bencede
New member
NIS2'nin Alman federalizmi ile dünya siyaseti arasındaki uygulama yasası
Tüm AB üye ülkeleri gibi Almanya'nın da “Birlik genelinde ortak yüksek düzeyde siber güvenlik için” NIS2 direktifini ulusal yasalara aktarması gerekiyor. Ancak bunun farkına varmak yine de zaman alacak. Federal İçişleri Bakanlığı'nın NIS2 BT Uygulama ve Güçlendirme Yasasına ilişkin yeni tasarısı yazdan önce hükümete ulaşmayacak. BMI'da Haziran başında bir dernek duruşması yapılması planlanıyor; Yorumların son tarihi Mayıs ayının sonuna kadar sürecek. Daha sonra son rötuşlar yapılabilir.
Duyuru
Diğer bakanlıklarla önceden mutabakata varılan ve bu nedenle ilk kabine tartışması için bir model olarak tasarlanan mevcut versiyon, bu nedenle Federal Meclis'te ancak yaz tatilinden kısa bir süre önce tartışılacak.
Sürece yönelik eleştiri BT ticaret birliği Bitkom'dan geliyor: Güvenlik Politikası Danışmanı Felix Kuhlenkamp, ”Diğer üye ülkelerdeki mevcut ilerleme göz önüne alındığında, şu anda AB'de uyumlu bir yasal çerçeve hedefini riske atıyoruz” diyor. Pek çok AB ülkesi şu anda uygulamada geride kalıyor; Yalnızca Macaristan yılın başında NIS2'yi geçerli yasaya aktarmıştır. Avrupa çapındaki bir düzenlemeden farklı olarak, NIS2 Direktifi yalnızca minimum bir seviye sağlar: Üye Devletler, diğer AB yasaları bununla çelişmediği sürece (örneğin, finans sektörüne yönelik olanlar gibi daha spesifik düzenlemeler) daha da ileri gidebilirler.
Daha fazla gecikme Federal Meclis'te de pek heyecan uyandırmıyor. Yeşil Milletvekili ve Parlamento Gizli Servislerin Denetimi Komisyonu başkanı Konstantin von Notz, yeni projenin mevcut olmasının olumlu olduğunu söylüyor. Yasanın vadesi çoktan geçti: “Daha fazla parlamento müzakeresi için zaman çizelgesi, AB tarafından belirlenen uygulama son tarihleri göz önüne alındığında ne yazık ki son derece iddialı.” FDP'li ulusal siyasetçi Manuel Höferlin, daha dikkatli bir şekilde, düzenleme içeriğinin bir kısmının koalisyon anlaşmasında zaten kararlaştırıldığına dikkat çekiyor. Gerçekte, Avrupa'daki tüm uygulamaların ve dolayısıyla Alman uygulama yasasının da 17 Ekim'e kadar yürürlüğe girmesi gerekiyor.
Kritik altyapılara ilişkin açıklamalar
Bitkom raportörü Kuhlenkamp, her şeyden önce Alman “NIS2UmsuCG”nin başarılı bir şekilde Alman yasalarına aktarılması gerektiğini talep ediyor: “Yeni taslak, Almanya'daki şirketlerin çok sayıda yeni gereklilik ve yükümlülüğü yerine getirmek için gerekli yasal kesinliği almasını sağlamalıdır.” Yeni versiyon aslında Federal İçişleri Bakanlığı'nın önceki teklifleriyle karşılaştırıldığında bazı açıklamalar ve tanımsal ayrımlar içeriyor. Örneğin güncellenen taslakta veri merkezi tanımı değiştirilip daraltıldı. BSI, yalnızca GDPR uyarınca bir veri koruma ihlalinin “açık” olması durumunda veri koruma denetleyici makamlarını olaylar hakkında bilgilendirmelidir.
Mevcut sürüm, kritik altyapıların fiziksel güvenliğine ilişkin kuralları içeren mevcut Kritis çerçeve yasası kapsamında NIS2'nin uygulanması anlamında, kritik sistem operatörlerinin her zaman “özellikle önemli tesisler” olduğunu açıklığa kavuşturuyor. Federal İçişleri Bakanlığı, korumada kasıtsız boşlukların önlenmesini istiyor.
Kamu kurumları: durum karmaşık olmaya devam ediyor
Uzman dernekler öncelikli olarak kendilerini ilgilendiren konulara odaklanırken, son aylarda bakanlıklar arasında ve bakanlıklar arasında, ayrıca federal, eyalet ve yerel düzeylerde şiddetli tartışmalar yaşandı. Belediyelerin açıkça proje dışında tutulacağı önceki versiyonlarda zaten açıklığa kavuşturulmuştu. Devletler anayasal kaygılarını dile getirdiler ve bu nedenle AB direktifinde buna karşılık gelen bir maddenin kullanılması çağrısında bulundular. Çünkü NIS2 ile yalnızca kritik altyapıların operatörleri değil, aynı zamanda kamu kurumları da daha fazla siber güvenlik sağlamakla yükümlüdür; ancak Almanya'da bir sonraki aşamada yalnızca federal hükümetin siber güvenliğini sağlamak zorundadır. Gelecekte ağlarını ve BT'lerini BSI Grundschutz'a ve BSI tarafından belirlenecek minimum standartlara göre korumak zorunda kalacaklar. Bu, daha önceki BSI yasasında öngörülen hususları daha da doğrulamaktadır.
