Avrupa Parlamentosu, Avrupa Birliği’ndeki hem kamu hem de özel sektör kuruluşlarının siber güvenliğini ve direncini artırmayı amaçlayan bir “geçici anlaşma” duyurdu.
Gözden geçirilmiş direktif, “NIS2” (ağ ve bilgi sistemlerinin kısaltması), mevcut mevzuat Temmuz 2016’da kurulan siber güvenlik üzerine.
Yenileme, enerji, ulaştırma, finans piyasaları, sağlık ve dijital altyapı sektörlerindeki şirketlerin risk yönetimi önlemlerine ve raporlama yükümlülüklerine uymasını gerektiren temel kuralları belirliyor.
Yeni mevzuattaki hükümler arasında siber güvenlik olaylarının 24 saat içinde yetkililere bildirilmesi, yazılım açıklarının yamalanması ve ağların güvenliğini sağlamak için risk yönetimi önlemlerinin hazırlanması yer alıyor.
Avrupa Birliği Konseyi, “Yönerge, büyük ölçekli siber güvenlik olaylarının koordineli yönetimini destekleyecek olan Avrupa Siber Krizler İrtibat Organizasyon Ağı EU-CyCLONe’u resmi olarak kuracak.” dedim geçen hafta yaptığı açıklamada.
Gelişme, Avrupa Komisyonu’nun mesajlaşma uygulamaları da dahil olmak üzere çevrimiçi hizmet sağlayıcılardan gelen çocuk cinsel istismarı resimlerini ve videolarını “tespit etme, bildirme, engelleme ve kaldırma” planlarını yakından takip ediyor ve bunun uçtan uca şifreleme (E2EE) korumalarını zayıflatabileceği endişelerini uyandırıyor. .
NIS2’nin taslak versiyonu açıkça E2EE kullanımının “Üye Devletlerin temel güvenlik çıkarlarının ve kamu güvenliğinin korunmasını sağlamak ve cezai suçların uygun şekilde soruşturulmasına, tespit edilmesine ve kovuşturulmasına izin vermek için yetkileriyle uzlaştırılması gerektiğini açıklar. Birlik hukuku ile.”
Ayrıca, “Uçtan uca şifreli iletişimlerde bilgiye yasal erişime yönelik çözümlerin, suça etkili bir yanıt sağlarken, iletişimin gizliliğini ve güvenliğini korumada şifrelemenin etkinliğini sürdürmesi gerektiğini” vurguladı.
Bununla birlikte, direktif savunma, ulusal güvenlik, kamu güvenliği, kolluk kuvvetleri, yargı, parlamentolar ve merkez bankaları gibi dikey kuruluşlar için geçerli olmayacak.
Önerilen anlaşmanın bir parçası olarak, Avrupa Birliği üye devletleri, direktifin yürürlüğe girmesinden itibaren 21 aylık bir süre içinde hükümleri ulusal yasalarına dahil etmekle yükümlüdür.
Konsey taslakta, “Siber güvenlik olaylarının sayısı, büyüklüğü, karmaşıklığı, sıklığı ve etkisi artıyor ve ağ ve bilgi sistemlerinin işleyişi için büyük bir tehdit oluşturuyor” dedi.
“Siber güvenlik hazırlığı ve etkinliği bu nedenle iç pazarın düzgün işleyişi için artık her zamankinden daha önemli.”