Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunBölgelere Göre Siber Güvenlik Düzenleme Gereksinimleri: Küresel İşletmeler için Bir Uyumluluk Haritası
2023'ten bu yana 70'ten fazla ülke siber güvenlik düzenlemelerini yürürlüğe koydu veya güncelledi. Düzenleme ortamı çoğu şirketin takip edebileceğinden daha hızlı gelişiyor. İki yıl önce gönüllü rehberlik olan şey, artık önemli cezalar içeren uygulanabilir bir yasa haline geldi. Bu kılavuz, büyük bölgelerdeki siber güvenlik düzenleme gerekliliklerini haritalandırarak küresel işletmelerin yükümlülüklerini anlamalarına ve uyumluluğa öncelik vermelerine yardımcı olur.
Önemli Çıkarımlar
- NIS2 (AB), siber güvenlik yükümlülüklerini kişisel yönetim sorumluluğuyla birlikte 160.000'den fazla kuruluşu kapsayacak şekilde genişletti
- SEC siber güvenlik açıklama kuralları, ABD'deki halka açık şirketlerin maddi olayları 4 iş günü içinde raporlamasını gerektirir
- APAC düzenlemeleri büyük farklılıklar göstermektedir: Singapur ve Avustralya başı çekerken diğerleri hâlâ çerçeveler geliştirmeye devam ediyor
- Birleşik bir güvenlik çerçevesi (ISO 27001 veya NIST CSF), küresel olarak bölgesel gereksinimlerin %60-80'ini karşılar
Bölgesel Düzenleme Haritası
Avrupa Birliği
| Yönetmelik | Etkili | Kapsam | Temel Gereksinimler | Penaltılar |
|---|---|---|---|---|
| NIS2 Direktifi | Ekim 2024 | Temel ve önemli kuruluşlar (18 sektör) | Risk yönetimi, olay raporlama (24 saat/72 saat), tedarik zinciri güvenliği, yönetim sorumluluğu | 10 Milyon Avro veya %2 gelir (gerekli), 7 Milyon Avro veya %1,4 (önemli) |
| DORA | Ocak 2025 | Finans sektörü (bankalar, sigorta, yatırım, BİT sağlayıcıları) | BİT risk yönetimi, olay sınıflandırma/raporlama, dayanıklılık testi, üçüncü taraf riski | Varlık boyutuyla orantılı |
| Siber Dayanıklılık Yasası | 2027 (aşamalı) | Dijital unsurlara sahip ürünler | Tasarım gereği güvenli, güvenlik açığı yönetimi, SBOM, CE işareti | 15 Milyon Avro veya %2,5 gelir |
| GDPR (güvenlik hususları) | 2018 | AB kişisel verilerini işleyen herhangi bir kuruluş | "Uygun teknik ve organizasyonel önlemler" | 20 milyon Euro veya %4 gelir |
NIS2'de NIS1'e göre önemli değişiklikler:
- ~10.000 kuruluştan ~160.000 kuruluşa genişletildi
- Uyumdan şahsen sorumlu olan yönetim organları
- Önemli olaylar için 24 saat zorunlu "erken uyarı"
- Tedarik zinciri güvenliği gereksinimleri
- Önemli kuruluşlar için minimum 10 milyon Avro ceza
Amerika Birleşik Devletleri
| Yönetmelik | Etkili | Kapsam | Temel Gereksinimler | Penaltılar |
|---|---|---|---|---|
| SEC Siber Güvenlik Kuralları | Aralık 2023 | ABD'deki halka açık şirketler | Özel durum açıklaması (4 iş günü), yıllık risk yönetimi raporlaması | SEC yaptırım eylemleri |
| CISA Raporlaması (CIRCIA) | 2026 (önerilen) | Kritik altyapı (16 sektör) | 72 saatlik olay raporlama, 24 saatlik fidye yazılımı ödeme raporlaması | Sivil cezalar |
| FTC Yasası (Bölüm 5) | Devam ediyor | Ticaretle uğraşan şirketler | "Makul" güvenlik uygulamaları, "haksız" uygulamaların yaptırımı | Değişir (izin emirleri, cezalar) |
| Eyaletin gizlilik yasaları (CA, CO, CT, VA, vb.) | Çeşitli | Eyalet eşiklerini karşılayan şirketler | Güvenlik uygulamaları, ihlal bildirimi (eyalete göre değişir) | State AG'nin yaptırımı |
| HIPAA Güvenlik Kuralı | 2005 (güncellendi) | Sağlık kurumları ve iş ortakları | PHI için idari, fiziksel ve teknik önlemler | İhlal kategorisi başına yılda 1,9 milyon dolara kadar |
| GLBA Koruma Kuralı | Güncellendi 2023 | Mali kurumlar | Risk değerlendirmesi, erişim kontrolleri, MFA, şifreleme, olaylara müdahale | Federal kurum yaptırımı |
Birleşik Krallık
