20 Ocak’ta Avrupa Komisyonu ikinci siber güvenlik yasası taslağını yayımladı. Polonya ise 23-28 Ocak’ta AB’nin NIS2 Direktifi’ni uygulamak amacıyla kapsamlı bir yasayı kabul ederek Cumhurbaşkanı’na gönderdi. Her iki düzenleme de “yüksek riskli sağlayıcıları” tanımlama ve kısıtlama mekanizmalarını içeriyor.
Avrupa Komisyonu ve Polonya’nın Eş Zamanlı Adımları
20 Ocak’ta Avrupa Komisyonu, 2019 yılındaki düzenlemeyi değiştirecek ikinci siber güvenlik yasası taslağını yayımladı. Neredeyse eş zamanlı olarak, Polonya Sejm’i 23 Ocak’ta kapsamlı bir şekilde değiştirilen ulusal siber güvenlik yasasını onayladı; Senat ise 28 Ocak’ta bu değişikliği reddetmedi. Şimdi bu yasa Polonya Cumhurbaşkanı’na sunuldu. Değişiklikler, Ekim 2024’te sona eren ve Komisyonun şimdi revize etmek istediği AB’nin NIS2 Direktifi’ni uygulamayı amaçlıyor.
Yüksek Riskli Sağlayıcı Mekanizması
Polonya’nın yasa değişikliği NIS2 Direktifi’nin ötesinde, “yüksek riskli sağlayıcıları” belirleme mekanizması gibi diğer yasal çözümler de içeriyor. Avrupa Komisyonu, yeni siber güvenlik yasasında benzer bir düzenlemeyi getirmeyi planlıyor. Yeni düzenlemelerle Komisyon, yabancı ülkeleri ve bu ülkelerdeki tüm kurumları “yüksek riskli sağlayıcı” olarak sınıflandırma yetkisi kazanacak. Örneğin, yazılım ve donanım üreticilerinden müşterilerden önce güvenlik açıkları hakkında bilgi isteyen ülkeler kapsamda olacak.
AB’nin Belirleme Süreci
Komisyon, yürütme kararları aracılığıyla yüksek riskli sağlayıcıların listesini oluşturacak. Süreç, kısıtlamalara tabi olabilecek telekomünikasyon bileşen sağlayıcılarının listesiyle başlayacak. Sonrasında Komisyon, bu sağlayıcılardan hangilerinin tehlikeli olarak tanımlanan ülkelerle veya önceden belirlenmiş yüksek riskli sağlayıcılarla bağlantısı olabileceğini değerlendirecek. Sağlayıcılar, Komisyonun ön değerlendirmesine karşı itiraz etme hakkına sahip olacak. Ayrıca, listedeki sağlayıcılar, listeden çıkarılmak için yeni delil sunabilecek.
Yüksek Riskli Sağlayıcıların Kısıtlanması
Yüksek riskli sağlayıcılar, Avrupa standartlandırma, sertifika ve onay sisteminden, kamu ihalelerinden ve AB tarafından finanse edilen programlardan dışlanacak.
Polonya Ulusal Mekanizması
Değiştirilen Polonya yasası, bilişimleştirmeden sorumlu bakanın idari kararıyla telekomünikasyon donanımı veya yazılımı sağlayıcısını yüksek riskli sağlayıcı olarak tanımlama imkanı sunuyor. Prosedürün amacı devlet güvenliğini veya kamu güvenliğini ve düzenini korumak. Sürece Siber Güvenlik Koleji’nin görüşünün alınması da dahil.
Yasaklar ve Geri Çekme Zorunluluğu
Bir kurumun yüksek riskli sağlayıcı olarak tanımlanması, telekomünikasyon ürünlerinin, hizmetlerinin ve süreçlerinin kullanımını geniş kapsamlı olarak yasaklar ve kullanımdaki ürünlerin geri çekilmesini zorunlu kılar. Kamu ihalesi süreçlerine tabi kurumların bu ürünleri, hizmetleri ve süreçleri kullanması da yasaktır.
