Donald Trump'ın ikinci döneminin başlangıcından bu yana Avrupalı olmayan bulut sağlayıcılarına, AWS ve Azure gibi hiper ölçekleyicilerin yanı sıra Alibaba veya Huawei Cloud'a bağımlılığın aşırı olup olmadığı da tartışılıyor. Aşağıdakiler özellikle kamu yönetimindeki güvenlik açısından kritik uygulamalar ve kritik altyapı ve hizmet operatörleri için geçerlidir: Verimli ve bağımsız çözümler ararken pek çok vaat vardır, ancak kriterler genellikle belirsizdir. AB'de güvenli bir şekilde çalıştırılan bir bulut çözümü egemen midir? Bir ABD şirketinin altyapısından bağımsız mı? Dış örneklere bağımlı olmadan mı? BT teknik güvenliği ayrı bir şeydir; teknik egemenlik her zaman tutarlı bir gereksinim profili değildir.
Duyurudan sonra devamını okuyun
Yakın zamanda güncellenen Bulut Bilişim Uyumluluk Kriterleri Kataloğu (C5), bulut hizmetlerinin en sıkı güvenlik özelliklerini zaten tanımlamaktadır. Federal Bilgi Güvenliği Dairesi (BSI) tarafından sunulan teklif, ikinci talimatla başlıyor: Bonn'daki federal otoriteden uzmanlar, bugün yayınlanan “Bulut Bilişim Özerkliğini Etkinleştiren Kriterler” (C3A) ile bir teklif sundular. Kullanıcılar, bir hizmetin gerçekten ilgili egemenlik riskine uygun olup olmadığını en başından kontrol edebilmelidir. Otorite, Federal Yönetim'e BT güvenlik hizmetleri sağlayıcısı olarak uzun yıllardır tartışmalara eşlik ediyor. Her şeyden önce tek bir hedefe ulaşmak istiyor: BSI Başkan Yardımcısı Thomas Caspers, “Somut koşullar yaratan teknik açıdan sağlam çözümlerle ilgileniyoruz” diyor.
BT Zirvesi 2026 için dijital egemenlik projelerini planlayan, yöneten veya uygulayan kişilerden uygulamalı açıklamalar arıyoruz. BT Zirvesi dersleri ve açılış konuşmaları, 5 dakikalık soru ve cevap dahil olmak üzere 45 dakika sürer. İdeal olarak, uygulamalı deneyimi teknik bilgilerle birleştirerek dinleyicilerin somut öğrenmeleri eve götürmelerini sağlarlar. Sunum fikirlerinizi 17 Mayıs 2026'ya kadar gönderin.
Daha az diplomatik yorum: Bir tedarikçinin bağımsızlığı konusunda uzun bir siyasi tartışma yerine otorite, Bulut ve Yapay Zeka Geliştirme Yasası'nın (CADA) sonuçlarına ilişkin tartışmaya somut bir teklifle girmek istiyor. Mevcut takvime göre AB Komisyonu CADA'yı 27 Mayıs'ta sunmayı planlıyor; Üye Devletler ve Avrupa Parlamentosu daha sonra bunu tavsiye eder. Gözlemciler, Avrupa Komisyonu Başkan Yardımcısı Henna Virkkunen'in CADA ile bulut egemenliğine ilişkin daha net kriterler sunmasını ve tartışma ve lobi çalışmalarının ancak projenin Mayıs ayındaki sunumuyla gerçekten başlamasını bekliyor.
Pratik deneyimler ve topluluk kriterleri
Bunu yaparken BSI, diğer şeylerin yanı sıra, aslında yalnızca AB Komisyonu BT'sinden sorumlu olan DIGIT Genel Müdürlüğü'nün geçen yıl tanımladığı sekiz kriterden altısını temel alıyor ve bunları daha geniş deneyimle zenginleştiriyor. Fransız siber güvenlik otoritesi ANSSI ve özellikle BSI, farklı bağımlılık çeşitleriyle ilgili kapsamlı deneyim kazanmıştır – örneğin Almanya'da SAP-Microsoft işbirliği DelosCloud, Schwarz-Digits'in Stackit'i veya Google ile işbirliği içinde T-Systems Sovereign Cloud, örneğin “Polizei 2020” (P20) veya Amazon'un Avrupa Sovereign Cloud teklifi için gereksinimler. Aynı zamanda, Fransa Başbakanına rapor veren makam, Fransız şirketlerinin her zaman kamu yönetimine dahil olduğu farklı bir yolu denedi; örneğin Aralık ayında Fransız SecNumCloud gereksinimlerine göre sertifikalandırılan ve Google veya OVH donanımı üzerinde SAP ile birlikte işletilen S3NS'deki savunma şirketi Thales.
Tam da bu deneyimlerin artık gelecekle alakalı hale gelmesi gerekiyor. BSI'ın C3A sistemini kendisinin geliştirmediği, aynı zamanda tedarikçilerle de görüştüğü gerçeği, onu yakından temel alan kendi endüstri değerlendirme standartları tarafından da kanıtlanmaktadır. Caspers, “AWS Avrupa Egemen Bulut örneğini ele aldığımızda, diğer şeylerin yanı sıra, bir bulutun çalışır durumda tutulmasında kaç mekanizmanın rol oynadığını gördük” diye açıklıyor Caspers. “Eğer tamamen ayrılırsanız, bu teklifleri yıllarca işletmeye devam edemezsiniz.”