| Yönetmelik | Etkili | Kapsam | Temel Gereksinimler | Penaltılar |
|---|---|---|---|---|
| Birleşik Krallık NIS Düzenlemeleri | 2018 (güncellendi) | Temel hizmetler, dijital hizmetler | Risk yönetimi, olay raporlama, tedarik zinciri | 17 milyon GBP |
| Birleşik Krallık GDPR | 2021 | Birleşik Krallık'ta ikamet edenlerin verilerini işleyen kuruluşlar | Güvenlik önlemleri, ihlal bildirimi (72 saat) | 17,5 milyon GBP veya %4 gelir |
| FCA Gereksinimleri | Devam ediyor | Mali hizmet firmaları | Operasyonel esneklik, olay raporlama, üçüncü taraf riski | FCA yaptırımı |
| Önerilen Siber Güvenlik ve Dayanıklılık Yasa Tasarısı | 2025-2026 | Mevcut NIS kapsamı genişletildi | Gelişmiş olay raporlaması, tedarik zinciri gereksinimleri | TBD |
Asya-Pasifik
| Ülke | Yönetmelik | Temel Gereksinimler | Penaltılar |
|---|---|---|---|
| Singapur | Siber Güvenlik Yasası 2018 | CII operatörleri: olay raporlama, denetimler, risk değerlendirmeleri | 100 bin SGD |
| Avustralya | SOCI Yasası 2022 (değiştirildi) | Kritik altyapı: risk yönetimi, olay raporlama (12-72 saat) | Sivil cezalar |
| Japonya | Ekonomik Güvenlik Yasası 2022 | Kritik altyapı: tedarik zinciri taraması | İdari emirler |
| Güney Kore | Ağ Yasası + PIPA | Veri ihlali bildirimi, güvenlik önlemleri | 50 milyon KRW + %3 gelir |
| Hindistan | CERT-Yol Tarifi 2022 | 6 saatlik olay raporlama, günlük tutma (180 gün) | Hapis + para cezası |
| Çin | CSL + DSL + PIPL | Kritik altyapı: yerelleştirme, güvenlik incelemeleri, olay raporlama | %5'e varan gelir |
Orta Doğu ve Afrika
| Ülke | Yönetmelik | Temel Gereksinimler | Penaltılar |
|---|---|---|---|
| BAE | NESA Standartları + PDPL | Kritik altyapı: güvenlik kontrolleri, olay raporlama | Para cezaları + lisans iptali |
| Suudi Arabistan | NCA ECC Çerçevesi | Hükümet/kritik: uyumluluk değerlendirmeleri, izleme | Düzenleyici yaptırım |
| Güney Afrika | POPYA + ECTA | Güvenlik önlemleri, ihlal bildirimi | 10 milyon ZAR veya hapis |
| Kenya | Veri Koruma Yasası 2019 | Güvenlik önlemleri, ihlal bildirimi | KSh 5 milyon veya %1 gelir |
Evrensel Uyumluluk Çerçevesi Oluşturmak
Kontrolleri Düzenlemelerle Eşleyin
Her düzenleme için ayrı kontroller uygulamak yerine birleşik bir çerçeve oluşturun:
| Kontrol Alanı | NIS2 | SEC | DORA | İngiltere NIS | Singapur CSA |
|---|---|---|---|---|---|
| Risk değerlendirmesi | Gerekli | Gerekli | Gerekli | Gerekli | Gerekli |
| Olay müdahale planı | Gerekli | Açıklandı | Gerekli | Gerekli | Gerekli |
| Olay raporlama | 24 saat/72 saat | 4 otobüs. günler | Sınıflandırmaya dayalı | 72 saat | Gerekli |
| Tedarik zinciri güvenliği | Gerekli | Açıklandı | Gerekli | Gerekli | Önerilen |
| MFA / erişim kontrolü | Gerekli | Önerilen | Gerekli | Gerekli | Gerekli |
| Şifreleme | Gerekli | Önerilen | Gerekli | Gerekli | Gerekli |
| Penetrasyon testi | Gerekli | Önerilen | Yıllık olarak gereklidir | Gerekli | Gerekli |
| Kurul gözetimi | Gerekli (kişisel sorumluluk) | Gerekli (açıklama) | Gerekli | Önerilen | Önerilen |
| Güvenlik farkındalığı eğitimi | Gerekli | Önerilen | Gerekli | Gerekli | Gerekli |
| İş sürekliliği | Gerekli | Açıklandı | Gerekli (esneklik testi) | Gerekli | Gerekli |
Önerilen Temel Çerçeve
Temeliniz olarak NIST Siber Güvenlik Çerçevesi 2.0 veya ISO 27001:2022 ile başlayın:
- NIST CSF 2.0: Ücretsiz, esnek, ABD'de ve uluslararası alanda yaygın olarak tanınmaktadır
- ISO 27001: Sertifikalandırılabilir, AB'de ve kurumsal müşteriler tarafından tercih edilir
Her iki çerçeve de çoğu düzenlemenin gerektirdiği temel kontrol alanlarını kapsar. En üste, mevzuata özgü gereksinimleri (raporlama zaman çizelgeleri, belge formatları) ekleyin.
