Kritik altyapının korunması: Almanya'da hâlâ iyileştirilecek çok yer var
Federal İçişleri Bakanlığı'nın (BMI), “NIS2” olarak adlandırılan ağ ve bilgi güvenliğine ilişkin revize edilmiş AB direktifinin uygulanmasına yönelik konsolide yasa taslağının Pazartesi günü birlik duruşmasını yapması durumunda her şey pembe olmayacak. Pek çok iş dünyası temsilcisi ve uzman, İçişleri Bakanı Nancy Faeser'in (SPD) ekibinin Mayıs ayı başında sunduğu şeyin kritik altyapıların korunması (Kritis) için mükemmel bir uyum olmadığı ve çelişkili olduğu konusunda hemfikir. Bu sonuçta etkilenen kurumlar için maliyetli ek çalışmalara ve daha yüksek düzeyde hayal kırıklığına yol açacaktır.
Reklamcılık
Sorunlar, teknik jargonda NIS2UmsuCG olarak kısaltılan Alman standartlarının kimleri kapsayacağını kimsenin tam olarak söyleyememesiyle başlıyor. AB yasa koyucuları, enerji ve su temini, bilgi ve iletişim teknolojileri (BİT), ulaştırma, finans, acil durum hizmetleri ve medya gibi geleneksel kritik sektörlerin yaklaşımını, daha önce kritik olarak sınıflandırılan tesislerin artık kritik olarak kaydedildiği yeni bir yaklaşımla değiştirdiler. “gerekli”. Ayrıca “önemli” kurumlar da ekleniyor. Bunlar aynı zamanda sosyal bir arada yaşama açısından da önemlidir, ancak temel tesislerin özel karakterine sahip değildirler.
İnternet endüstrisinin eko birliği açısından bakıldığında, ilgili tüm mevzuat tekliflerindeki bu tanımların – özellikle de bir süredir BMI'da sıkışıp kalan planlanan Kritis şemsiye yasasındaki – AB'yi temel alması mantıklı olacaktır. direktiflerinin yanı sıra Siber Direnç Yasası'nı da benimsemiş ve ifadelerini mümkün olduğunca eksiksiz benimsemiştir. Dernek, çevrimiçi olarak erişilebilen bir bildiride, sınıflandırmalardan kaçınılması gerektiğini yazıyor. Genel olarak ekonomiye ilişkin temel terimlerden türetilen gereksinimlerin “orantılı, şeffaf ve anlaşılır” olması gerekmektedir. Mevcut taslak buna uymuyor ve bu nedenle revize edilmesi gerekiyor.
Kafa karıştırıcı: Kritik altyapı, tesisler ve ekipmanlar
eco, BMI'ın özellikle önemli (temel tesisler yerine) tesislere ve önemli kurumlara odaklandığını açıklıyor. Bu sapma hukuki belirsizlik yaratmaktadır. Ayrıca çeşitli tesislerin tasarımı AB gerekliliklerine uygun değildir. Diğer bir sorun ise yerel projeye “kritik tesis” kategorisinin ilave olarak dahil edilmesinin mevcut AB düzenleyici yapısını bozmasıdır. Klasik kritik tesise karşılık gelmesi beklenen bu terim, NIS2 Direktifinde yer almamaktadır.
Gelecekte daha fazla dahil edilecek BİT hizmetleriyle ilgili olarak Eco, bir veri merkezi hizmetinin bir bulut bilişim hizmetinden veya içerik dağıtım ağından (CDN) nasıl anlamlı bir şekilde ayırt edilebileceği konusunda tam olarak net değil. Yeni eklemeler, NIS2 Direktifine dahil edilmeyen ve bu nedenle dışarıda bırakılması gereken uzay tabanlı hizmetleri ve muhtemelen ilişkili olması amaçlanan yer altyapılarını içermektedir.
Bremen bilgi hukuku uzmanı Dennis-Kenji Kipker de ulusal uygulamadaki terimlerin karışıklığı ve diğer hukuki belirsizlikler hakkında çevrimiçi olarak şikayette bulundu. Özellikle çeşitli hizmet türlerini sağlayan karmaşık kurumsal yapılar söz konusu olduğunda netlik yoktur. Burada, yalnızca ilgili kuruluş türüne atfedilebilen ticari faaliyetlere odaklanılması gerekse de (başlangıçta avantajlı gibi görünse de) bazı şirketlerin düzenlemelere uymak zorunda olup olmadığı belirsizliğini koruyor. Dijital dernek Bitkom da açıklamasında aynı düşünceyi tekrarlıyor: Özellikle küçük ve orta ölçekli şirketler, belirsizlikleri nedeniyle planlanan düzenlemelerden ne kadar etkileneceklerini çoğu zaman kendileri değerlendiremiyor.
