Almaya Federal İçişleri Bakanlığı, geçen ay ‘gözden geçirilmiş siber güvenlik yasa tasarısını’ yayımladı. İlk örneğinin Mart 2013’te yayımlanan taslak, etkilediği şirketler ve ajanslar için daha katı siber güvenlik şartları getiriyor.
Kolay Erişim
“Kritik Altyapı” ve Güvenlik Şartları
Yeni yasanın kabul eidlmesiyle birlikte IT güvenliği ile ilgili birkaç kanun ve hükümde değişiklik meydana gelecek. Yasa taslağındaki hükümlere tabi olan tüm şirketler, kendi bilişim teknolojilerine yönelik gerçekleşebilecek siber saldırılar ve siber suçlardan korunmak konusunda belirli sorumluluklara sahip olacaklar.
Taslağa göre, Alman Federal Bilgi Güvenliği Ofisi’nin Federal Kanunu değiştirilecek ve kapsamı “kritik altyapıları” da içine alacak şekilde genişletilecek. Toplum hayatının işleyişi açısından stratejik öneme sahip altyapılar olarak ifade edilen bu “kritik altyapılarda” bir aksaklık veya kesinti meydana gelmesi, kalıcı kaynak açıklarına ve önemli kamu güvenliği sorunlarına yol açabilir.
Yeni taslağın tanımına göre kanundaki hükümler, “önemli alanlar” olarak ifade edilen enerji, IT, telekomünikasyon, ulaştırma, trafik, finans, sigorta, sağlık, su ve yiyecek endüstri sektörlerindeki tüm şirketler üzerinde uygulanacak. Hangi IT sistemlerinin, parçalarının ve işlemlerinin kapsam altında olduğu hakkındaki kriterler ise bir düzenleme ile belirlenecek.
Taslak, kritik altyapıları işleten şirketlerin, herhangi bir siber saldırıda mümkün olduğunca çabuk ikaz edilmeleri için her zaman ulaşılabilir olması zorunluluğunu öngörüyor. Ayrıca şirketler, hacker saldırılarını Federal Bilgi Güvenliği Ofisi’ne rapor etmek zorundalar.
Düzenlemenin kabulünden itibaren iki sene içinde, hükümlere tabi tüm operatörler, kritik altyapıların işlemesi için gereken IT sistemlerini, bileşenleri veya işlemleri korumak için uygun organizasyonel ve teknik güvenlik önlemleri almakla yükümlü olacaklar. Alınacak güvenlik önlemleri en üst düzey teknolojiye uygun olmak zorunda olacak ve bunu yanında operatörler ve endüstri ortaklıkları da belirli güvenlik standartları önerebilecek. Dahası, kritik altyapıların operatörleri, en azından iki senede bir IT güvenlik denetimlerine tabi tutulacak veya güvenlik sertifikaları almaya mecbur bırakılacak.
Federal Bilgi Güvenliği Ofisi’nin Güçleri
Yasayla birlikte, Alman Federal Bilgi Güvenliği Ofisi ülkedeki IT güvenlik vakaları için merkezi ihbar merkezi olacak. Vakanın türüne göre değişmekle birlikte, operatörün adının belirtilme zorunluluğu olmayacak. Ofis, tüm siber güvenlik ve IT güvenliği sorunları için danışman organ olarak işleyecek ve operatörleri, üçüncü şahıs konumunda olan nitelikli servis sağlayıcılarına yönlendirecek. Ayrıca Ofis, bu amaçlar doğrultusunda IT ürünlerini, sistemlerini ve servislerini değerlendirecek.
Şu Anki Durum ve Gelecek Adımlar
Bakanlık bildirisinde, “Almanya’nın IT sistemleri ve dijital altyapıları dünya çapındaki en güvenlileri olmalı” ifadesi geçiyor.
İçişleri Bakanı Thomas de Maiziere, yeni yasanın etkilenen şirketler için büyük idari harcamalara yol açacağı iddialarını, taslağın endüstri temsilcilerine danışıldıktan hemen sonra hazırlandığını öne sürerek reddetti.
Yasa tasarısı şu anda ekonomi, adalet, trafik bakanlıkları da dahil olmak üzere birkaç bakanlıkla birlikte bir koordinasyon süreci içerisinde yer alıyor. Bu sürecin üç veya dört ay süreceği tahmin ediliyor. Almanya’nın, Avrupa Komisyonu’nun siber güvenlik strateji taslağı hakkındaki tartışmalardaki liderlik pozisyonunu güçlendirmesi amacıyla, bu yasa tasarısı ile ilgili tartışmaları Avrupa zeminine çıkaracağı varsayılabilir.