Olay Raporlama Karşılaştırması
| Yargı Alanı | Son Bildirim Tarihi | Rapor Et | İçerik Gerekli |
|---|---|---|---|
| AB (NIS2) | 24 saat erken uyarı, 72 saat dolu | Ulusal CSIRT/otorite | Etki, göstergeler, sınır ötesi etki |
| AB (GDPR) | 72 saat (yetkiliye), "gereksiz gecikme olmaksızın" (yüksek riskli bireylere) | Denetleyici makam | Doğa, kategoriler, yaklaşık kayıtlar, sonuçlar, önlemler |
| AB (DORA) | Sınıflandırmaya bağlıdır (1 saatten 1 aya kadar) | Mali denetim otoritesi | Sınıflandırmaya dayalı ayrıntı |
| ABD (SEC) | 4 iş günü (önemli olaylar) | SEC dosyası (8-K) | Niteliği, kapsamı, zamanlaması, maddi etkisi |
| ABD (CISA) | 72 saatlik olaylar, 24 saatlik fidye yazılımı | CISA | Olay ayrıntıları, etkisi, göstergeleri |
| Birleşik Krallık (NIS) | 72 saat | NCSC/ilgili makam | Etki değerlendirmesi, alınan önlemler |
| Hindistan (CERT-In) | 6 saat | CERT Girişi | Olay türü, etkilenen sistemler, etki |
| Avustralya (SOCI) | 12 saat (kritik), 72 saat (önemli) | ACSC | Etki, müdahale eylemleri, göstergeler |
| Singapur (CSA) | Öngörülen zaman dilimi | CSA | Olay ayrıntıları, etki, müdahale |
Uyumluluk Önceliklendirmesi
Birden Fazla Bölgede Faaliyet Gösteren Şirketler İçin
- Temel olarak ISO 27001 veya NIST CSF'yi uygulayın (tüm gereksinimlerin %60-80'ini karşılar)
- Faaliyet gösterdiğiniz her yetki alanı için mevzuat boşluklarının haritasını çıkarın
- Ceza ciddiyetine göre önceliklendirin: AB (NIS2/GDPR) ve SEC kuralları en yüksek cezaları taşır
- Raporlamayı uyumlu hale getirin: En katı son teslim tarihini (Hindistan için 6 saat) karşılayan tek bir olay raporlama süreci oluşturun ve çıktıları her otorite için uyarlayın
- Her şeyi belgeleyin: Düzenlemelerin çoğu, yalnızca güvenlik değil, kanıtlanabilir uyumluluk da gerektirir
Sıkça Sorulan Sorular
NIS2 şirketimiz için geçerli mi?
NIS2, AB'de faaliyet gösteriyorsanız ve 18 sektörden (enerji, ulaştırma, bankacılık, sağlık, dijital altyapı, kamu yönetimi, uzay, posta, atık, gıda, imalat, kimyasallar, araştırma ve BİT hizmetleri) birine dahil olmanız durumunda geçerlidir. Temel kuruluşlar kritik sektörlerdeki büyük işletmelerdir. Önemli kuruluşlar bu sektörlerdeki orta ölçekli işletmelerdir. Genişletilmiş kapsam NIS1'den çok daha fazla şirketi kapsıyor. Doğrudan kapsam dahilinde olmasanız bile müşterileriniz tedarik zincirlerinin NIS2 uyumluluğunu talep edebilir.
