bencede
New member
NIS2 uygulama yasası Federal Kabine'ye geçti
Avrupa Birliği Ağı ve Bilgi Güvenliği Direktifi'nin (NIS2) revizyonunu uygulayan yasa, etkili bir yasa olma yolunda büyük bir engelin üstesinden geldi: Federal kabine Çarşamba günü bir yasa taslağını onayladı. Bu geniş kapsamlı çünkü hükümet yalnızca yeni AB gerekliliklerini uygulamakla kalmıyor, aynı zamanda bazı Alman değişikliklerini de ekliyor.
Duyuru
“NIS2UmsuCG”nin özü, kritik altyapı ve sistem operatörlerine (KRITIS) yönelik yeni ve kapsamlı siber güvenlik düzenlemeleridir. Gelecekte çok daha fazla şirket ve kamu kurumu siber güvenlik gerekliliklerine tabi olacak. NIS2UmsuCG'nin aslında daha iyi fiziksel korumaya yönelik düzenlemelerin karşılığı olarak KRITIS şemsiye yasasıyla tamamlanması gerekiyor; ancak bu yasa henüz hükümet için hazır değil.
NIS2'nin uygulanmasıyla birlikte önceki düzenlemelerin çoğu sıkılaştırılacak veya en azından hedef grup önemli ölçüde genişletilecek. Federal hükümet gelecekte 29.500 işin NIS2 rejimine tabi olacağını varsayıyor. Federal İçişleri Bakanı Nancy Faeser (SPD) çarşamba günü hükümetin kararıyla ilgili olarak şunları söyledi: “Gelecekte, daha fazla sektörden daha fazla şirketin minimum siber güvenlik gerekliliklerini ve siber olaylar durumunda raporlama yükümlülüklerini yerine getirmesi gerekecek.” “Güvenlik seviyesini artırıyoruz ve böylece şirketlerin siber saldırı mağduru olma riskini azaltıyoruz.”
“Önemli” ve “özellikle önemli”
NIS2 spesifikasyonları temel olarak iki alanı birbirinden ayırmaktadır: “Önemli kurulumlar” ve “Özellikle önemli kurulumlar”. Özellikle önemli görülen kurumların listesi topluluk düzeyinde tanımlanır ve Alman hukukuyla birlikte Alman hukukuna aktarılır.
Kriterler kabine açıklamasının 28. Maddesinde açıklanmıştır – bu, belirli bir tedarik büyüklüğünün üzerindeki arz açısından kritik sistemlerin tüm operatörlerini, nitelikli güven hizmet sağlayıcılarını, TLD kayıtlarını ve DNS hizmet sağlayıcılarının yanı sıra telekomünikasyon ağlarının ve bazı bölümlerinin büyük operatörlerini içerir. federal hükümet idaresi. Bu özellikle önemli yapılar, Federal Meclis'in yargılama sırasında değiştirebileceği katı şartlara tabidir.
“Önemli kurumların” ikinci kategorisi, küçük telekomünikasyon operatörlerine ek olarak, halihazırda “özellikle önemli” olarak kabul edilmeyen ancak belirli bir minimum büyüklüğe sahip olan (ciro ve çalışan sayısı burada sayılmaktadır) ve enerji, ulaştırma sektörlerindeki tüm pozisyonları içermektedir. ve trafik, finans, sağlık, su, dijital altyapı veya uzay sektörleri.
Bununla birlikte atık yönetimi sektöründeki firmalar, kimya sektörü, gıda sektörü, tıbbi cihaz veya bilgi işlem cihazları gibi bazı ürün üreticileri, makine ve araç üreticileri ve araştırma enstitüleri de önemli sayılmaktadır.
