Yazarımız Av. Dr. Başak Ozan Özparlak kısa süre önce yürürlüğe giren AB Siber Güvenlik Tüzüğü’nün neler getirdiğini inceliyor
Avrupa Birliği (AB) Dijital Tek Pazar hedefleri doğrultusunda, tüm AB üyesi ülkelerde geçerli olacak bir siber güvenlik sertifikasyon sisteminin kurulması hedefini de içeren Siber Güvenlik Tüzüğü 7 Haziran 2019 tarihli AB Resmî Gazetesi’nde yayımlanarak 27 Haziran itibarıyla yürürlüğe girdi. Peki bu tüzük, siber güvenlik açısından neler getiriyor?
2019/881 No.lu AB Siber Güvenlik Tüzüğü’nün en önemli tarafı, ortak AB siber güvenlik araçları ve siber güvenlik sertifikasyon sisteminin yasal altyapısı niteliğinde olmasıdır. Bu tüzükle, 2013 yılındaki siber güvenliğe ilişkin tüzük yürürlükten kaldırılıyor. Daha önce AB ülkelerinde BT cihazlarının, servis ve işlemlerinin güvenliğine yönelik ülke bazında araçlar kullanılıyor olsa da, “Dijital Tek Pazar” hedefi doğrultusunda tüm AB üye ülkelerinde geçerli ortak bir sertifikasyon sistemi kurulmasının pek çok olumlu etkisi olması bekleniyor. Örneğin, her AB ülkesinden ayrı ayrı sertifika almanın hem finansal hem de bürokratik zorluğunun ortadan kalkacak olması, özellikle start-up seviyesindeki şirketler için avantaj sağlayacak.
Farklı dayanıklılık seviyeleri için standart sertifikaları planlanıyor
Ayrıca, AB ortak siber güvenlik politikası oluşturulması, tüzük gerekçesinde de belirtildiği üzere sınırlar ötesi özellik taşıyan ve her geçen gün etkisi ve sayısı artan siber saldırılar ile ülke bazında mücadelenin yeterli olamaması açısından oldukça önemli. Ayrıca bu sistem, 5G sonrası Nesnelerin İnterneti (IoT) ve endüstriyel nesnelerin interneti (IIoT) araç ve sistemlerinin güvenliğinin sağlanmasını daha etkili ve güvenli kılacak. AB sınırlarında geçerli olacak bu ortak siber güvenlik sertifikasyon sisteminde siber dayanıklılık seviyesine göre temel (basic) veya yüksek (high) standart sertifikaları çıkarılması planlanıyor.
Her ne kadar şimdilik bu sertifikasyon hukuken zorunlu olmasa da, bunun nedeni tüzükte de belirtildiği üzere “yumuşak geçiş” sağlanması. İlerleyen yıllarda özellikle belirli alanlarda siber güvenlik sertifikası zorunlu hale getirilebilir. Görüşümüze göre hassas altyapı sistemlerinde kullanılacak sistemlerde yüksek seviye sertifikasyon ilerleyen yıllarda zorunlu tutulabilir.
ENISA’nın yetkileri artırılıyor
AB Siber Güvenlik Tüzüğü kapsamında Avrupa Siber Güvenlik Ajansı’nın (ENISA) yetkileri de artırılıyor ve ENISA hukukî kişiliği olan bir AB organı olarak kabul ediliyor. Bu da siber güvenliğe AB tarafından verilen önemin bir göstergesi olarak yorumlanabilir. ENISA’ya siber güvenlik ile ilgili olarak AB üyesi olmayan (Türkiye gibi) ülkeler ile işbirliğine yönelik çalışmalar yapma yetkisi de tüzük kapsamında veriliyor. AB sınırları içerisinde BT ürün ve hizmetleri pazarlayan Türk şirketleri açısından da tüzüğün yakından takibi hem yasal uyum hem de rekabet açısından önemli.
Av. Dr. Başak Ozan Özparlak