Birden fazla ülkedeki siber güvenlik düzenlemelerine nasıl uyum sağlıyoruz?
Ortak gereksinimleri kapsayan birleşik bir güvenlik çerçevesi (ISO 27001 veya NIST CSF) oluşturun. Hangi çerçeve kontrollerinin hangi düzenlemeleri karşıladığını gösteren bir düzenleme eşleme belgesi oluşturun. Belirli yargı bölgelerine özgü gereksinimler için (raporlama zaman çizelgeleri, belge formatları), temel çerçevenize ekler oluşturun. Bu, ayrı uyumluluk programları oluşturmaktan çok daha verimlidir.
Özellikle ERP sistemleri için siber güvenlik gereksinimleri var mı?
ERP'ye özel olmasa da ERP sistemleri genellikle birden fazla düzenleme kapsamına girer çünkü finansal verileri (SOX, DORA), kişisel verileri (GDPR, NIS2) işlerler ve genellikle kritik iş sistemleri olarak kabul edilirler. ERP'nizin aşağıdaki özelliklere sahip olduğundan emin olun: rol tabanlı erişim kontrolü, denetim günlüğü, şifreleme, düzenli yama uygulama ve olay müdahale prosedürleri. ECOSIRE, bu gereksinimleri karşılayan Odoo güvenlik güçlendirmesini sağlar.
Sırada Ne Var?
Siber güvenlik mevzuatına uygunluk, yönetişim programınızın bir boyutudur. Bunu, verilere özgü düzenlemeler için veri yönetimi, iş gücü verileri için çalışan veri gizliliği ve web mülkleri için çerez izni uygulaması ile birleştirin.
Birden fazla yargı alanında siber güvenlik uyumluluğu danışmanlığı için ECOSIRE ile iletişime geçin.
ECOSIRE tarafından yayınlandı - işletmelerin küresel düzenleyici ortamda gezinmesine yardımcı oluyor.
Yazan
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE ile İşinizi Büyütün
ERP, e-Ticaret, yapay zeka, analitik ve otomasyon genelinde kurumsal çözümler.
İlgili Makaleler
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
Compliance & Regulation serisinden daha fazlası
E-ticaret için Siber Güvenlik: 2026'da İşletmenizi Koruyun
2026 için eksiksiz e-ticaret siber güvenlik kılavuzu. PCI DSS 4.0, WAF kurulumu, bot koruması, ödeme sahtekarlığını önleme, güvenlik başlıkları ve olaylara müdahale.
Kimya Endüstrisi için ERP: Güvenlik, Uyumluluk ve Toplu İşleme
ERP sistemleri kimya şirketleri için SDS belgelerini, REACH ve GHS uyumluluğunu, toplu işlemeyi, kalite kontrolü, tehlikeli madde sevkıyatını ve formül yönetimini nasıl yönetir?
İthalat/İhracat Ticareti için ERP: Çoklu Para Birimi, Lojistik ve Uyumluluk
ERP sistemleri, ticari şirketler için akreditif mektuplarını, gümrük belgelerini, incoterms'i, çok para birimli P&L'yi, konteyner takibini ve görev hesaplamasını nasıl ele alıyor?
ERP ile Sürdürülebilirlik ve ÇSY Raporlaması: Uyumluluk Kılavuzu 2026
2026'da ESG raporlama uyumluluğunu ERP sistemleriyle yönlendirin. CSRD, GRI, SASB, Kapsam 1/2/3 emisyonlarını, karbon takibini ve Odoo sürdürülebilirliğini kapsar.
Denetim Hazırlığı Kontrol Listesi: Kitaplarınızı Hazırlamak
Mali tabloların hazırlığı, destekleyici belgeler, iç kontrol belgeleri, denetçi PBC listeleri ve ortak denetim bulgularını kapsayan eksiksiz denetim hazırlık kontrol listesi.
E-Ticaret İşletmeleri için Avustralya GST Kılavuzu
ATO kaydını, 75.000 $ eşiğini, düşük değerli ithalatı, BAS ödemesini ve dijital hizmetler için GST'yi kapsayan e-Ticaret işletmeleri için eksiksiz Avustralya GST kılavuzu.