Bu durum yasanın Ek 2'sinde daha ayrıntılı olarak açıklanmaktadır: Kilitlemenin mantığı biraz karmaşıktır. Aslında sadece “büyük” bir şirket olan bir şirket, kritik sistemlerin operatörü olduğundan ve uygun önlemleri alması gerektiğinden yine de “özellikle önemli bir tesis” olabilir. BSI, web sitesinde ilgilenen şirketlerin sıralamasına yardımcı olan bir araç sunmaktadır.
Bu, BSI yasasının mevcut sisteminin gelecekte de etkili olmaya devam etmesi gerektiği anlamına gelir, ancak bu herkesi memnun etmeyecektir. BT ticaret birliği Eco'dan Klaus Landefeld, “Özellikle, 'kritik sistemlerin operatörü' olarak sınıflandırma, bireysel AB üye ülkelerinde farklı kurallara uymak zorunda kalacak uluslararası alanda faaliyet gösteren şirketler için belirsizlik yaratıyor” diye eleştiriyor. Aynı zamanda finans sektöründeki DORA gibi özel kanunlar sayesinde kısmen muaf tutulan sektörler de mevcut.
Korunması gereken yalnızca BT değil
Son yıllarda siber güvenlik yasalarından büyük ölçüde etkilenen önceki BSI Yasasına göre önemli bir değişiklik, etkilenen sistemlerin kapsamıdır. Kanunun açıklayıcı raporunda, bunun sadece tam anlamıyla operasyonel açıdan kritik BT anlamına gelmediği, aynı zamanda “BT sistemlerinin kullanıldığı kurumun tüm faaliyetleri; buna örneğin BT ofisi veya diğer BT sistemleri de dahildir” ifadesine yer veriliyor. Kurum tarafından kullanılanlar çalışmaktadır.” Başka bir deyişle: Federal yetkililer faks makinelerini korumalı, hizmet sağlayıcıları da işin sürdürülmesi için kesinlikle gerekliyse muhasebelerini korumalıdır.
Politika yapıcıların özellikle BT güvenlik operasyonlarına ilişkin daha derin bir içgörü elde etme umutları büyük. Bu amaçla artık bir raporlama zorunluluğu getirildi: raporlama, Federal Bilgi Güvenliği Dairesi (BSI) ve Federal Sivil Koruma ve Sivil Koruma Afet Yardım Dairesi (BBK) tarafından ortaklaşa oluşturulan merkezi bir raporlama noktasına yapılmalıdır. önemli bir güvenlik olayının üzerinden 24 saat geçmeden; güncelleme en geç 72 saat içinde gerçekleştirilmelidir. O tarihe kadar olayın hafifletilmesi durumunda nihai raporun en geç bir ay içinde sunulması gerekir.
Ancak şu anda “önemli bir güvenlik olayının” tam olarak ne anlama geldiği hala belirsizdir: Bunun, NIS2 ile ilgili bir AB Komisyonu uygulama kanunu ile açıklığa kavuşturulması gerekmektedir. Yarına kadar halkın katılımı toplantısı gerçekleştirilecek. Her iki kategoride sınıflandırılan pozisyonlar en geç üç ay sonra kayıt ofisine kaydolmalı ve iletişim bilgilerini vermelidir. Bazı bölgelerde, kullanılan IP aralığı da dahil olmak üzere daha ayrıntılı bilgilere ihtiyaç duyabilirsiniz.
Yönetim sorumludur
Önceki düzenlemeyle karşılaştırıldığında önemli bir açıklama özellikle şirketlerde siber güvenlikten sorumlu olanları sevindirecek: Gelecekte yönetim, şirketler hukukunun geçerli kurallarına göre sorumlu olacak ve eğitim almakla yükümlü olacak. BT endüstrisi derneği Bitkom bunun pratik olmayacağına inanıyor: Güvenlik politikası danışmanı Felix Kuhlenkamp, ”Temelde siber güvenliğin bu seviyede olması gerektiği görüşünde olmama rağmen, tüm pratik görevleri üstlenmek CEO'lar için gerçekçi görünmüyor” diyor. Nihai sorumluluğun açıkça yönetimde kalması ve yönetimin üçüncü şahısları da görevlendirebilmesi daha mantıklı olacaktır. CEO sorumluluk mevzuatı, son haftalarda NIS2UmsuCG projesi etrafındaki tartışma noktalarından biri oldu.
