Kritik altyapıları hedef alan artan sayıda siber saldırı, örneğin Amerika Birleşik Devletleri ve Avrupa Birliği de dahil olmak üzere büyük uluslararası aktörlerin, sistemlerinin ve kendi ağlarının güvenliğini artırmaya yönelik önlemleri benimsemelerini hızlandırdı.
Sadece Avrupa boyutuna baksak bile, son aylarda siber güvenlik alanında son derece önemli iki girişim bulduk. Hatta bir yandan sistemlerin dayanıklılığını ve siber saldırılara yanıt verme kabiliyetini artırarak Avrupa Birliği kurum, kuruluş ve kuruluşlarının siber güvenlik düzeylerini yükseltmeye yönelik bir yönetmelik taslağı yayımlandı. Öte yandan, Konsey ve Avrupa Parlamentosu, bir bütün olarak kamu, özel sektör ve Birlik sektörlerinin dayanıklılık ve yanıt kapasitelerini daha da geliştirmeyi amaçlayan Avrupa mevzuatı olan NIS 2 Direktifi üzerinde bir anlaşmaya varmıştır. ortak bir yüksek düzeyde siber güvenlik için önlemler.
Ulusal düzeyde, İtalyan yasa koyucu bir süredir sözde “Ulusal Siber Güvenlik Çevresi”ni oluşturmayı amaçlayan açık ve karmaşık bir mevzuat bütünü tasarlamıştı. Bu mevzuat, temel bir işlevi yerine getiren veya temel bir hizmeti sağlayan kamu ve özel ulusal operatörlerin ağlarının, bilgi sistemlerinin ve BT hizmetlerinin yüksek düzeyde güvenliğini sağlamayı amaçlayan çok sayıda yasal yükümlülük getirmektedir. veya uygunsuz kullanım, ulusal güvenliğe zarar verebilir.
Ulusal Siber Güvenlik Çevresinin düzenleyici çerçevesi, temellerini, şu anda üç Bakanlar Kurulu Başkanı (DPCM) Kararnamesi ve bir Cumhurbaşkanı Kararnamesi olan 105/2019 tarihli kanun hükmünde kararnameye dayanmaktadır. (DPR) aşılanır. ) uygulanması. Kaynakların karmaşıklığı ve miktarı göz önüne alındığında, söz konusu mevzuata uyum amacıyla, yalnızca tamamen teknik yönlerle sınırlı olmayan, aynı zamanda yasal bir yasanınkileri birleştirmeyi de başaran, getirilen tüm yükümlülüklere genel bir bakış gereklidir. özellikle mevzuatın ilgili aktörlerin örgütlenmesi üzerindeki önemli etkisi göz önüne alındığında.
Disiplinin büyük ölçüde yaygınlığına bir örnek teşkil eden DPR, BİT mallarının, sistemlerinin ve hizmetlerinin tedarikine devam etmek isteyen mevzuattan etkilenen konuların uyması gereken prosedür, yöntem ve şartlara müdahale ederek bir Ulusal Değerlendirme ve Sertifikasyon Merkezi (CVCN) tarafından değerlendirme süreci.
CVCN’nin 30 Haziran 2022’de çalışması planlanıyor ve Ulusal Siber Güvenlik Çevresinin karmaşık düzenleyici aygıtını tamamlayan son unsurlardan birini temsil ediyor. Bu yapı, özellikle, 15 Haziran 2021 tarihli özel Başbakanlık Kararnamesi ile belirlenen kategorilere ait BİT malları, sistemleri ve hizmetleri üzerinde teknolojik bir inceleme yapmaktan sorumludur ve bu kapsamda yer alan temel hizmet veya işlevleri destekleyen altyapılarda kullanılması amaçlanmaktadır. söz konusu mevzuatın uygulama kapsamı. Bu, tedarik zinciri ve özellikle seçilen tedarikçiler ve Ulusal Siber Güvenlik Çevresine dahil edilen konunun kullandığı ürünler hakkında bir inceleme anlamına gelir.
