Polonya parlamentosunda görüşülen KSC (Krajowy System Cyberbezpieczeństwa) yasa tasarısı, AB’nin CSA2 teklifiyle temel düzeyde çelişiyor. Polonya, AB’ninICT tedarik zinciri güvenliğini merkeziyetçi hale getiren CSA2 düzenlemelerinin aksine, bakanlara geniş yetkiler veriyor. Uzmanlar, Polonya’nın “yüksek riskli tedarikçiler (HRV)” içeren yaklaşımının AB’nin tek pazar vizyonunu zayıflattığını belirtiyor.
AB Düzenlemesi ile Polonya Yaklaşımı Temel Farklar Taşıyor
AB’nin CSA2 teklifi, tüm ülkeleri kapsayanICT tedarik zinciri güvenliği ve sertifikasyonu için merkeziyetçi bir model sunuyor. Bu model, Polonya’nın KSC yasa tasarısında öne sürdük birçok çözümün anlamsız hatta AB’nin yeni yasal düzenlemeleriyle çelişkili olmasına neden oluyor. KSC tasarısı, NIS2 Direktifi’nin teknik uygulanmasına yıllardır siyasi HRV maddelerini eklemekle suçlanıyor.
Merkeziyetçi AB Modeli vs. Bakanın Yetkileri
Polonya parlamentosu, 18 sektördeki kuruluşların ekipmanını kaldırma konusunda bakanlara neredeyse mutlak yetki verirken, AB Komisyonu CSA2 ile radikal farklı bir vizyon öneriyor. Brüksela, güvenliği Almanya’da “güvenli” sayılan bir yönlendiricinin Polonya’da “yasak” olmasının tek pazarı parçaladığını kabul ediyor. CSA2, tedarik zinciri güvenliğinde daha kesin ve merkezi bir yapı öngörüyor.
Üç Temel Fark: Risk Değerlendirmesi
Polonya’nın HRV yaklaşımı “halı çözümü” olarak tanımlanıyor: Risk değerlendirmesi Digitalizasyon Bakanı’nın tek kişilik kararıyla yapılıyor, kriterler belirsizliğe açık. Siber Güvenlik Koleji ise sadece görüş belirtiyor. CSA2 ise üç aşamalı AB düzeyinde koordine mekanizma öneriyor:
Kapsam ve Orantılılık İçin Çarpıcı Farklar
KSC, “kritik” ve “önemli” kuruluş tanımlamaları ile HRV maddelerini birleştirerek on binlerce kuruluşu ekipman değiştirmeye zorlayabilecek bir risk yaratıyor. CSA2 ise “sadece kritikICT varlıkları” odaklanıyor ve açıkça şunu belirtiyor: “Her şirketteki her ağ anahtarı AB güvenliği için tehdit değil.” Düzenlemeler yalnızca AB kritik altyapısı için newraljik olan kısımları hedef alıyor. CSA2, tüm önlemlerin “uygun ve orantılı” olmasını zorunlu kılıyor; ekonomik etkiler ve alternatiflerin varlığı değerlendirilmeden yasağın çıkarılması mümkün değil.
Etiketleme Mekanizması ve Hukuki Riskler
İki belge arasındaki en büyük fark, etiketleme mantığı. Polonya modeli “tek yönü bilet”: Bir tedarikçiye “yüksek riskli” etiketi verildiğinde tüm ürünleri etkileniyor. CSA2 ise “istisna talebi” mekanizması getiriyor: AB dışından riskli ülkelerden gelen bir tedarikçi, güvenlik önlemlerinin yeterli olduğunu kanıtlarsa pazara girebilir. Bu, Polonya’nın “Siz X ülkesinden geldiğiniz için güvenilemezsiniz” yaklaşımına karşı AB’nin “Siz X ülkesinden gelseniz de güvenlik önlemlerinizi inceleyelim” modelidir. CSA2 direktif olarak yürürlüğe girerse, KSC’nin HRV maddeleri çıkışında hükümsüz kalacaktır.
Yasa tasarısının üzerinde “Damokles’un kılıcı” asılı: Ekipman gereklilikleri teknik düzenlemelerdir. AB mahkeme hukukuna göre, teknik düzenlemeler AB Komisyonu’na bildirilmezse yurt içi mahkemelerce uygulanamaz. Bu, kuruluşların hatalı yasalara dayanarak ekipman değiştirmeye zorlanması durumunda devlete karşı massif tazminat davaları açılmasına zemin hazırlıyor.
Uzman Çağrısı: “Temellere Dönülmesi Gerek”
Piyasada çalışan biri olarak tek akılcı çözüm “temellere dönüş”: NIS2 Direktifi’nin “temiz” bir uygulamasıyla yasa çıkarılmalı; bu ceza sayacını durduracak ve şirketlere siber dayanıklılık inşa edecek yasal çerçeve sunacak. Tartışmalı HRV ve tedarik zinciri maddeleri tasarıdan çıkarılmalı ve gelişen AB düzenlemelerine uygun yeniden yazılmalı. Buz topu durdurulabilir; ancak bu, KSC yasasının ilk taslaklarından bu yana dünyanın değiştiğinin ve Brüksela’nın yeni yol haritası çizdiğinin eleştirel bir bakışını gerektirir.
Kaynak : GazetaPrawna
