Siber Güvenlik Ve Veri Koruma Düzenlemeleri

Günümüzde, farkında olarak veya olmayarak, dijital ortamda kişisel ve kurumsal birçok veriyi üçüncü kişilerle paylaşıyoruz. Bu veriler, çeşitli şekillerde saklanıyor, işleniyor ve farklı amaçlarla kullanılıyor. Dijital dönüşümün hızla ilerlemesiyle birlikte, siber güvenlik hem bireyler hem de işletmeler için giderek daha kritik bir hale gelmiştir.

Hem bireyler hem de şirketler, kişisel ve kurumsal verilerin güvenliğini sağlamak için belirli önlemler almak zorundadır. Dünya genelinde hassas verilerin korunmasına yönelik çeşitli düzenlemeler ve standartlar oluşturulmuş ve bu düzenlemeler, hem veri sahiplerinin haklarını korumayı hem de işletmelerin güvenli veri yönetimini sağlamayı amaçlamaktadır. Bu çerçevede, bireylerin verilerini güvenli bir şekilde kullanmak ve korumak, işletmeler için ise verilerin doğru şekilde saklanması, işlenmesi ve güvenliğinin sağlanması çok büyük önem taşımaktadır.

Bu yazımda, NIS2, PCI DSS, GDPR, HIPAA ve CMMC düzenlemelerinin temel unsurlarını ele alarak, bu standartların öne çıkan noktalarını ve şirketlerin uyum süreçlerini açıklayacağım.

Ağ ve Bilgi Sistemleri Güvenlik Direktifi 2: NIS2

NIS2 (Network and Information Systems Directive 2), Avrupa Birliği’nde kritik altyapı ve hizmet sağlayıcılarının siber güvenlik risklerini nasıl yöneteceklerini ve olası siber güvenlik olaylarını nasıl raporlayacaklarını belirleyen bir düzenlemedir. Bu düzenleme, DNS hizmet sağlayıcıları, bulut bilişim hizmet sağlayıcıları, veri merkezi hizmet sağlayıcıları ve diğer kritik altyapı sağlayıcılarını kapsar.

NIS2’nin temel unsurları arasında, siber güvenlik olaylarının 24 ila 72 saat içinde ilgili otoritelere bildirilmesi gerekliliği yer alır. Olaylar, hizmet kesintileri veya verilerin bütünlüğü ile ilgili tehditler gibi çeşitli siber saldırıları kapsayabilir. Ayrıca şirketler, potansiyel siber tehditleri ve güvenlik açıklarını değerlendirmek zorundadır. Bu değerlendirme, mevcut güvenlik önlemlerinin etkisini ve yeterliliğini incelemeyi içerir; eğer şirketler "risk yok" derse, bu durumun açıklanabilir ve belgelenebilir olması gerekir, aksi takdirde siber risklerin yeterince yönetilmediği kabul edilebilir.

Değerlendirilen risklere göre, uygun güvenlik önlemleri ve kontrollerin uygulanması zorunludur. NIS2'ye uyum sağlamayan şirketlere yıllık cirosunun bir yüzdesi veya belirli bir miktar üzerinden idari para cezası uygulanabilir. Bu yaptırımlar, en fazla 10.000.000 Avro, ya da esas kuruluşun ait olduğu işletmenin bir önceki mali yılındaki toplam dünya yıllık cirosunun en az %2’si oranında olabilir. Hangisi daha yüksekse, o oran uygulanır. (Kaynak: Avrupa Komisyonu, 2022)

Ödeme Kartı Sektörü Veri Güvenliği Standardı: PCI DSS

PCI DSS (Payment Card Industry Data Security Standard), ödeme kartı sektöründe kart verilerini korumak ve ödeme sistemlerini güvence altına almak için geliştirilmiş bir güvenlik standardıdır.