Kötü hazırlanmış
Kipker, “Avrupa hukukuna yönelik kayıtsızlık devam ettiği için taslağın çeşitli yerlerinde teknik açıdan kusurlar var” diye şikayet ediyor. En iyi örnek: yeni ortaya çıkan uzay sektörü. Bu durumda avukat, eco'ya farklı bir bakış açısı getiriyor: BMI, “kademeli etkileri” yürürlüğe girmesi için bir ön koşul haline getirerek, Avrupa yasalarına aykırı bir şekilde uygulama kapsamını kısıtlıyor. Bu kısıtlama yalnızca direktifin açıklayıcı notunda bulunabilir ve bu nedenle bağlayıcı değildir.
AB Parlamentosu tarafından 2022'de kabul edilen NIS2'ye, siber güvenlik alanındaki risk yönetimi önlemlerine ve çevrimiçi saldırılar ve veri ihlalleri durumunda raporlama yükümlülüklerine ilişkin genişletilmiş minimum gereksinimler eşlik ediyor. Gelecekte, 250'den fazla çalışanı ve yıllık cirosu on milyon Euro'nun üzerinde olan şirketlerin, örneğin denetimler, risk değerlendirmeleri, güncellemelerin ve sertifikaların zamanında kurulumu gibi konularda ortak siber güvenlik standartlarına uyması gerekecek. Yetkili makamların öncelikle siber güvenlik olayları hakkında 24 saat içerisinde kabaca bilgilendirilmesi gerekiyor.
İçişleri Bakanlığı'nın eyalet ve yerel yönetim idarelerini gerekliliklerden muaf tutma ve federal yetkililerle ilişkilerde çoğu zaman öz denetime güvenme girişimi artık neredeyse oybirliğiyle protestolarla karşılanıyor. Bitkom, bu kurumların Almanya'daki günlük yaşamın merkezinde yer aldığına karşı çıkıyor. Temel hizmetlerin başarısızlığı yalnızca etkilenen nüfus ve ekonomi üzerinde anında ve önemli etkiler yaratmakla kalmayacak, aynı zamanda “devlet yapılarının işlevselliğine olan güveni de kalıcı olarak zayıflatabilecektir”. Bu nedenle bu alanları korumak için temel bir güvenlik çerçevesi oluşturulmalıdır. Aksi takdirde tedbirlerin asıl yükü özel sektörün omuzlarına binecektir. Bu, kamu sektörünü “Almanya'da siber güvenliğin zayıf noktası” haline getirecek.
AG Kritis'in kurucusu Manuel Atug da “sayısız özel düzenleme ve istisnanın” devlet ve idare için geçerli olduğundan şikayet ediyor. Bu, örneğin Anhalt Bitterfeld bölgesinde veya yakın zamanda Kuzey Ren-Vestfalya'daki 100'den fazla belediyede meydana gelen çok sayıda ve bazen çok geniş kapsamlı siber güvenlik olayları ve bunun sonucunda ortaya çıkan “siber güvenlik başarısızlıkları zinciri ve sorumluluğun yayılması” göz önüne alındığında son derece ihmalkar bir davranıştır. . Etkilenen nüfusun acil bir durumda alternatif eylem planı yoktur. Ayrıca, federal makamlara yönelik ne ceza düzenlemeleri ne de denetleyici ve yaptırım tedbirleri sağlanmaktadır. Genel olarak, Kritis şemsiye yasasıyla tam bir uyum sağlanamadığı görülüyor. “Kırık” düzenleme riski vardır. Bu durum potansiyel olarak etkilenen tüm tesisler ve tedarik zincirleri, denetleyici otoriteler ve uzman gözlemciler için belirsiz bir duruma yol açmaktadır.
Eco, bir üreticinin tüm kritik bileşenlerinin yasaklanmasını haklı gösterebilecek ciddi bir güvenilirlik eksikliği durumuyla neyin kastedildiğini en azından açıklanması gerektiğine inanıyor. Her ne kadar BMI Ekim 2022'de telekomünikasyon sektörü için ilgili siparişi iptal etse de, gelecekte BİT sektöründeki bu tür bileşenlerin üreticileri de garanti beyanları sunmak zorunda kalacak. İnternet endüstrisi de Federal Bilgi Güvenliği Dairesi'nin (BSI) bu kararından rahatsız. ) Envanter veri sorgulamalarını gerçekleştirebilmelidir. Böyle bir yetkiye dair, en azından öncesinde bir yargı çekincesi olması gereken bir yetkiye dair şüpheler var.
(benim)
Haberin Sonu