AB Komisyonu, siber saldırıların önlenmesi ve raporlanması için geniş kapsamlı yükümlülükler planlıyor. Alman Baskı ve Kâğıt Makineleri Üreticileri Derneği (Kısaca VDMA) bunların neredeyse tüm orta ölçekli sanayi şirketlerini etkileyeceğini belirterek, küçük işletmeler için hafifletme çağrısı yapıyor.
Avrupa Birliği (AB) Komisyonu’nun planlarına göre, büyük enerji santrali operatörleri veya niş işletmeler olsun, hemen hemen tüm sanayi şirketlerinin gelecekte kapsamlı siber güvenlik gereksinimlerine uyması gerekecek.
VDMA, endüstride siber güvenliği geliştirme fikrini desteklese de, ağ güvenliğiyle ilgili planlanan direktifin (NIS 2), örneğin kritik altyapıda aktif olan şirketler ile diğer şirketler arasında daha kesin bir ayrım yapmayacağı gerçeğini eleştiriyor. Bu, özellikle küçük şirketlere önemli bir mali yük getirecek ve yasal belirsizlikler yaratacak.
VDMA, şirketlerin öngörülen sınıflandırmasının özellikle sorunlu olduğunu düşünüyor. ‘Zorunlu tesisler’e ek olarak, NIS-2 direktifi, şu anda olduğu gibi, makine ve tesis mühendisliği sektöründeki şirketleri de içeren ‘önemli tesisler’ denen yeni bir kategori sağlıyor. “Zorunlu ve önemli kategoriler arasında gereksinimler açısından bir ayrım yok. Temel olarak, bir nükleer enerji santrali için gereksinimler (‘zorunlu’ olarak sınıflandırılır), şirketin ne ürettiğine bakılmaksızın, 50 çalışanı olan bir makine mühendisliği şirketi ile aynı ölçüde uygulanıyor. Bunu reddediyoruz” diyor, VDMA’nın İcra Direktörü Thilo Brodtmann. Yalnızca 50’den az çalışanı olan mikro işletmeler, planlanan direktifte yer alan yükümlülüklerden muaf. Brodtmann, “Bu sürüm kalırsa, 9.000’den fazla Avrupalı makine üreticisi etkilenecek, bunların 3.000’den fazlası Almanya’da olacak. Etkilenen şirketlerin dörtte üçünün 250’den az çalışanı var” diyor.
Bu nedenle VDMA, yaklaşan yasama sürecine dahil olan tarafları ‘önemli’ kuruluşlara yönelik yükümlülüğü hafifletmeye ve belirsizlikleri ortadan kaldırmaya çağırıyor. Bu şekilde, hedeflenen siber güvenlik seviyesi açısından teklifin hedeflerini düşürmek zorunda kalmadan – denetim otoriteleri için de – çabanın azaltılabileceği ifade ediliyor.
Uyumsuzluk durumunda yüksek para cezaları
Etkilenen tüm şirketler, siber risklerin yönetimi ve olayların raporlanması konusunda katı yükümlülüklere tabi olacaklar. Örneğin, şirkete özgü risk analizi, güvenlik olaylarının yönetimi ve tedarikçilerin güvenliğini sağlamak için kesin konseptlerin geliştirildiğini kanıtlamaları gerekiyor. ‘Önemli etkiye sahip’ güvenlik olaylarının 24 saat içinde yetkililere bildirilmesi zorunlu. Bu düzenlemelere uyum üye ülkeler tarafından izlenecek. İhlaller, 10 milyon avroya kadar veya yıllık küresel cironun yüzde 2’si kadar para cezasına neden olabilecek.
