CRA ve NIS2 için hazırlanmanıza yardım ediyoruz

Siber güvenliği ciddiye alan bir üreticiyi tercih etmenin işiniz için önemi

Siber güvenlik, şirket liderlerinin ilgisini çeken bir konu olmaya devam ediyor, bundan dolayı Avrupa Birliği’nin şirketlere karşı siber saldırı riskini azaltmak için çalışıyor olması pek şaşırtıcı değil. Avrupa Birliği’nin en son çabaları Siber Dirençlilik Yasası (CRA) ve Ağ ve Bilgi Güvenliği Yönergesi 2. edisyon (NIS2) olmak üzere iki yönergede yoğunlaşmaktadır. Şimdi uyumluluklarını gözden geçiren şirket liderleri, siber güvenlik konusunda kararlı ve NIS2 ve CRA’ya uymada öncü olan Hanwha Vision gibi üreticilerle ortaklık etmeleriyle kazanç elde edeceklerdir.

Bağlam için Avrupa Parlamentosu ve Avrupa Konseyi özellikle kişisel veriler olmak üzere verilerin kullanımı ve korunması konusunda uzun bir süredir ihtiyatlı olmuştur. Buna rağmen siber suçlar artış gösterdiğinden ve teknoloji platformları üssel olarak artıp kötü oyuncuların ağları ve bağlı cihazları istismar etmeleri için gittikçe daha çok fırsat doğarken yasamacılar AB’ye üye devletlerin ve onların içerisinde faaliyet gösteren kuruluşların siber savunulması tarafında yoğunlaşıyorlar.

Avrupa Birliği Siber Güvenlik Ajansı ENISA, siber güvenliğe karşı yeni tehditlerin cihazların şimdi toplayabildiği veri miktarının büyüklüğü, siber saldırıları daha karmaşık ve ölçeklenebilir hale getiren Yapay Zekadaki gelişmeler, tedarik zinciri hedefleme (2020 yılında %1’in altındaki durumla karşılaştırıldığında 2021’de izinsiz girişlerin %17’sinin üçüncü taraf vakalara karşılık gelmesiyle) ve daha büyük saldırılar için Nesnelerin İnterneti (IoT)  cihazlarının kullanımı nedeniyle ortaya çıktığını buldu. Bu manzarayla birlikte yeni CRA ve asıl NIS Yönergesinin yerine yeni tehditlere karşı doğrudan yanıt veren bir yönerge geliyor.

NIS2 Hakkında

NIS2 Yönergesi Aralık 2020 yılında Avrupa Parlamentosu ve Konseyi tarafından kabul edildi. Bu yönerge üye devletlere Ekim 2024’e kadar NIS2’nin gereksinimlerini kendi ulusal yasalarına uyarlamaları için zaman verdi. Nihai olarak Yönerge, Avrupa Birliği genelinde ağ ve bilgi sistemlerinin siber güvenliğini iyileştirmeyi amaçlamaktadır.

Hem Önemli Hizmetlerin İşleticileri (OES) ve Dijital Hizmet Sağlayıcıları (DSP’ler) için geçerlidir; bir kuruluşun bunların hangisinde olduğunu belirlemek onun yükümlülüklerini anlamak için kilit konudur. OES, ekonomi veya topluma kritik hizmetler sağlar ve enerji firmalarını, ulaştırma, bankacılık ve sağlık kuruluşlarını kapsar. DSP’ler büyük sayıda kullanıcıya çevrimiçi hizmetler sağlar ve arama motorlarını, sosyal medya platformlarını ve çevrimiçi pazar yerlerini kapsar. Video teknolojisinin üreticisi olarak Hanwha Vision bir DSP olarak tanımlanır.

İlk NIS sadece OES’e odaklandı, ancak kötü oyuncularca istismar edilen zayıf bir halka olabilecek dijital hizmetlerin gittikçe yaygınlaşmasıyla NIS2 gereksinimleri Dijital Hizmet Sağlayıcılarını (DSP) da kapsayacak şekilde genişletildi. Böylece bu yönerge DSP’lerin, kendi ağlarının ve bilgi sistemlerinin karşı karşıya olduğu riskleri yönetmek için uygun önlemler almalarını sağlıyor.

