AB Siber Dayanıklılık Yasası 10 Aralık’ta yürürlüğe girdi. Bu yasa, blokta faaliyet gösteren diğer cihazlara veya ağlara bağlanan tüm üreticileri, distribütörleri ve teknoloji ithalatçılarını etkiliyor.
Uygulanabilir ürünlere örnek olarak akıllı kapı zilleri, bebek monitörleri, alarm sistemleri, yönlendiriciler, mobil uygulamalar, hoparlörler, oyuncaklar ve fitness takip cihazları verilebilir. Mevzuata uygun olanlar, cihazın sağlık, güvenlik ve çevre koruma açısından AB standartlarını karşıladığını gösteren ve tüketicilerin satın alma kararlarında güvenliği göz önünde bulundurmasına olanak tanıyan CE etiketine sahip olacak.
Kanun, AB’de satılan tüm cihazların temel koruma düzeyini karşılaması için mevcut siber güvenlik düzenlemelerini açıklığa kavuşturmayı ve tutarlı bir şekilde uygulamayı amaçlıyor. Teknoloji üreticilerini, ithalatçılarını ve distribütörlerini güvenlik desteği ve güncellemeleri sağlamakla yükümlü kılar.
Act’in resmi web sitesinde “Dijital donanım ve yazılım ürünleri başarılı siber saldırıların ana yollarından birini oluşturuyor” yazıyor. “Bağlantılı bir ortamda, bir üründe meydana gelen bir siber güvenlik olayı, organizasyonun tamamını veya tedarik zincirinin tamamını etkileyebilir ve genellikle birkaç dakika içinde iç pazarın sınırlarını aşarak yayılabilir.”
Dijital öğeler içeren ürünlerin güvenliğinin kötüye kullanıldığı olaylara örnek olarak WannaCry fidye yazılımı, Pegasus cep telefonu casus yazılımı ve Kaseya VSA tedarik zinciri saldırısı verilebilir.
Yasanın internet sitesinde şöyle yazıyor: “Avrupa Siber Dayanıklılık Yasası’ndan önce, Birlik düzeyinde ve ulusal düzeyde gerçekleştirilen çeşitli eylem ve girişimler, belirlenen siber güvenlikle ilgili sorunları ve riskleri yalnızca kısmen ele alarak iç pazarda yasal bir yama çalışması oluşturuyordu.”
Mevzuat, bir ürünün tasarım ve geliştirilmesinden üretim, dağıtım, bakım ve nihai imhaya kadar yaşam döngüsünün tüm aşamalarına yönelik güvenlik gerekliliklerini içerir. Kanun artık yürürlüğe girmiş olsa da, çoğu yükümlülük 11 Aralık 2027’ye kadar zorunlu olacak şekilde birçok yükümlülük aşamalı olarak uygulanacaktır.
BAKIN: NIS 2 Uyumluluğu İçin Son Tarih Geliyor: Bilmeniz Gerekenler
Nisan ayında yürürlüğe giren Ürün Güvenliği ve Telekomünikasyon Altyapı Yasası, Birleşik Krallık’taki nesnelerin interneti cihazı üreticilerini, ithalatçılarını ve distribütörlerini benzer bir standarda tabi tutuyor. Ülkede cihazların her birinin benzersiz bir parola, güvenlik desteğinin süresi ve en azından güvenlik sorunlarını bildirme yöntemiyle birlikte gelmesi gerekiyor.
Siber Dayanıklılık Yasasına kimler uymalı?
Dijital bileşenlere sahip ürünler üreten, dağıtan veya ithal eden tüm şirketlerin Yasaya uyması gerekir. Bunlar şunları içerir:
- Güvenlik ve erişim yönetimi sistemleri: ayrıcalıklı erişim yönetimi yazılımı ve donanımı, şifre yöneticileri, biyometrik okuyucular vb.
- Yazılım uygulamaları: tarayıcılar, VPN’ler vb.
- Ağ ve güvenlik sistemleri: güvenlik duvarları, güvenlik bilgileri, etkinlik yönetim sistemleri vb.
- Çekirdek donanım ve bileşenler: yönlendiriciler, modemler, mikroişlemciler vb.
- İşletim sistemleri ve sanallaştırma: işletim sistemleri, önyükleme yöneticileri, hipervizörler vb.
- Ortak anahtar ve sertifika yönetimi: açık anahtar altyapısı, dijital sertifika verme yazılımı vb.
- Akıllı cihazlar ve IoT ürünleri: akıllı asistanlar, akıllı kapı kilitleri, bebek monitörleri, alarm sistemleri, konum izleme veya filme alma gibi interaktif özelliklere sahip internet bağlantılı oyuncaklar, çocuklar için giyilebilir ürünler, sağlık takibi vb.
- Gelişmiş güvenlik işlevlerine sahip donanım: güvenlik kutuları, akıllı sayaç ağ geçitleri, akıllı kartlar vb. içeren donanımlar. Bunlar “kritik” ürünler olarak kabul edilir ve bu nedenle daha sık güvenlik güncellemelerine ve gelişmiş güvenlik açığı yönetimi önlemlerine tabi olacaklardır. Ayrıca en azından “önemli” bir güvence düzeyinde Avrupa siber güvenlik sertifikasına sahip olmaları gerekir.
Tıbbi cihazlar, havacılık cihazları ve arabalar gibi diğer mevzuatta siber güvenlik gerekliliklerine tabi olan cihazlar için istisnalar yapılabilir. Tam liste için Kanun’un Ek III ve IV’üne bakınız.
BAKIN: Veri (Kullanım ve Erişim) Tasarısı: Nedir ve Birleşik Krallık’taki İşletmeleri Nasıl Etkiler?
