Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunBölgelere Göre Siber Güvenlik Düzenleme Gereksinimleri: Küresel İşletmeler için Bir Uyumluluk Haritası
2023'ten bu yana 70'ten fazla ülke siber güvenlik düzenlemelerini yürürlüğe koydu veya güncelledi. Düzenleme ortamı çoğu şirketin takip edebileceğinden daha hızlı gelişiyor. İki yıl önce gönüllü rehberlik olan şey, artık önemli cezalar içeren uygulanabilir bir yasa haline geldi. Bu kılavuz, büyük bölgelerdeki siber güvenlik düzenleme gerekliliklerini haritalandırarak küresel işletmelerin yükümlülüklerini anlamalarına ve uyumluluğa öncelik vermelerine yardımcı olur.
Önemli Çıkarımlar
- NIS2 (AB), siber güvenlik yükümlülüklerini kişisel yönetim sorumluluğuyla birlikte 160.000'den fazla kuruluşu kapsayacak şekilde genişletti
- SEC siber güvenlik açıklama kuralları, ABD'deki halka açık şirketlerin maddi olayları 4 iş günü içinde raporlamasını gerektirir
- APAC düzenlemeleri büyük farklılıklar göstermektedir: Singapur ve Avustralya başı çekerken diğerleri hâlâ çerçeveler geliştirmeye devam ediyor
- Birleşik bir güvenlik çerçevesi (ISO 27001 veya NIST CSF), küresel olarak bölgesel gereksinimlerin %60-80'ini karşılar
Bölgesel Düzenleme Haritası
Avrupa Birliği
| Yönetmelik | Etkili | Kapsam | Temel Gereksinimler | Penaltılar |
|---|---|---|---|---|
| NIS2 Direktifi | Ekim 2024 | Temel ve önemli kuruluşlar (18 sektör) | Risk yönetimi, olay raporlama (24 saat/72 saat), tedarik zinciri güvenliği, yönetim sorumluluğu | 10 Milyon Avro veya %2 gelir (gerekli), 7 Milyon Avro veya %1,4 (önemli) |
| DORA | Ocak 2025 | Finans sektörü (bankalar, sigorta, yatırım, BİT sağlayıcıları) | BİT risk yönetimi, olay sınıflandırma/raporlama, dayanıklılık testi, üçüncü taraf riski | Varlık boyutuyla orantılı |
| Siber Dayanıklılık Yasası | 2027 (aşamalı) | Dijital unsurlara sahip ürünler | Tasarım gereği güvenli, güvenlik açığı yönetimi, SBOM, CE işareti | 15 Milyon Avro veya %2,5 gelir |
| GDPR (güvenlik hususları) | 2018 | AB kişisel verilerini işleyen herhangi bir kuruluş | "Uygun teknik ve organizasyonel önlemler" | 20 milyon Euro veya %4 gelir |
NIS2'de NIS1'e göre önemli değişiklikler:
- ~10.000 kuruluştan ~160.000 kuruluşa genişletildi
- Uyumdan şahsen sorumlu olan yönetim organları
- Önemli olaylar için 24 saat zorunlu "erken uyarı"
- Tedarik zinciri güvenliği gereksinimleri
- Önemli kuruluşlar için minimum 10 milyon Avro ceza
Amerika Birleşik Devletleri
| Yönetmelik | Etkili | Kapsam | Temel Gereksinimler | Penaltılar |
|---|---|---|---|---|
| SEC Siber Güvenlik Kuralları | Aralık 2023 | ABD'deki halka açık şirketler | Özel durum açıklaması (4 iş günü), yıllık risk yönetimi raporlaması | SEC yaptırım eylemleri |
| CISA Raporlaması (CIRCIA) | 2026 (önerilen) | Kritik altyapı (16 sektör) | 72 saatlik olay raporlama, 24 saatlik fidye yazılımı ödeme raporlaması | Sivil cezalar |
| FTC Yasası (Bölüm 5) | Devam ediyor | Ticaretle uğraşan şirketler | "Makul" güvenlik uygulamaları, "haksız" uygulamaların yaptırımı | Değişir (izin emirleri, cezalar) |
| Eyaletin gizlilik yasaları (CA, CO, CT, VA, vb.) | Çeşitli | Eyalet eşiklerini karşılayan şirketler | Güvenlik uygulamaları, ihlal bildirimi (eyalete göre değişir) | State AG'nin yaptırımı |
| HIPAA Güvenlik Kuralı | 2005 (güncellendi) | Sağlık kurumları ve iş ortakları | PHI için idari, fiziksel ve teknik önlemler | İhlal kategorisi başına yılda 1,9 milyon dolara kadar |
| GLBA Koruma Kuralı | Güncellendi 2023 | Mali kurumlar | Risk değerlendirmesi, erişim kontrolleri, MFA, şifreleme, olaylara müdahale | Federal kurum yaptırımı |
Birleşik Krallık