Bu bağlamda, CVCN’nin ana yetkilerinden biri, satın alınan ürünlerin kullanım şartlarını koymak ve kullanımdan önce donanım ve yazılım testlerinin yapılmasını istemektir. Bu nedenle, temel işlevleri veya hizmetleri yürütmekten sorumlu sistemlerle etkileşime giren BİT malzemelerinin güvenliğini ve bilinen güvenlik açıklarının bulunmadığını tespit etmeyi amaçlayan önleyici bir kontrol gerçekleştirecektir. Bu doğrulamanın çeşitli amaçları arasında, satın alınan ürün ve hizmetlerin veya burada bulunan güvenlik açıklarının, hassas bilgileri sızdırmayı veya ulusal kritik altyapıların işleyişini kesintiye uğratmayı veya sınırlamayı amaçlayan siber saldırılar için kullanılma riskini azaltmak yer almaktadır. Bu nedenle, CVCN kontrolleri, BT güvenliğine yönelik önyargıları önlemek için son zamanlarda kamu idarelerini teknolojik ürün ve hizmetleri Rusya’dan “çeşitlendirmeye” zorlayanlara benzer mantıklara yanıt verebilir.
Bu koruma ihtiyacı, Ulusal Siber Güvenlik Çevresi’ne dahil olan ve halihazırda hem organizasyonel hem de süreç düzeyinde kayda değer uyum çabaları göstermeye çağrılmasına ek olarak, satın alma prosedürlerini yeniden tasarlamak zorunda kalacak olan aktörler üzerinde yeni bir yük getirmektedir. Yeni düzenleyici çerçeveyi dikkate alarak. Ayrıca, değerlendirme sürecinin, yalnızca değerlendirme sürecine tabi olan işletmecilerin değil, aynı zamanda tedarikçilerinin de işletmeleri üzerinde önemli bir etkisi olabileceği açıktır. Nitekim değerlendirmenin olumsuz sonuçlanması durumunda Ulusal Siber Güvenlik Çevresi ile ilgili mevzuattan etkilenen konu sözleşmeleri ifa edemeyecek. Sözleşmelerin veya ihale çağrılarının yürütülmesini engelleme olasılığı, bunların, onları, erteleyici veya kesin olarak, dayatılan koşullara uygunluk veya testlerin olumlu sonucu konusunda koşullandıran maddelerle bütünleşmelerini gerektirir.
Bu yönler ve sektörün artan düzenlemesi, siber güvenlik söz konusu olduğunda yasal becerilerin artan önemini göstermektedir. Aslında, bu konuya yalnızca teknik bir şekilde yaklaşma eğilimi, uzun vadede güvenlik hedeflerinin tam olarak izlenmesine izin vermeme riskini taşır. Bu yaklaşımla tutarlı olarak, siber uzayda ulusal çıkarları koruyan kuruluş olan ACN tarafından yayınlanan en son Ulusal Siber Güvenlik Stratejisi de, etkili ve kalıcı bir koruma düzeyi sağlamak için güncel bir ve siber güvenlik konusunda tutarlı yasal çerçeve. Bu nedenle, ulusal strateji, mevzuatın BT altyapılarının etkin bir şekilde korunmasını garanti etmede oynadığı kilit rolü de vurgulamaktadır.
Sonuç olarak, siber güvenlik söz konusu olduğunda, teknik ve yasal yönlerin aynı madalyonun iki temel yönü olduğu perspektifine girmek gerekir. Bu nedenle, konunun çapraz doğası da göz önüne alındığında, sektör düzenlemelerine uyumu garanti altına almak için, siber güvenlik dünyasını en teknik boyutuyla anlaşılan, yasal olanla diyalog kurabilecek becerilere sahip olmak esastır.
* Chiomenti Hukuk Bürosu, Chiomenti Associate Lucrezia Falciai işbirliğiyle
