* Bergamo Üniversitesi İşletme Bilimleri Bölümü'nde Ekonomi ve İşletme Yönetimi Profesörü ve Pazarlama Lhab'ın bilimsel direktörü
Olası siber saldırılara karşı (NIS2 olarak bilinen) üretim sisteminin güvenliğine ilişkin direktifin yürürlüğe girmesinden bir yıl sonra şirketler nerede? Yöneticiler ne kadar biliyor? Ve bir anlamda: Milli üretim sisteminin giderek belirginleşen siber saldırı riskleri karşısında ne kadar güvenli olduğu. Bergamo Üniversitesi İşletme Bilimleri Bölümü'nde kurulan pazarlama laboratuvarı Marketing Lhab'daki araştırmacıların Softlab işbirliği ve Bilendi'nin teknik desteğiyle yürüttüğü çalışmanın odak noktası bu. sonuçları bugün, 9 Ekim'de saat 14:00 ile 18:00 arasında Kilometro Rosso bilim-teknoloji parkında yapılması planlanan bir toplantı-tartışmada sunulacak.
Yıllar süren ciddi ilgisizliğin ardından, kritik altyapıların ve bilgi sistemlerinin güvenliği, Avrupa ülkelerinin ekonomik dayanıklılığını ve rekabet gücünü doğrudan etkilediği için nihayet uluslar üstü bir çıkar meselesi haline geldi. NIS2, Ağ ve Bilgi Güvenliği 2 Direktifi'nin (İtalya'da 138/2024 sayılı Kanun Hükmünde Kararname ile uygulamaya konmuştur) yürürlüğe girmesiyle birlikte Avrupa Birliği, siber tehditlere karşı savunmalarını güçlendirmek için çağrılan konuların kapsamını önemli ölçüde genişletmiş, sıkı yükümlülükler ve uyumsuzluk durumunda 10 milyon avroya veya cironun %2'sine varabilen bir yaptırım rejimi getirmiştir.
En azından yaptırımlar açısından, yürürlüğe girdikten sonra aylarca ekonomik tartışmayı dolduran, konuyla ilgili düzinelerce konferans düzenleyen, genel ve uzman basını dolduran ve uyumsuzluk veya kısmi uyum durumunda kelimenin tam anlamıyla “dehşete kapılan” şirketlere yönelik çok konuşulan GDPR'yi hatırlatan bir düzenleyici sistem.
Teknik ve düzenleyici yönlerin ötesinde, NIS2'nin net bir hedefi var: Birlik vatandaşlarının hayatları için en önemli üretim zincirlerinin, bütün ülkelere diz çöktürebilecek BT risklerine karşı daha az korunmasız olmasını sağlamak.. Geçtiğimiz Nisan ayında İspanya ve Portekiz'i etkileyen elektrik kesintisinin anısı, bir bilgi hatasının tüm üretim sistemini çıkmaza sokması durumunda neler olabileceğine dair iyi bir fikir veriyor. Ancak tarihi bir örnek vermeden, gıda, ulaşım, sağlık ve bankacılık gibi kamu yararına olan mal ve hizmetleri üreten tedarik zincirlerini daha az savunmasız hale getirin.
Ancak, iç hukuka aktarımdan on iki ay sonra, İtalya'nın üretim dokusunda mevzuatın kapsamına ilişkin algı sınırlı kalıyor. Bu, NIS2 tarafından belirlenen “temel” ve “önemli” sektörlerde faaliyet gösteren 200 C seviyesini (CEO, COO, hukuk ve uyumluluk yöneticileri, CTO ve CISO) kapsayan bir anketten ortaya çıkan sonuçtur.
Ortaya çıkan ilk veriler gösterge niteliğindedir: mevzuattan etkilenen ve coğrafi alan ve şirket büyüklüğüne göre yeterince farklılaştırılmış tedarik zincirlerinin temsili bir örneğinden 200 faydalı yanıt toplamak için 2.809 yöneticiyle iletişime geçmek gerekiyordu. Aslında, 'NIS2'yi hiç duydunuz mu' sorusuna potansiyel katılımcıların yalnızca %7,1'i olumlu yanıt verdi.