| Yönetmelik | Etkili | Kapsam | Temel Gereksinimler | Penaltılar |
|---|---|---|---|---|
| Birleşik Krallık NIS Düzenlemeleri | 2018 (güncellendi) | Temel hizmetler, dijital hizmetler | Risk yönetimi, olay raporlama, tedarik zinciri | 17 milyon GBP |
| Birleşik Krallık GDPR | 2021 | Birleşik Krallık'ta ikamet edenlerin verilerini işleyen kuruluşlar | Güvenlik önlemleri, ihlal bildirimi (72 saat) | 17,5 milyon GBP veya %4 gelir |
| FCA Gereksinimleri | Devam ediyor | Mali hizmet firmaları | Operasyonel esneklik, olay raporlama, üçüncü taraf riski | FCA yaptırımı |
| Önerilen Siber Güvenlik ve Dayanıklılık Yasa Tasarısı | 2025-2026 | Mevcut NIS kapsamı genişletildi | Gelişmiş olay raporlaması, tedarik zinciri gereksinimleri | TBD |
Asya-Pasifik
| Ülke | Yönetmelik | Temel Gereksinimler | Penaltılar |
|---|---|---|---|
| Singapur | Siber Güvenlik Yasası 2018 | CII operatörleri: olay raporlama, denetimler, risk değerlendirmeleri | 100 bin SGD |
| Avustralya | SOCI Yasası 2022 (değiştirildi) | Kritik altyapı: risk yönetimi, olay raporlama (12-72 saat) | Sivil cezalar |
| Japonya | Ekonomik Güvenlik Yasası 2022 | Kritik altyapı: tedarik zinciri taraması | İdari emirler |
| Güney Kore | Ağ Yasası + PIPA | Veri ihlali bildirimi, güvenlik önlemleri | 50 milyon KRW + %3 gelir |
| Hindistan | CERT-Yol Tarifi 2022 | 6 saatlik olay raporlama, günlük tutma (180 gün) | Hapis + para cezası |
| Çin | CSL + DSL + PIPL | Kritik altyapı: yerelleştirme, güvenlik incelemeleri, olay raporlama | %5'e varan gelir |
Orta Doğu ve Afrika
| Ülke | Yönetmelik | Temel Gereksinimler | Penaltılar |
|---|---|---|---|
| BAE | NESA Standartları + PDPL | Kritik altyapı: güvenlik kontrolleri, olay raporlama | Para cezaları + lisans iptali |
| Suudi Arabistan | NCA ECC Çerçevesi | Hükümet/kritik: uyumluluk değerlendirmeleri, izleme | Düzenleyici yaptırım |
| Güney Afrika | POPYA + ECTA | Güvenlik önlemleri, ihlal bildirimi | 10 milyon ZAR veya hapis |
| Kenya | Veri Koruma Yasası 2019 | Güvenlik önlemleri, ihlal bildirimi | KSh 5 milyon veya %1 gelir |
Evrensel Uyumluluk Çerçevesi Oluşturmak
Kontrolleri Düzenlemelerle Eşleyin
Her düzenleme için ayrı kontroller uygulamak yerine birleşik bir çerçeve oluşturun:
| Kontrol Alanı | NIS2 | SEC | DORA | İngiltere NIS | Singapur CSA |
|---|---|---|---|---|---|
| Risk değerlendirmesi | Gerekli | Gerekli | Gerekli | Gerekli | Gerekli |
| Olay müdahale planı | Gerekli | Açıklandı | Gerekli | Gerekli | Gerekli |
| Olay raporlama | 24 saat/72 saat | 4 otobüs. günler | Sınıflandırmaya dayalı | 72 saat | Gerekli |
| Tedarik zinciri güvenliği | Gerekli | Açıklandı | Gerekli | Gerekli | Önerilen |
| MFA / erişim kontrolü | Gerekli | Önerilen | Gerekli | Gerekli | Gerekli |
| Şifreleme | Gerekli | Önerilen | Gerekli | Gerekli | Gerekli |
| Penetrasyon testi | Gerekli | Önerilen | Yıllık olarak gereklidir | Gerekli | Gerekli |
| Kurul gözetimi | Gerekli (kişisel sorumluluk) | Gerekli (açıklama) | Gerekli | Önerilen | Önerilen |
| Güvenlik farkındalığı eğitimi | Gerekli | Önerilen | Gerekli | Gerekli | Gerekli |
| İş sürekliliği | Gerekli | Açıklandı | Gerekli (esneklik testi) | Gerekli | Gerekli |
Önerilen Temel Çerçeve
Temeliniz olarak NIST Siber Güvenlik Çerçevesi 2.0 veya ISO 27001:2022 ile başlayın:
- NIST CSF 2.0: Ücretsiz, esnek, ABD'de ve uluslararası alanda yaygın olarak tanınmaktadır
- ISO 27001: Sertifikalandırılabilir, AB'de ve kurumsal müşteriler tarafından tercih edilir
Her iki çerçeve de çoğu düzenlemenin gerektirdiği temel kontrol alanlarını kapsar. En üste, mevzuata özgü gereksinimleri (raporlama zaman çizelgeleri, belge formatları) ekleyin.
