şirketlerin yalnızca küçük bir bölümünü daha iyi fiziksel koruma sağlamaya mecbur etmeyi amaçlarken, siber güvenlik alanındaki revizyon bunun çok ötesine geçiyor.
Dernekler belirsiz düzenlemelerden ve kısa teslim tarihlerinden korkuyor
İnternet endüstrisi derneği Eco’dan Klaus Landefeld, “Etkilenen bu kadar çok sayıda insanla, kapsam ve hedef kitle kesinlikle bağlayıcı bir şekilde tanımlanmalıdır. Her şeyden önce, gelecekte kimlerin düzenleneceğine ilişkin açıkça anlaşılır kriterlere ihtiyacımız var. Özellikle daha önce etkilenmemiş şirketlere yasal kesinlik ve uygulama için yeterli süre tanınmalıdır.” NIS2 Uygulama Yasası’nın Ekim 2024’ün başında yürürlüğe girmesi planlanıyor, ancak önemli ayrıntılar yalnızca ek yasal emirlerle gelecek. Bunların ne zaman geleceği belli değil.
Bir VKU sözcüsü, belediye şirketleri birliği sistematik bir değişikliği potansiyel olarak sorunlu görüyor: Siber güvenliğin odak noktası şimdiye kadar yalnızca enerji ve su gibi kritik hizmetlerin tedariki ve bertarafı için gerçekten gerekli olan sistemler ve ağlar üzerindeydi. Ama bu artık değişiyor.
“NIS2 şimdi ikinci bir mantık ekliyor ve uygulama alanını genişletiyor: gelecekte sistem satın almak yerine ekipman satın almakla ilgili olacak. Bu, satışlara ve çalışan sayısına bağlı olarak tüm şirketin tüm alanları ile etkilenebileceği anlamına geliyor. Bizim açımızdan, en kötü durumda, bu siber güvenlik için bir bumerang haline gelebilir.”
Pratikte bu, yalnızca atık yakma tesisinin korunması gerektiği anlamına gelmez. Ancak tüm belediye atık bertaraf şirketi, yani müşteri yardım hattı veya muhasebe gibi doğrudan operasyonel olarak kritik olmayan alanlar da gereksinimleri karşılamalıdır. Bu da planlanan Kritis şemsiye yasasının özelliklerine tam olarak uymuyor.
Reklamcılık
Devletler bunları kendileri uygulamalıdır
AB NIS2 Direktifi, merkezi hükümetleri hedeflemektedir – öte yandan federal eyaletler, konu eyaletlerdeki ve belediyelerdeki yetkililerin BT güvenliğine geldiğinde kendi yönetmeliklerini çıkarmak zorunda kalacaktır. Federal hükümet bu alandan sorumlu değildir. Bununla birlikte, burada hazırlık çalışmaları halihazırda devam etmektedir: Kasım ayının başında, BT güvenliği için hangi yetkililerin, eğitim kurumlarının veya devlet yetki alanına giren diğer kurumların NIS2 koruma düzeyi kapsamına girmesi gerektiğini bulmayı amaçlayan bir “tanımlama konsepti” BT planlama konseyine sunulacaktır.
Federal Hessen Eyaleti, Haberler Online’ın talebi üzerine İçişleri Bakanlığı’na göre hararetli tartışmalara konu olan ve ancak Haziran sonunda kabul edilen Hessian Bilişim Güvenliği Yasasını (HITSiG) değiştirmeyi planlıyor. Bir sözcü, “NIS 2 direktifinin gereklilikleri HITSiG tarafından Hessen’de kısmen karşılanıyor” dedi. Örneğin, devlet idaresi bir bilgi yönetim sistemi (BGYS) uygulamak ve BT güvenlik olaylarını Hessen Siber Yeterlilik Merkezine bildirmekle yükümlüdür.
BBK’nın büyük siber güvenlik olaylarından birincil derecede sorumlu olduğu söyleniyor
Federal İçişleri Bakanlığı, Kritis Şemsiye Yasası teklifiyle, tekliflerinde önemli bir noktada NIS2 Direktifinden sapıyor: üye devletler, “büyük ölçekli siber güvenlik olayları ve krizleri” için yetkili bir merci tayin etmelidir. Siber güvenlikten teknik olarak sorumlu olan Federal Bilgi Güvenliği Ofisi burada bariz bir seçim olurdu.
Önerilen Haber Amaçlı İçerik
Onayınız ile harici bir anket (Opinary GmbH) buraya yüklenecektir.
Anketleri her zaman yükle
Anketi şimdi yükle
Bununla birlikte, BMI’den gelen yasa tasarısı bunun yerine siber konulara aşina olmayan ve fiziksel güvenlikten sorumlu olması gereken Federal Sivil Koruma ve Afet Yardımı Ofisi’nin (BBK) bu görevi yerine getirmesi gerektiğini şart koşuyor. Burada en geç meclis sürecinde birkaç soru işaretinin çıkması muhtemeldir.
Kritik bileşenler daha fazla tartışma materyali sunar
Ancak, politik olarak en büyük şantiye hala çözülmedi. Sadece birkaç hafta önce, federal hükümet ulusal güvenlik stratejisinde şunları yazdı: “Federal hükümet, iletişim ağlarımızdaki sistem açısından kritik bileşenler için test seçenekleriyle saldırıları önleyebilir. Diğer şeylerin yanı sıra, Federal Bilgi Güvenliği Ofisi (BSI) güçlendiriliyor. Önceki test seçeneklerinin etkinliği açısından, ilgili yasaları hızlı bir şekilde gözden geçireceğiz ve gerekirse uyarlayacağız.” Ancak bu, iki taslak konuşmacıyla henüz gerçekleşmemiş olan şeydi.
Hükümet çevrelerinde, yalnızca mobil radyo ağları için kullanılan önceki test yetkinliğinin diğer alanlara da genişletilmesi arzusu var. Küçük bir uzantı, Enerji Endüstrisi Yasasına göre iletim sistemi operatörlerinin “Avrupa’daki kritik sistemlerine” bir uzantı olabilir, daha büyük bir uzantı, çekinceleri olan diğer telekomünikasyon ağlarında da kullanılabilir. Ancak bu hafta sunulan taslaklarda, federal hükümetin tam olarak nasıl ilerlemeyi planladığı ve “kritik bileşenlerin” gelecekte hangi süreçlerle izleneceği ve kullanımlarının muhtemelen yasaklanacağı henüz net değil. Şimdiye kadar yasa, kritik bileşenlerin ilk kullanımına odaklandı.
(fds)
Haberin Sonu