Bağlantı kesilmesinden savunmaya kadar kriterler
Duyurudan sonra devamını okuyun
Örneğin C3A'da durum şu şekildedir: C3A'nın SOV-4-09-C'si, bağlantı kesilmesi durumunda neyin garanti edilmesi gerektiğini, yani Avrupalı olmayan operatörün bulutundan ayrılmayı tanımlar: Temel olarak, operasyonlar kullanılabilirlik, bütünlük, orijinallik ve gizlilikten ödün vermeden çalışmaya devam etmelidir. Ayrıca, ayırma prosedürü ve uygulanması için belgelenmiş bir süreç bulunmalı ve operatör bunu, test sonuçları da dahil olmak üzere yılda en az bir kez test etmiş ve belgelendirmiş olmalıdır. Daha geniş kapsamlı SOV-4-09-AC kriterini karşılamak isteyen herkes, talepleri üzerine belgelerini veri merkezi konumundaki sorumlu BT güvenlik yetkilileriyle de paylaşmalıdır.
Gereksinimler yasal açıdan da aynı derecede spesifiktir; örneğin, tedarikçilerin AB dışı yetki alanlarına tabi olmaması gerektiği veya çalışanların temel BT bakım önlemlerini nerede yürüttüğü sorusu söz konusu olduğunda. Buna göre çalışanların seçimi için kademeli kriterler de mevcuttur: SOV-4-01-C1, bulut hizmet sağlayıcısının kaynaklarına mantıksal veya fiziksel erişimi olan tüm çalışanların AB vatandaşlığına ve AB'de ikamet yerine sahip olmasını gerektirir – SOV-4-01-C2'nin gerekliliği daha da sıkıdır: bu nedenle tüm çalışanların yalnızca AB vatandaşı olması değil, aynı zamanda Federal Cumhuriyet'te de ikamet etmeleri gerekir.
Bu kriter özellikle güvenlik yetkilileri veya Bundeswehr gibi yüksek güvenlikli uygulamalar için uygundur. BSI'ın bu konuda doğrudan hiçbir yasal sorumluluğu yoktur. Ancak her ihtimale karşı C3A ayrıca test kriterlerini de içerir. Çünkü Anayasa'da düzenlenen savunma durumunda nelerin yerine getirilmesi gerektiği artık açıkça tanımlanmış durumda: Tüm olağanüstü hal mevzuatı modeline göre, bulut hizmeti sağlayıcılarının, “gerekli malzeme ve personel dahil” işlemleri federal makamlara devredebilmesi gerekiyor.
Potansiyel olarak geniş kapsamlı etkiler
Başlangıçta C5 kataloğu için olduğu gibi, daha sonra Sosyal Güvenlik Kanunu'nda sağlık BT'si için bağlayıcı olduğu ilan edilmişse de, bu durum doğrudan C3A için geçerli değildir. Caspers, “Bulut bilişimin özerkliğini mümkün kılan kriterler kendi başlarına bağlayıcı değil” diye açıklıyor. “Fakat elbette mevzuat veya ihale çerçevesinde asgari gereklilikler beyan edilebilir.” Ancak Federal Bilgi Güvenliği Dairesi başkan yardımcısına göre C3A, “Federal Yönetim için referans noktası haline gelebilir”.
Bu aynı zamanda spesifikasyonlar arasındaki etkileşimden de kaynaklanmaktadır. BSI bulut güvenliği departmanı başkanı Martin Bierwirth, “Federal kurumların BSI'nin temel BT korumasını uygulaması gerekiyor” diye açıklıyor. “Harici bulut hizmetlerini kullanıyorsanız OPS 2.2 bileşenini de uygulamalı ve ona uymalısınız.” Harici bulut hizmetlerinin (MST-NCD) kullanımına ilişkin minimum standart da buna dayanmaktadır. C3A ise C5'i temel alacak ve bilgi güvenliği kriterlerini dijital egemenlik temasıyla entegre edecek. Yalnızca güvenlik gereklerini değil aynı zamanda egemenlik gereklerini de yerine getirmek zorunda olan birinin Federal Cumhuriyet'te bu sorunun üstesinden gelmesi pek mümkün olmayacaktır. Büyük hiper ölçekleyicilerin bu gereksinimleri karşılama yeteneği, muhtemelen müşterinin özel gereksinim profiline ve üstün çözümler seçme baskısına bağlı olacaktır.
Avrupa'daki tartışmanın nasıl gelişeceğine bağlı olarak, yeni kriterler Ren ve Oder'in ötesinde de önemli bir rol oynayabilir. AB Bulut ve Yapay Zeka Geliştirme Yasası ile bu tür kriterler NIS2 veya Siber Güvenlik Yasası gibi BT güvenlik yasalarının eklerinde yer bulsaydı, Almanya'nın teklifini aşmanın pek bir yolu olmazdı.
Ayrıca okuyun
(fo)
Bir yanıt yazın