Olay Raporlama Karşılaştırması
| Yargı Alanı | Son Bildirim Tarihi | Rapor Et | İçerik Gerekli |
|---|---|---|---|
| AB (NIS2) | 24 saat erken uyarı, 72 saat dolu | Ulusal CSIRT/otorite | Etki, göstergeler, sınır ötesi etki |
| AB (GDPR) | 72 saat (yetkiliye), "gereksiz gecikme olmaksızın" (yüksek riskli bireylere) | Denetleyici makam | Doğa, kategoriler, yaklaşık kayıtlar, sonuçlar, önlemler |
| AB (DORA) | Sınıflandırmaya bağlıdır (1 saatten 1 aya kadar) | Mali denetim otoritesi | Sınıflandırmaya dayalı ayrıntı |
| ABD (SEC) | 4 iş günü (önemli olaylar) | SEC dosyası (8-K) | Niteliği, kapsamı, zamanlaması, maddi etkisi |
| ABD (CISA) | 72 saatlik olaylar, 24 saatlik fidye yazılımı | CISA | Olay ayrıntıları, etkisi, göstergeleri |
| Birleşik Krallık (NIS) | 72 saat | NCSC/ilgili makam | Etki değerlendirmesi, alınan önlemler |
| Hindistan (CERT-In) | 6 saat | CERT Girişi | Olay türü, etkilenen sistemler, etki |
| Avustralya (SOCI) | 12 saat (kritik), 72 saat (önemli) | ACSC | Etki, müdahale eylemleri, göstergeler |
| Singapur (CSA) | Öngörülen zaman dilimi | CSA | Olay ayrıntıları, etki, müdahale |
Uyumluluk Önceliklendirmesi
Birden Fazla Bölgede Faaliyet Gösteren Şirketler İçin
- Temel olarak ISO 27001 veya NIST CSF'yi uygulayın (tüm gereksinimlerin %60-80'ini karşılar)
- Faaliyet gösterdiğiniz her yetki alanı için mevzuat boşluklarının haritasını çıkarın
- Ceza ciddiyetine göre önceliklendirin: AB (NIS2/GDPR) ve SEC kuralları en yüksek cezaları taşır
- Raporlamayı uyumlu hale getirin: En katı son teslim tarihini (Hindistan için 6 saat) karşılayan tek bir olay raporlama süreci oluşturun ve çıktıları her otorite için uyarlayın
- Her şeyi belgeleyin: Düzenlemelerin çoğu, yalnızca güvenlik değil, kanıtlanabilir uyumluluk da gerektirir
Sıkça Sorulan Sorular
NIS2 şirketimiz için geçerli mi?
NIS2, AB'de faaliyet gösteriyorsanız ve 18 sektörden (enerji, ulaştırma, bankacılık, sağlık, dijital altyapı, kamu yönetimi, uzay, posta, atık, gıda, imalat, kimyasallar, araştırma ve BİT hizmetleri) birine dahil olmanız durumunda geçerlidir. Temel kuruluşlar kritik sektörlerdeki büyük işletmelerdir. Önemli kuruluşlar bu sektörlerdeki orta ölçekli işletmelerdir. Genişletilmiş kapsam NIS1'den çok daha fazla şirketi kapsıyor. Doğrudan kapsam dahilinde olmasanız bile müşterileriniz tedarik zincirlerinin NIS2 uyumluluğunu talep edebilir.
Birden fazla ülkedeki siber güvenlik düzenlemelerine nasıl uyum sağlıyoruz?
Ortak gereksinimleri kapsayan birleşik bir güvenlik çerçevesi (ISO 27001 veya NIST CSF) oluşturun. Hangi çerçeve kontrollerinin hangi düzenlemeleri karşıladığını gösteren bir düzenleme eşleme belgesi oluşturun. Belirli yargı bölgelerine özgü gereksinimler için (raporlama zaman çizelgeleri, belge formatları), temel çerçevenize ekler oluşturun. Bu, ayrı uyumluluk programları oluşturmaktan çok daha verimlidir.
Özellikle ERP sistemleri için siber güvenlik gereksinimleri var mı?