DSP’lerden aşağıdakiler istenmektedir:

  • Siber Dirençlilik Yasasına tam uymak.
  • Ağlarının ve bilgi sistemlerinin karşı karşıya olduğu riskleri belirlemek ve değerlendirmek için düzenli risk değerlendirmeleri yapmak.
  • Risk değerlendirmelerinde belirlenen riskleri hafifletmek için uygun güvenlik önlemlerini uygulamak.
  • Yetkili ulusal mercilere siber güvenlik vakalarını bildirmek.
  • Bir siber güvenlik vakası durumunda yetkili ulusal mercilerle işbirliği yapmak.

NIS2, video sektörü için olumlu bir adımdır; AB üyesi devletlerde iş yapmak isteyen herhangi bir üreticinin uyumlu olmasını sağlar. Çeşitli cihazlarıyla ve farklı hizmetleriyle bir ağın güvenliğini sağlamak tüm satıcı tedarik zinciri tarafından aktif katılımı gerektirir. NIS2 bunun organize edilmesini çok daha kolaylaştırır. Dahası, kameralar sadece topladıkları veriler için değil (ki duyarlı ve kişisel olabilir) fakat aynı zamanda daha büyük bir siber saldırı için bir geçit olarak da saygın üreticilerden tercih edilmezse bir risk oluşturabilir. Özellikle gittikçe daha çok akıllı şehirler kuruldukça ağlar daha büyük ve daha karmaşık hale geldiğinden tedarik zincirleri genelinde sağlam siber güvenliğe sahip olmak kritik hale gelir.

NIS2 için hazırlanma

Şu anda kuruluşunuzu geleceğe hazırlamanın en iyi yolu sadece NIS2 uyumluluğu için hazır olduklarını kanıtlayabilen ve güçlü bir siber güvenlik en iyi uygulamalar kaydına sahip üreticilerle çalışmaktır. Kesin gereksinimleri daha AB tarafından yasallaştırılacak olsa da şimdilik emniyetli bir iddia CRA uyumluluğunu aramaktır, çünkü büyük olasılıkla CRA uyumlu bir üretici aynı zamanda NIS2 ile uyumludur da.

CRA uyumluluğu

İşyerlerinde ve evlerde gittikçe daha çok akıllı cihaz kullanıldıkça Avrupa Komisyonu , ürün yaşam döngüsü boyunca düzenli güvenlik güncellemeleriyle üye ülkeler içerisinde kullanılan her üründe uygun bir siber güvenlik düzeyini sağlamak istemektedir. Şirket liderlerinin ve tüketicilerin uyumlu ürünleri belirlemelerine yardım etmek için gereksinimleri karşılayan her üründe veya yazılımda CE işareti görünecektir. CRA; örneğin akıllı Tv’ler, WiFi yönlendiricileri, akıllı buzdolapları ve video kameralar gibi internete bağlanan ürünler için geçerlidir.

Bu Yasa Avrupa Parlamentosu ve Konseyi tarafından değerlendiriliyor olsa bile ve en erken tahminle 2024 yılına kadar yürürlüğe girmeyecek olsa dahi Hanwha Vision şimdiden, uygulamış olduğu kapsamlı siber güvenlik süreçleri sayesinde CRA’daki yönergelere şimdiden uyuyor.

Satıcılar aynı zamanda ağlarının yüz yüze olduğu riskleri belirlemek, değerlendirmek ve hafifletmek için düzenli risk değerlendirmeleri yaptıklarını da göstermelidirler. Bu, penetrasyon testleri ve güvenlik kontrolleri dahil Hanwha Vision’ın Güvenlik-Bilgisayar Acil Müdahale Ekibinin (S-CERT) düzenli olarak gerçekleştirdiği bir şeydir.

Hanwha Vision’ın ürünlerinin tümü güvenlik göz önünde bulundurularak tasarlanmış ve geliştirilmiştir ve Wisenet 7 Yongada Gelişmiş Sistem (SoC)’de UL CAP Sertifikasyonu bulunmaktadır. Kullanıcılarının tümü için güvenliği daha da geliştirmek için Hanwha Vision, açık ifşa politikasının bir parçası olarak olası tehditleri ve açıklıkları düzenli olarak yayınlamaktadır ve kullanıcılara ürünlerinin güvenlik özellikleri ve onların nasıl kullanılacağı hakkındaki bilgileri sağlamaktadır.

