Almanya'nın yakında yürürlüğe girecek olan NIS2UmsuCG (AB NIS-2 Direktifi'nin Uygulanmasına İlişkin Kanun ve Federal Yönetimde Bilgi Güvenliği Yönetimi Esaslarının Düzenlenmesi Hakkında Kanun), işletmeler ve kamu kurumları için siber güvenlik kurallarını önemli ölçüde sıkılaştırıyor. AB'nin NIS-2 Direktifi temel alınarak hazırlanan yasa, mevcut BSI Yasası'nın yerini alacak ve yükümlülükleri önceki KRITIS rejiminin çok ötesine genişletecek. Yasa, sadece 800'den fazla kritik altyapı işletmecisini etkilemek yerine, enerji, ulaşım, sağlık, dijital altyapı, telekomünikasyon, bankacılık, kamu yönetimi, gıda, kimya, atık yönetimi, imalat ve anahtar dijital hizmetler dahil olmak üzere 18 sektördeki 30,000'e kadar kuruluşu kapsayacak şekilde uygulanması bekleniyor.

Yeni çerçeve kapsamında, varlıklar sektör ve büyüklüğe göre "özellikle önemli" veya "önemli" olarak sınıflandırılır. Ek 1 sektörlerindeki büyük şirketler ve kritik tesislerin işletmecileri genellikle özellikle önemli olarak kabul edilirken, orta büyüklükteki firmalar ve Ek 2 sektörlerindeki şirketler önemli olarak sınıflandırılabilir. Bazı dijital hizmet sağlayıcıları ve altyapı operatörleri, hizmetlerinin sistem-kritik olması durumunda, boyutlarına bakılmaksızın kapsama alınır. Daha küçük tedarikçiler, özellikle tedarik zincirindeki BT ve yönetilen hizmet sağlayıcıları, kritik sistemlere veya hassas alanlara eriştiklerinde etkilenebilir. Kapsama alınan tüm organizasyonların, Federal Bilgi Güvenliği Ofisi'ne (BSI) kaydolmaları ve talep üzerine uyumluluğu göstermeleri gerekecektir.

Yasa, kapsamlı görevler getiriyor: Şirketlerin, risk temelli bir bilgi güvenliği yönetim sistemi kurmaları ve sürdürmeleri; düzenli risk değerlendirmeleri yapmaları; zafiyet ve yama yönetimi, yedekleme ve kurtarma, erişim kontrolü, çok faktörlü kimlik doğrulama, güvenli iletişim ve tedarik zinciri güvenliği gibi teknik ve organizasyonel önlemler uygulamaları ve olay tespiti, bildirim ve tepkisini sağlamaları gerekmektedir. Zamanı kritik bildirim yükümlülükleri uygulanacak ve ciddi olaylar için 24 saat içinde ilk bildirim, 72 saat içinde takip raporu ve bir ay sonra nihai rapor sunulmasını içerecektir. Risk yönetiminin düzenli olarak etkiliğinin gözden geçirilmesi zorunlu olacak ve kritik tesislerin operatörleri, her üç yılda bir BSI öncülüğünde denetimlere tabi tutulacak.

Özellikle, NIS2UmsuCG "yumuşak" bir kılavuz değildir. 10 milyon euro veya küresel yıllık cironun yüzde 2'sine kadar para cezalarını içeren daha güçlü yaptırımlar ve cezalar öngörmektedir. Yönetim kurulları ve direktörler uyumluluktan şahsen sorumludur ve ciddi ihlallerde yönetim pozisyonlarından men edilmeleri gibi bireysel sonuçlarla karşılaşabilirler. Yasanın 2025 sonları veya 2026 başlarında yürürlüğe girmesi ve uzun geçiş sürelerinin planlanmaması beklendiği için, şirketlere şimdi harekete geçmeleri önerilmektedir: Kritik kategorilere girip girmediklerini değerlendirmek, ISO 27001'e yönelik bir ISMS inşa etmeye veya güncellemeye başlamak, tüm seviyelerdeki personeli dahil etmek ve tedarikçileri erken dönemde sürece katmak.

Birçok organizasyon için, özellikle yeni kapsama alınanlar açısından, yasanın geçmesini beklemek çok geç olacaktır. Uzmanların mesajı nettir: NIS-2 sadece başka bir uyum çalışması değil, Avrupa ekonomisinde daha sağlam siber güvenliğe yönelik yapısal bir değişimdir. Erken adım atan şirketler yalnızca yaptırımlardan kaçınmakla kalmaz, aynı zamanda dayanıklılıklarını güçlendirebilir, operasyonlarını koruyabilir ve giderek daha düşmanca hale gelen siber ortamda müşterileri ve ortaklarıyla güven inşa edebilirler.