AB ve Polonya Sistemlerinin Farklılıkları
Polonya düzenlemesi AB’nin 5g Toolbox dokümanına dayansa da, Avrupa düzenlemesiyle önemli farklılıklar bulunuyor. Bu farkların bir kısmı hukuk sistemlerindeki farklılıklardan kaynaklanıyor: Polonya idari işlemlere dayanırken AB, Polonya’daki yönetmeliklere karşılık gelen yürütme kararları yayınlıyor. Ayrıca Polonya sistemi belirli sağlayıcıları, AB sistemi ise tamamı ülkeleri hedef alıyor.
AB Mekanizmasının Avantajları
Hangi sistemin daha iyi olduğu konusunda kesin bir yargıda bulunmadan, AB mekanizmasının ölçek avantajı bariz. Avrupa Komisyonu, tüm üye devletlerden veri ve tüm üye devletlerden paydaş görüşleriyle desteklenebilir. Ayrıca, tek seferlik AB düzeyindeki değerlendirmeyi, farklı üye devletlerdeki ayrı değerlendirmelere kıyasla işletmeler için çok daha az düzenleme yükü getiriyor.
İki Düzeyli Sağlayıcı Sistemi Riski
Polonya hukuk sisteminde AB düzeyinde belirlenen ve ulusal düzeyde belirlenen yüksek riskli sağlayıcıların olup olmayacağı sorunu ortaya çıkıyor. Avrupa Komisyonu, üye devletlerdeki sistemlerdeki farklılıkları ortadan kaldırmak ve tüm kurumlar için eşit kurallar oluşturmak amacıyla AB düzeyinde tanımlama yapmanın tek yolu olduğunu vurguluyor. Bu faydanın elde edilmesi, AB sisteminin tekeli olduğu ve üye devletlerin bunu tekrarlayamayacağı varsayımına bağlı.
Minimal Standartlar ve Ulusal Yetki
Öte yandan, yeni siber güvenlik yasası minimal standartlar belirlemeyi ve üye devletlere telekomünikasyon tedarik zincirlerinde daha yüksek güvenlik standartları getirmeyi amaçlıyor. Yeni yasa, bu standartların AB hukukundan kaynaklanan yükümlülüklerle tutarlı olacağını belirtiyor, ancak bu yaygın kullanılan bir ifade ve tam olarak ne anlama geldiği net değil. Yasama çalışmaları sırasında üye devletlerin kendi yüksek riskli sağlayıcı tanımlama sistemlerini sürdürüp sürdüremeyecekleri ve bunların AB düzenlemesiyle ilişkisinin ne olacağı netleştirilmeli.
Yüksek Düzenleme Yükü Endişesi
Komisyonun mevcut taslak, Polonya yasama organı için aşırı düzenleme endişesi yaratıyor. Yakında AB yönetmeliği olacakken ulusal düzenlemelerin getirilmesinin anlamlı olup olmadığı sorusu gündemde. Teoride Polonya yasası, ikinci siber güvenlik yürürlüğe girmeden önceki boşluğu doldurabilir. Ancak zaman çerçevesi buna izin vermiyor gibi: Yasa örneğin, bir kurumu yüksek riskli sağlayıcı olarak tanımladıktan sonra kullanımdaki telekomünikasyon ürünlerinin yedi yıl içinde geri çekilmesini zorunlu kılıyor. Bu sürede AB düzenlemesinin yürürlükte olacağı neredeyse kesin.
Tamamlayıcı, Tekrarlayan Olmamalı
Eğer ulusal düzenlemelerin sürdürülmesi son AB siber güvenlik yasasıyla uyumlu olacaksa, yasama organı, Polonya’nın yüksek riskli sağlayıcı düzenlemelerinin AB düzenlemelerini tekrarlamamasını, ancak bunlara tamamlayıcı olmasını sağlamalı. Bu doğrultuda, AB hukukunda, Polonya’nın güvenliğini tehdit eden ancak AB düzeyinde düzenlenmeyen sağlayıcıların olabileceği bir boşluk olup olmadığı analiz edilmeli. Böyle bir durumda, ulusal siber güvenlik yasası, bu boşluğu kapatmak üzere yeniden düzenlenmeli.
Kaynak : GazetaPrawna