Yeni taslak, telematik (Gematik) ve veri merkezi şirketlerini, bulut bilişim hizmetlerini ve güven hizmeti sağlayıcılarını NIS2 kapsamının dışında bırakıyor. Ayrıca, federal hükümet olmayan yerel kurumlara ait olan, ücret karşılığında çalışmayan ve eyalet yasalarına tabi olan başkaları da vardır. Başka bir deyişle: Federal hükümet, eğer BT hizmet sağlayıcıları da federal hükümet için çalışmak zorundaysa eyaletlere düzenleme getiriyor.
Ayrıca Dışişleri Bakanlığı, Federal Savunma Bakanlığı ve Bundeswehr, Federal Bilgi Servisi ve Federal Anayasayı Koruma Dairesi de büyük ölçüde kapsam dışındadır. Ancak Dışişleri Bakanlığı, NIS2 standartlarına eşdeğer koruma sağlayan kendi güvenlik gerekliliklerini oluşturmalıdır.
Federal bir CISO'ya evet
Bunun federal hükümette etkin bir şekilde uygulanabilmesi için her departmana bir yönetici atanmasının yanı sıra bir federal bilgi güvenliği görevlisinin (Federal CISO) da görevlendirilmesi gerekmektedir. Projeye göre bazı acil durumlarda anında siber tedbir emri de verilebilecek. Ancak şu anda bu rolü kimin üstleneceği belli değil: ilgili bakanlıkların yetki alanlarında da hareket etme yetkisinin geniş olması nedeniyle bu aynı zamanda siyasi açıdan da hassas bir görevdir.
Aynı şey güvenlik açığı yönetimi konusu için de geçerli. Güvenlik açıklarının tedarikçilere raporlanmasının aynı zamanda güvenlik ekipmanlarının da raporlanmasını içerip içermemesi gerektiği oldukça tartışmalıdır. Federal İçişleri Bakanlığı'nın projesi, koalisyon anlaşmasının gereklerini önemli ölçüde karşılamamaktadır. FDP siyasetçisi Manuel Höferlin bu nedenle “güvenlik açıklarının açık tutulmak yerine mümkün olduğunca çabuk kapatıldığı ve tüm devlet kurumlarının BT sistemlerinin düzenli olarak harici sızma testlerine tabi tutulduğu etkili güvenlik açığı yönetimi” çağrısında bulunuyor. Parlamento sürecinin daha da iyileştirilmesi potansiyeli hâlâ mevcuttur.
Kritik bileşenler: daha fazla yasaklama seçeneği – ancak bu pratik mi?
Aralık ayından bu yana yasa tasarılarında neredeyse hiç değişmeden kalan 41. paragraf: Kritik unsurlar, önümüzdeki tartışmalarda muhtemelen özel ilgi görecektir. Yıllardır kritik bileşenlerin kullanımının yasaklanması konusunda yoğun bir tartışma yaşanıyor. BSI Yasası'nın şimdiye kadarki önceki düzenlemesi yalnızca kamuya açık mobil ağlara uygulanıyordu, sabit ağ veya diğer iletişim altyapısı için geçerli değildi.
NIS2'nin Almanya'da uygulanmasıyla birlikte, bu düzenlemenin, siyasi açıdan güvenilmez olduğu düşünülen tedarikçilere veya menşe ülkelere karşı koruma sağlamak amacıyla BİT ürünlerinin kritik altyapıdaki tüm ilk kullanımlarını kapsayacak şekilde genişletilmesi planlanıyor. Üreticilerin herhangi bir zarar vermediklerini ve herhangi bir yabancı gücün hizmetinde olmadıklarını beyan etmeleri gerekmektedir. İçişleri Bakanlığı ve ona bağlı yetkililer daha sonra bunun güvenilir olup olmadığını kontrol edecek. Başka bir deyişle: 5G üniversite ağındaki bir anahtar veya uç yönlendirici, Federal İçişleri Bakanlığı tarafından da yasaklanabilir.
Federal Meclis'in nasıl davrandığını görmek ilginç olacak: Federal hükümet, Çin'e bağımlılığın siyasi açıdan kaygan arenasında biraz geri çekilirken, Federal Meclis üyeleri ona daha az bağlı. Yeşil Milletvekili von Notz, “özellikle kritik bileşenler söz konusu olduğunda” yasayı sıkılaştırmak istediğini söyledi. Onun için amaç açık: “Kritik altyapılarımıza otoriter devletlerin tedarikçilerinden ne kadar az bileşen kurulursa o kadar iyi.” Otoriter devletlere aşırı bağımlı olma gibi geçmişteki hatalar tekrarlanmamalıdır.
Önerilen yaklaşımın uygulanması bir takım sorunlara yol açma riskini taşıyor: Yasa metnine göre, kritik sistemlerin operatörlerinin BMI'nın bir bileşeni ilk kez kullanmalarını yasaklayıp yasaklamadığını görmek için iki ay beklemesi gerekiyor. Daha sonra otomatik olarak onaylanmış sayılır. İdari çabanın gerçekte ne kadar büyük olacağı ve hangi seviyedeki testlerin gerçekçi olacağı tamamen belirsizliğini koruyor. Hatta bir operatörün eksik olabilecek alternatifleri bildirmesi durumunda ne olacağı bile belli değil. Her durumda bunun elde etmesi gereken şey: kullanılan bileşenlere ve bunların üreticilerine daha iyi bir genel bakış. Bunun ne gibi sonuçlar doğurabileceği öncelikli olarak siyasi bir soru olmaya devam ediyor, ancak aşırı bir durumda, belirli bir üreticinin bileşenlerini ülke çapında kritik altyapıda yasaklamak için yasal bir otorite oluşturulabilir.
(tatlı patates)
Haberin Sonu