Polonya Cumhurbaşkanı, Ulusal Siber Güvenlik Sistemi (KSC) Yasası değişikliğini onayladığını ancak bazı maddelerin Anayasal Mahkeme denetimini talep ettiğini açıkladı. Dijital Bakanlığı Müsteşar Yardımcısı Paweł Olszewski, bu düzenlemenin 6 yıl sonra Polonya’ya modern bir siber güvenlik sistemi getirdiğini belirterek hükümetin başarısı olarak niteledi. Yasa, enerji, sağlık, bankacılık gibi kritik sektörler ile dijital hizmet sağlayıcıları gibi önemli sektörlerdeki kurumlara yeni yükümlülükler ve cezalar getirmektedir. Şirketler, 12 ay içinde uyum sağlayacak ve ciddi siber olayları 72 saat içinde bildirmek zorunda kalacaktır.
Başkan ve Hükümetin Tepkileri
Cumhurbaşkanı, X platformasında yayınladığı kayıtta, KSC Yasası değişikliğinin savunma mekanizmalarını güçlendirdiğini, kurumlar arası işbirliğini iyileştirdiğini ve yüksek riskli tedarikçileri ortadan kaldırma imkanı sağladığını değerlendirdi. “Güvenliğin parti renkleri olmadığını” belirterek değişikliği imzaladığını ancak şirketlerin yükümlülükleri “aşırı ve orantısız” bulması üzerine Anayasal Mahkeme’ye başvuru yaptığını bildirdi.
Dijital Bakanlığı Müsteşar Yardımcısı Paweł Olszewski, değişikliği hazırlamasıyla ilgili olarak “Donald Tusk hükümetinin siber güvenlikteki başarısı!” yorumunda bulunarak Polonya’nın siber uzayda daha zor bir hedef haline geldiğini vurguladı. “Yarı önlemlere izin veremeyiz” diyerek 6 yıl sonra modern bir sisteme ulaşıldığını belirtti.
Kapsam: Kritik ve Önemli Sektörler
Kritik sektörler arasında enerji, ulaşım, sağlık koruması, bankacılık, finansal piyasalar altyapısı, su tedariki, dijital altyapı ile daha önce yer almayan atık su yönetimi, BT altyapısı yönetimi ve uzay alanı bulunmaktadır. Kamu kurumları,其中包括机关、地方政府、学校、医院和研究机构 de bu kategoriye dahil edilmiştir.
Önemli sektörler ise postalama hizmetleri, atık yönetimi, dijital hizmet sağlayıcıları, kimyasal üretim ve dağıtım, gıda üretimi, işlenmesi ve dağıtımı ile medikal ürünler, bilgisayarlar, elektrikli cihazlar, otomobiller, römorklar ve yarı römorklar üretimini içermektedir.
Yeni Yükümlülükler ve Kayıt
Şirketlerin kendilerinin kritik veya önemli bir kurum olup olmadıklarını değerlendirmeleri gerekmektedir. Olumlu olması durumunda, KSC kurumları kaydına kayıt olmak için kimlik belirlemelerinden sonraki 6 ay süreleri vardır. Kayıt olmamak cezalandırılma riski taşır.
Kritik ve önemli sektörlerdeki kurumlar, bilgi güvenliği yönetimi sistemi uygulanması, olay risklerinin düzenli değerlendirilmesi ve olay yönetimi gibi yeni yükümlülükleri üstlenecektir. Siber tehditlere ve zafiyetler hakkında bilgi toplamak ile olayların etkisini sınırlayıcı önlemler (örneğin düzenli yazılım güncellemeleri, tehdit tespiti sonrası derhal harekete geçme) zorunludur.
Teknik Önlemler ve Bilgi Paylaşımı
Kurumlar, tahmini riske orantılı teknik ve organizasyonel önlemler (siber güvenlik politikaları, sistem erişim kontrolü, çok faktörlü kimlik doğrulama, çalışan eğitimleri) uygulamak zorundadır. Bu önlemler, insanların, çevrenin, kurum kaynakları ve tedarik zincirinin güvenliğini ile kurumun sürekli çalışmasını sağlamalıdır.
Kritik ve önemli kurumlar, olaylar, siber tehditler ve zafiyetler hakkında bilgi alışverişi için s46 sistemini kullanacaktır. Kritik kurumlar her 3 yılda en az bir kez kendi masraflarıyla bir güvenlik denetimi yapacaktır.
Uyum Dönemi ve Destek Mekanizmaları
Kurumlar, yasanın yürürlüğe girdiği tarihten itibaren 12 ay içinde uyum sağlamış olacaktır. Sektörel CSIRT ekipleri, KSC kapsamındaki kurumları siber güvenlik olaylarının yönetiminde destekleyecektir. Bakanlar Kurulu, 6 ay içinde büyük ölçekli siber güvenlik olaylarına ulusal müdahale planını onaylayacaktır. Dijital Bakanı, kritik olayların etkilerini sınırlayacak koruyucu emirler yayınlayabilecektir.
Olay Bildirimi ve Cezalar
“Ciddi olay” tanımı: hizmet kalitesinde ciddi düşüş, hizmet sürekli kesintisi, finansal kayıplar veya diğer kurumlara ciddi zarar. Kurumlar, bu tür olayları tespit sonrası 72 saat içinde, “erken uyarıyı” ise 24 saat içinde sektörel CSIRT’e bildirecektir. Kullanıcıları bilgilendirme yükümlülüğü de mevcuttur.
Yasalara uymamak, kritik kurumlar için gelirlerin %2’si (min. 20 bin zł, maks. 10 milyon €), önemli kurumlar için %1,4’ü (min. 15 bin zł, maks. 7 milyon €) para cezası getirir. Emir ihlali her gün 500 zł–100 bin zł arasında ceza doğurur. Ek olarak, doğrudan ulusal güvenliği tehdit eden ihlallerde 100 milyon zł’ye kadar ceza öngörülmektedir.
Meclis’te kabul edilen değişikliklerden biri, cumhurbaşkanı temsilcisinin ulusal müdahale planı hazırlıklarına katılma zorunluluğunu getirmiştir. İdari cezaların yürürlüğe girmeden önce 2 yıl geçmesi, kurumların hazırlık yapması için bir esneklik sağlamaktadır.
2018 tarihli eski KSC Yasası, AB’nin NIS 2 Direktifi’ni uygulamamaktadır. Direktifin uygulama süresi 18 Ekim 2024’te dolmuştur. Yeni değişiklik, ilan edildiği tarihten bir ay sonra yürürlüğe girecektir.
Kaynak : GazetaPrawna