Bankalar, ödeme hizmet sağlayıcıları, e-ticaret siteleri ve kart verisi işleyen şirketler bu standarda uymak zorundadır. PCI DSS'in temel unsurları, kart verilerinin güvenli iletimi için şifreleme, sadece yetkili kişilerin sisteme erişimini sağlamak için erişim kontrolü ve sistemdeki güvenlik açıklarını tespit etmek amacıyla periyodik güvenlik testleri yapılmasını içerir.

Bu standart, kart verilerinin güvenliğini sağlamak ve olası veri ihlallerini engellemek için kritik öneme sahiptir. (PCI SSC, 2023)

Genel Veri Koruma Yönetmeliği: GDPR

GDPR (General Data Protection Regulation), kişisel verilerin işlenmesi ve bunların serbest dolaşımı ile ilgili kişilerin temel hak ve özgürlüklerini korumayı amaçlar. Bu düzenleme, tüm kamu ve özel sektör kurumlarını kapsar ve kişisel verilerin işlenmesi sırasında güvenlik ve gizlilik yükümlülüklerini belirler.

GDPR kapsamında veri işleyen şirketler, kullanıcılardan açık rıza almak zorundadır. Kullanıcıların "unutulma hakkı" da dahil olmak üzere veri sahiplerinin hakları korunur ve veri ihlalleri 72 saat içinde bildirilmeli, etkilenen bireyler bilgilendirilmelidir. (Avrupa Veri Koruma Kurulu, 2018)

Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası: HIPAA

HIPAA (Health Insurance Portability and Accountability Act), sağlık bilgilerinin gizliliğini ve güvenliğini korumak için ABD'de geçerli bir düzenlemedir. HIPAA kapsamında gizlilik kuralı gereği hasta bilgilerinin gizli tutulması, izinsiz erişimin engellenmesi, elektronik koruma önlemlerinin uygulanması ve veri ihlallerinin derhal rapor edilmesi gereklidir. Bu düzenleme kapsamında hasta mahremiyeti korunur ve kişi kendini rahatça ifade edebilir. (ABD Sağlık ve İnsan Hizmetleri Bakanlığı, 1996)

Siber Güvenlik Olgunluk Modeli Sertifikasyonu: CMMC

CMMC (Cybersecurity Maturity Model Certification), ABD Savunma Bakanlığı tarafından geliştirilen bir siber güvenlik yetenek modelidir.

ABD'de savunma sektörüne hizmet veren şirketleri kapsar. CMMC’nin ana unsurları, 1’den 5’e kadar olgunluk seviyeleri belirlemesi, CUI (Controlled Unclassified Information) veri koruma standartlarının uygulanması ve tüm tedarik zincirindeki kuruluşların uyumlu olmasını gerektirmesidir. (ABD Savunma Bakanlığı, 2020)

Siber Güvenlik Düzenlemelerine Uyum Sağlamak Neden Önemlidir?

​Siber güvenlik düzenlemelerine uyum sağlamak, şirketlerin müşterilerine daha güvenli hizmet sunduklarını gösterir ve iş ortaklarıyla daha güçlü ilişkiler kurmalarına yardımcı olur.

Bu uyumun kısa vadede sağladığı faydalar şunlardır:

• Müşteri güveni ve sadakati artırır
• Yeni müşteri kazanımını teşvik eder
• Yasal gereksinimleri yerine getirerek olası cezaları engeller
• Operasyonel kesintileri minimize eder

Orta ve uzun vadede ise, siber güvenlik düzenlemelerine uyum sayesinde şirketler şu faydaları elde eder:

• Rekabet avantajı sağlar
• Kurumsal itibarı geliştirir ve korur
• Veri ihlallerinin maliyetlerini azaltarak, genel maliyet tasarrufu sağlar

Sonuç olarak, siber güvenlik düzenlemeleri ile işletmeler, daha güvenli, itibarlı ve sürdürülebilir bir geleceğe yatırım yapmış olurlar.