Yeni yasa aynı zamanda kritik sistemlerin operatörleri için düzenli “güvenlik denetimleri, testleri veya sertifikaları” da gerektirecek. Operatörlerin düzenlemelere uymaması halinde, NIS2'nin uygulanması artık GDPR'ye benzer şekilde, maksimum miktarı etkilenen şirketlerin yıllık cirolarıyla sınırlı olacak ciddi para cezaları tehdidi oluşturuyor.
Denetleyici bir otorite olarak BSI, hem uyumluluktan hem de uygulamadan sorumludur. Emir verebilir, şirketleri ve kamu kurumlarını tedbir almaya mecbur edebilir. Federal Bilgi Güvenliği Baş Yetkilisinin (CISO) atanması da bu bağlamda değerlendirilmelidir: Bu kişi aynı zamanda güvenlik olaylarını önlemek veya çözmek için federal kurumlara talimat verme ve bunu yapmak için uygun kaynakları kullanma yetkisine de sahip olacaktır.
“Kritik bileşenler”
Uygulamada, sözde “kritik bileşenlerin” nasıl yönetileceği sorusu muhtemelen özellikle hassas olacaktır. Kabine versiyonunun 41. maddesi, bu tür bileşenlerin ilk kullanımının Federal İçişleri Bakanlığına bildirilmesi gerektiğini belirtmektedir. Bu sadece teknik bir inceleme değil, aynı zamanda tedarikçilerin güvenilirliğinin politik değerlendirmelere dayalı olarak doğrulanmasıdır. Bu, Alman 5G mobil ağlarındaki Huawei bileşenlerine yönelik düzenlemenin diğer alanları da kapsayacak şekilde genişletileceği ve üreticilerin garanti beyanının gerekli olacağı anlamına geliyor.
Belediye İşletmeleri Birliği'nden (VKU) Ingbert Liebing bunun mümkün olup olmadığından şüphe ediyor: “Yüzlerce şirket, binlerce bireysel vaka incelendi: böyle bir prosedürün Federal İçişleri Bakanlığı için özellikle personel açısından uygulanabilir olup olmadığından oldukça şüpheliyiz Düzenli satın alma süreçleri gecikeceğinden ve kusurlu bileşenler oluşabileceğinden, artık bu kadar hızlı değiştirilemezler.” IMC'nin kullanımını yasaklaması durumunda ilgili bileşen kullanılamayabilir ve gelecekte tamamen yasaklanabilir. Sınav dokümanlarına erişim sağlanmayacaktır.
4617803
NIS2 uygulama yasasının Ekim ayında yürürlüğe girmesi gerekiyordu; aylar önce Federal İçişleri Bakanlığı bunun muhtemelen artık gerçekleşmeyeceğini açıkça kabul etmişti. İş dünyası derneklerinin yasaya daha uzun geçiş dönemleri eklenmesi çağrısında bulunmasının nedeni de budur: Yasama sürecinin yavaş ilerlemesi, değişiklikler için gereken süreyi bunlara uyum sağlanamayacak kadar kısaltmıştır.
Yeşiller parlamento grubunun başkan yardımcısı Konstantin von Notz projeyi eleştirdi ve Parlamentonun artık yasayla “çok yoğun” ilgileneceğini duyurdu: “Genel olarak, ana bakanlığın yaklaşımı nedeniyle hala yapılması gereken çok iş var “İyi yasa yapmak ve diğer AB mevzuatı ve tek tip kritik korumanın garantisi olarak şemsiye yasayla uzun süredir talep edilen tutarlılığı oluşturmak” yasasını uygulamak için parlamento grupları tarafından yapıldı.
(vbr)