Ayrıca katılımcıların yaklaşık üçte biri, şirketlerinin yükümlü kuruluşlar arasında olup olmadığını ve/veya hariç tutma durumları arasında olup olmadığını hala kesin olarak söyleyememektedir. Ancak araştırmaya katılan şirketlerin olası siber saldırılara karşı yeterli hazırlık düzeyinin bulunduğunu bilmek sevindirici. Hatta katılımcıların yüzde 76'sı olası bilgi saldırılarına karşı yeterli araçlara sahip olduklarını, yüzde 62,5'i felaket kurtarma süreklilik planına sahip olduklarını, yüzde 82,5'i ise çalışanlara siber güvenlik konusunda eğitim verdiklerini belirtiyor.
Kurala ilişkin bilgi düzeyine ilişkin olarak alınan yanıtlar, katılımcıların üçte birinden fazlasının (%36,5) gerekli düzenlemeleri tam olarak bilmediklerini itiraf ettiğini; %53'ü mevzuatın en kritik unsurlarından biri olmaya devam eden kanunun öngördüğü süreler ve yaptırımlar konusunda kesin bilgiye sahip değil; Örneklemin yaklaşık yarısı düzenleyici metnin anlaşılmasının zor olduğunu düşünüyor. Ancak belirsizlik marjlarına rağmen, görüşülenlerin üçte ikisinden fazlası NIS2 için GDPR'ye benzer bir öncelik seviyesinin olduğunu kabul ediyor; bu, dijital uyumluluk konusunun giderek kurumsal gündemlerde ortaya çıktığına dair bir işaret. Son olarak, katılımcıların %15,5'i şirketlerinin standarda uyumu sağlamak için gerekli tüm gerekliliklere henüz sahip olmadığını beyan ediyor.
Vurgulanan kritik bir nokta, şirket yönetiminin adaptasyon süreçlerine hala sınırlı katılımıyla ilgilidir: NIS2'nin talimatlarına uyumu, operasyonel süreklilik ve paydaş güveni için stratejik bir kaldıraç olarak görmek yerine, yalnızca teknik bir sorunla sınırlama riski taşıyan bir sinyal. Üretim zincirlerinin BT güvenliği – hatta yasanın enerji, ulaştırma, bankacılık gibi “gerekli” olarak tanımladığı ve posta hizmetleri, atık, gıda gibi “önemli” olarak tanımladığı zincirler de bu nedenle gündem belirleme açısından hala öncelikli olmayan bir konu gibi görünüyor. Daha doğrusu: konu konuyla ilgilidir ancak risk potansiyel olarak kaldığı sürece bir öncelik haline gelmez. Bu ancak ve ancak tedarik zincirinde bir şeyler ters giderse ve operasyonel süreklilik tehlikeye girerse gerçekleşir.
Üst yönetimin direncine ek olarak, ankete katılanların örneklemi aşağıdaki faktörleri NIS2 yükümlülüklerinin uygulanmasının önündeki olası engeller olarak tanımlamaktadır: bilgi altyapılarının (%19,5) ve yönetim süreçlerinin yetersizliği (%15), standardın uygulama kapsamının ve sonuçlarının (%18,5) yeterince anlaşılmaması, eğitimin (%15,5) ve üst yönetimin yetersizliği (%14,5).
Toplanan verilerin işlenmesi, standarda ilişkin bilgi düzeyi, organizasyonel farkındalık ve teknolojik hazırlığa göre farklılaşan üç şirket kümesinin tanımlanmasını mümkün kıldı: gereksinimlerin uygulanmasında halihazırda aktif olan en ileri gruptan, hâlâ savunmacı ve yapılandırılmamış bir yaklaşımla karakterize edilen en geri gruba kadar.
Bazı olumlu işaretlere rağmen araştırma, siber güvenlik ve NIS2'nin ulusal sosyo-ekonomik tartışmalarda hak ettikleri ilgiyi yaratmaya çalışan marjinal konular olmaya devam ettiğini doğruluyor.
Bir yanıt yazın