Siber güvenlik buz dağının ucu

AB’nin en son yasalaştırma girişimleri politika yapımı, inovasyon hibeleri ve daha fazlası yoluyla siber dirençliliği teşvik etmeye yönelik daha geniş çabalarının  bir parçasıdır. Bu, Avrupa Komisyonu’nun ürünleri ve hizmetleri siber saldırılara karşı korumaya verdiği önemi göstermektedir; siber güvenliği ürün tasarımlarının temelinde tutan üreticilerle ortaklık etmek kuruluşların Avrupa’daki faaliyetlerini geleceğe yönelik hazırlamalarına yardım edecektir.

Bundan dolayı kullanıcıların ürünlerini ve yazılımının güvenliğini sağlamanın da ötesine geçen bir video üreticisini seçmeleri önemlidir; siber güvenlik “iyi”nin yeterli olduğu bir alan değildir. Bir veri ihlalinin riskleri ve maliyetleri, standart altı siber güvenliği olan kameraları tercih etmeyi savunmak bakımından için çok yüksektir. Alanı sürekli olarak yeni tehditler ve açıklıkları bulmak için sürekli tarayan bir üreticiyle ortaklık etmek video sisteminizin uyumluluğu devam ettirmede önde kalmasını sağlar.

Kimlik bilgilerinin ve politikalarının önemi

Video ağınızın olabildiği kadar siber güvenli olduğu konusunda gönül rahatlığı elde etmek için üreticinizde birkaç “güvenilirlik işaretini” aramak her seçim sürecinin bir parçası olmalıdır. Sizin sadece ürün tasarımında değil fakat aynı zamanda tüm faaliyetlerinde, kültürlerinde ve hatta düşünce liderliğinde bile siber güvenliğe olan bağlılıklarının net bir kanıtını görmeniz gerekir. Açıklık müdahaleleri ve vaka süreçleri/raporlama dahil güvenlik politikaları temel gereksinimlerdir.

UL CAP (UL Siber Güvenlik Güvence Programı) ve NDAA (Ulusal Savunma Yetki Yasası) uyumluluğunu da kapsayan sertifikalar veya İngiltere’nin Cyber Essentials programı gibi akreditasyonlar daha da fazla güven sağlayabilir. Özellikle NDAA uyumluluğu üretim şirketlerinin kara listedeki ülkelerde silikon yongaların ve diğer bileşenlerin üretmekten ve kullanmaktan kaçınmalarını gerektirdiğinden dolayı bir üreticinin tedarik zincirinin siber dayanıklılığının önemli bir göstergesi olabilir.

Son olarak bilgi ve kaynak paylaşımı ve aynı zamanda CVE açıklık kütüphanesine (Hanwha Vision is bir CVE Ortağıdır),  siber güvenliği artırmaya uzun vadeli bir kararlılığı gösterebilir. Hanwha Vision kendisinin güvenlik önlemlerini pekiştirmekten ve birçok yıldır İngiltere ve Avrupa genelinde siber güvenlik en iyi uygulamalarına katkı yapmaktan gurur duymaktadır.

Gelecek için bir güvenilirlik işareti?

NDAA uyumluluğuna benzer bir şekilde CRA ve NIS2, karar alıcıların bir üreticinin siber güvenliğe bağlılığını belirlemek için kullanabilecekleri diğer bir nokta haline gelmektedir. Yaklaşımlarında proaktif olan ve ürünlerinin güvenliğini sağlamada çok yönlü bir stratejiyi kullanan satıcıları aramak, siber saldırılar yaygınlaştıkça, karmaşık ve maliyetli hale geldikçe uzun vadede size iyi hizmet edecektir. Size ağınıza zayıf bir halka katmadan kuruluşunuz için en iyi CCTV çözümlerine yatırım yapma özgürlüğünü ve esnekliğini verir.