Siber Dayanıklılık Yasası’nın gereksinimleri nelerdir?
Üreticiler için
- Üründeki güvenlik açıklarını en az beş yıl veya kullanım ömrü (hangisi daha kısaysa) boyunca onarın.
- Tasarımlar (güvenlik “tasarım gereği ve varsayılan olarak” olmalıdır), üretim ayrıntıları ve uygunluk değerlendirmeleri de dahil olmak üzere her aşamada uyumluluğu kanıtlayan teknik dosyaları saklayın.
- CE işaretini uyumlu ürünlere iliştirin ve hedef pazarların dillerinde doğru talimatların bulunduğundan emin olun.
- İstismar edilen güvenlik açıkları, keşfedildikten sonraki 24 saat içinde Avrupa Birliği Siber Güvenlik Ajansı’na, ENISA’ya ve belirlenen Olay Müdahale Ekibine bildirilmelidir. Ayrıca 72 saat içinde bir güvenlik açığı bildirimi ve 14 gün veya bir ay içinde de nihai bir rapor gönderilmelidir.
- Şirketin faaliyetlerini durdurması durumunda kullanıcılara ve piyasa gözetimi yetkililerine bilgi verin.
İthalatçılar için
- Üreticinin belgelerini doğrulayarak ürünlerin düzenlemelere uygun olduğundan emin olun.
- Teknik belgeleri ve uygunluk beyanlarını, ürünün piyasaya sürülmesinden sonra en az on yıl boyunca mevcut bulundurun.
- Uygun olmayan veya riskli ürünleri üreticilere veya ilgili makamlara bildirin.
Distribütörler için
- Düzenlemelere uygunluğu sağlamak için ürünleri piyasaya sürmeden önce üreticinin veya ithalatçının belgelerini doğrulayın.
- Depolama ve taşıma koşullarının ürün uyumluluğunu tehlikeye atmadığından emin olun.
- Geri çağırma veya diğer güvenlik eylemlerini kolaylaştırmak için tedarikçilerin ve müşterilerin kayıtlarını tutun.
- Uygun olmayan veya riskli ürünleri üretici veya ithalatçıya bildirin.
İthalatçıların veya distribütörlerin ürünü kendi adı veya ticari markası altında piyasaya sürmesi veya bir kişinin önemli değişiklikler yapıp ürünü piyasaya sürmesi halinde, onlar da imalatçı düzeyinde yükümlülüklere tabi olacaklardır.
Siber Dayanıklılık Yasası nasıl uygulanacak?
AB Siber Dayanıklılık Yasası öncelikle uygunluk değerlendirmeleri ve piyasa gözetimi yoluyla uygulanacaktır. Değerlendirmelerin çoğu şirket içinde gerçekleştirilebilirken, kritik ürünlerin akredite üçüncü taraflarca değerlendirilmesi gerekir. Prosedürler ayrıca ürünün risk düzeyine göre de değişir. Ulusal Piyasa Gözetim Otoriteleri, denetimler, testler ve dokümantasyon kontrolü yoluyla uygunluğu izleyecektir.
Uyumsuzluğun cezaları nelerdir?
Yasaya uymayan üreticiler, hangisi daha yüksekse, 15.000.000 Avro’ya veya bir önceki mali yıl için dünya çapındaki toplam yıllık cirosunun %2,5’ine kadar idari para cezasına tabi olacaktır.
Yasaya uymayan ithalatçılar ve distribütörler, hangisi daha yüksekse, 10.000.000 Euro’ya kadar veya bir önceki mali yıl için dünya çapındaki toplam yıllık cirosunun %2’sine kadar idari para cezasına tabi olacaktır. Geri çağırmalar ve yasaklamalar da düzeltici eylemler olarak kullanılabilir.
Siber Dayanıklılık Yasasına Yönelik Eleştiri
Herkes Siber Dayanıklılık Yasası’ndan memnun değil. 2023 yılında küresel CISO’ların ve siber güvenlik liderlerinin %34’ü, özellikle AB Siber Dayanıklılık Yasası’na atıfta bulunarak mevzuatın kendileri için en büyük stres kaynağı olduğunu söyledi.
Venable LLP danışmanı ve veri koruma hukuku uzmanı Harley Geiger, mevzuatın AB’yi siber güvenlik konusunda, “GDPR’nin mahremiyet konusunda olduğu kadar” etkili hale getireceğini söylüyor. Ancak şirketlerin istismar edilen güvenlik açıklarını keşfedildikten sonraki 24 saat içinde açıklama zorunluluğu konusunda endişeli.
Geiger, 2023’te TechRepublic’e şunları söyledi: “Bununla ilgili endişe, 24 saat içinde güvenlik açığının o noktada yamalanması veya hafifletilmesinin muhtemel olmamasıdır. O zaman karşınıza, potansiyel olarak düzinelerce AB devlet kurumuyla paylaşılan, hafifletilmemiş güvenlik açıkları içeren bir yazılım paketleri listesi gelebilir.”
Başka bir deyişle, ENISA’nın bunu ilgili üye devletlerin bilgisayar güvenliği hazırlık ekipleri ve gözetim yetkilileriyle paylaşacağını açıkladı.
“Eğer AB çapında bir yazılımsa, potansiyel olarak dahil olabilecek 50’den fazla devlet kurumuna bakıyorsunuz. TechRepublic’e, gelen raporların sayısı çok fazla olabilir” dedi. “Bu tehlikelidir ve bu bilgilerin düşmanların eline geçmesi veya istihbarat amacıyla kullanılması riskini taşır.”
Kaynak: https://www.techrepublic.com/article/eu-cyber-resilience-act/