ERP'ye özel olmasa da ERP sistemleri genellikle birden fazla düzenleme kapsamına girer çünkü finansal verileri (SOX, DORA), kişisel verileri (GDPR, NIS2) işlerler ve genellikle kritik iş sistemleri olarak kabul edilirler. ERP'nizin aşağıdaki özelliklere sahip olduğundan emin olun: rol tabanlı erişim kontrolü, denetim günlüğü, şifreleme, düzenli yama uygulama ve olay müdahale prosedürleri. ECOSIRE, bu gereksinimleri karşılayan Odoo güvenlik güçlendirmesini sağlar.
Sırada Ne Var?
Siber güvenlik mevzuatına uygunluk, yönetişim programınızın bir boyutudur. Bunu, verilere özgü düzenlemeler için veri yönetimi, iş gücü verileri için çalışan veri gizliliği ve web mülkleri için çerez izni uygulaması ile birleştirin.
Birden fazla yargı alanında siber güvenlik uyumluluğu danışmanlığı için ECOSIRE ile iletişime geçin.
ECOSIRE tarafından yayınlandı - işletmelerin küresel düzenleyici ortamda gezinmesine yardımcı oluyor.
Yazan
ECOSIRE Research and Development Team
ECOSIRE'da kurumsal düzeyde dijital ürünler geliştiriyor. Odoo entegrasyonları, e-ticaret otomasyonu ve yapay zeka destekli iş çözümleri hakkında içgörüler paylaşıyor.
İlgili Makaleler
Yapay Zeka Aracı Güvenliği En İyi Uygulamaları: Otonom Sistemlerin Korunması
Anında enjeksiyon savunması, izin sınırları, veri koruma, denetim günlüğü tutma ve operasyonel güvenliği kapsayan yapay zeka aracılarının güvenliğini sağlamaya yönelik kapsamlı kılavuz.
Denetim Hazırlığı Kontrol Listesi: ERP'niz Denetimleri Nasıl Yüzde 60 Daha Hızlı Hale Getirir?
ERP sistemlerini kullanarak denetim hazırlığı kontrol listesini tamamlayın. Uygun dokümantasyon, kontroller ve otomatik kanıt toplama ile denetim süresini yüzde 60 azaltın.
KOBİ'ler için Bulut Güvenliği En İyi Uygulamaları: Bulutunuzu Güvenlik Ekibi Olmadan Koruyun
Bulut altyapınızı, KOBİ'lerin özel bir güvenlik ekibi olmadan uygulayabileceği IAM, veri koruma, izleme ve uyumluluk için pratik en iyi uygulamalarla güvence altına alın.
Compliance & Regulation serisinden daha fazlası
Denetim Hazırlığı Kontrol Listesi: ERP'niz Denetimleri Nasıl Yüzde 60 Daha Hızlı Hale Getirir?
ERP sistemlerini kullanarak denetim hazırlığı kontrol listesini tamamlayın. Uygun dokümantasyon, kontroller ve otomatik kanıt toplama ile denetim süresini yüzde 60 azaltın.
Çerez Onayı Uygulama Kılavuzu: Yasal Uyumlu Rıza Yönetimi
GDPR, eGizlilik, CCPA ve küresel düzenlemelere uygun çerez iznini uygulayın. İzin banner'larını, çerez kategorizasyonunu ve CMP entegrasyonunu kapsar.
Sınır Ötesi Veri Aktarımı Düzenlemeleri: Uluslararası Veri Akışlarında Gezinme
SCC'ler, yeterlilik kararları, BCR'ler ve GDPR, Birleşik Krallık ve APAC uyumluluğuna yönelik aktarım etki değerlendirmeleriyle sınır ötesi veri aktarımı düzenlemelerinde gezinin.
Veri Yönetişimi ve Uyumluluğu: Teknoloji Şirketleri İçin Tam Kılavuz
Teknoloji şirketlerine yönelik uyumluluk çerçevelerini, veri sınıflandırmasını, saklama politikalarını, gizlilik düzenlemelerini ve uygulama yol haritalarını kapsayan eksiksiz veri yönetimi kılavuzu.
Veri Saklama Politikaları ve Otomasyon: İhtiyacınız Olanı Tutun, İhtiyacınız Olanı Silin
GDPR, SOX ve HIPAA için yasal gereklilikler, saklama programları, otomatik uygulama ve uyumluluk doğrulamasıyla veri saklama politikaları oluşturun.
Çalışan Veri Gizliliği Yönetimi: İK İhtiyaçlarını Gizlilik Haklarıyla Dengelemek
Çalışan verilerinin gizliliğini GDPR gereklilikleri, İK veri işleme alanları, izleme politikaları, sınır ötesi aktarımlar ve en iyi saklama uygulamalarıyla yönetin.