2 Haziran tarihli NIS2 uygulama yasasının şu anda sızdırılmış ses taslağı, şu anda Federal İçişleri Bakanlığı (BMI), Federal Şansölye (BKADT) ve Federal Maliye Bakanlığı (BMF) arasında koordine edilen versiyon gibi görünmektedir. Mevcut NIS2 Taslağı, önceki tüm kamu sürümleri gibi, yazarın kurucu ve konuşmacı olduğu bağımsız ilgi grubu AG Critis için halka açıktır.
Ne var ne yok? 26 Mayıs 2025 tarihli taslak hoparlörün önceki sızıntısı için bir fark analizi bazı ilginç noktalar göstermektedir.
Azaltılmış Kapsam
Etkilenen herkes için en önemli değişiklik § 28'de (özellikle önemli kurumlar ve önemli kurumlar) mobilya türünü belirlemek için 3. paragrafta yapılmıştır, çünkü paragraf yeniden tanımlanmıştır:
Diyerek şöyle devam etti: “Bitkiler 1 ve 2'ye göre mobilyalardan birine atanırken, kuruluşun tüm iş faaliyetleri açısından ihmal edilebilen bu tür iş faaliyetleri göz ardı edilebilir.”
Yasa'nın gerekçesi bu değişikliği açıklıyor:
“Bu, bireysel durumlarda, sadece küçük bir ikincil faaliyetin önemli veya özellikle önemli bir tesis olarak orantısız tanımlamaya yol açmasını önler.”
Ekonomi yoluyla daha az etki
§ 56'da (yasal yönetmelikler yayınlama yetkisi) 4 paragrafı, hangi hizmetlerin eleştiri olarak değerlendirildiğini ve hangi sistemlerin yasa anlamı içinde kritik sistemler olarak tanımlanması durumunda bilim, eleştiri operatörü ve derneklerinin duyulması gerektiğine dair silinmiştir.
Önemli bir güvenlik olayı nedir?
§ 56'da (yasal yönetmelikler çıkarma yetkisi) paragraf 5'te, ilgili bilim ve iş derneklerinin, önemli bir güvenlik olayı ne zaman ve neden yasal bir yönetmelik sağlanırken dinlenmesi gerektiği de silinmiştir. Bu değişikliğin neden bu kadar heyecan verici olduğu, gelecekte dikkate alınması gereken bazı yasal gereksinimlerden kaynaklanıyor.
A “Önemli Güvenlik Olayı” § 2'ye göre bir güvenlik olayıdır (tanımlar) 11 numaralı:
- A) İlgili tesis için hizmetlerin ciddi işletme bozuklukları veya finansal kayıplar neden oldu veya neden oldu veya
- B) Diğer doğal veya tüzel kişiler, önemli malzeme veya somut olmayan hasarla bozulmuş veya bozulmuş veya bozulmuştur,
Bölüm 56 (5) uyarınca yasal yönetmelik herhangi bir somut tanım sağlamazsa.
Kritik Sistemlerin Operatörü, Diyerek şöyle devam etti: “Etkilenen sistemin türü ve kritik hizmetin türü ve önemli bir güvenlik olayı çalıştırdığınız kritik sistem üzerinde bir etkisi olabilirse veya bu hizmet üzerindeki etkileri hakkında bilgi iletmek.”
§ 35'e (öğretim yükümlülükleri) 1'e göre, etkilenen kurumların hizmetlerinin alıcıları – ve dolayısıyla sadece eleştiri operatörleri tarafından değil – BSI tarafından önemli güvenlik olayları ve düzenlemesi durumunda derhal bilgilendirilmelidir. Bölüm 36'ya göre (federal ofisten rapor veren kurumlara geri bildirim), BSI etkilenen kurumu halkı önemli güvenlik olayı hakkında bilgilendirmeye veya hatta kendisi yapmaya zorlayabilir.
BNetza ile birlikte BSI
§ 5c yasası (tesis ve ağ operasyonunda BT güvenliği, kararlılık yeterliliği) paragraf 2, BSI ve Federal Ağ Ajansı (BNetza) arasındaki işbirliği için aşağıdaki ve çok hoş karşılama bölümlerini içerecek şekilde genişletilmiştir:
“Buna ek olarak, yeni düzenleme, Energie sektöründeki geleneksel ve dijital hizmet sağlayıcılar açısından Bnetza ve BSI'nin önceki sorumluluklarını tüketiyor.”
Şimdiye kadar, siber güvenlik önlemlerine uyum konusunda mevcut sektördeki eleştiri operatörlerinin denetimi esas olarak Bnetza. BSI, enerji sektöründeki enerji sektöründeki BT güvenlik gereksinimleri üzerinde daha fazla etkiye sahiptir. Böylece BSI, merkezi siber güvenlik otoritesi olarak rolünü güçlendiren tüm eleştiri sektörlerinde tek tip bir güvenlik seviyesi sağlayabilir.
BT temel koruması yasal rütbe alır
§ 44 (federal ofisin gereksinimleri) yasası 1 paragrafı değiştirilmiştir. Şimdiye kadar, It-Grundschutz sadece Federal Bakanlık ve Federal Şansölye için dolaylı yasal rütbe aldı. Şimdi bu tüm federal yönetim kurumları için geçerlidir.
Buna ek olarak, BSI ve federal yönetim kurumlarının bilgi güvenliği görevlilerinin rolü de dahil olmak üzere çeşitli yerlerde bazı küçük değişiklikler vardı. Genel olarak, Ag Kritis'in temel eleştirileri, 2 Ekim 2024'ten itibaren NIS2UMUCG'nin taslağına ilişkin yazılı açıklamadan değişmemiş geçerlilik olmaya devam etmektedir.
(ODI)
Bir yanıt yazın