Şimdi test edin

NIS-2 gereksinimleri ve bunların MDM ile uygulanması

NIS-2 yönergelerinin gereklilikleri bir MDM sistemi kullanılarak nasıl uygulanabilir? Size nasıl yapılacağını gösterelim.

NIS-2 direktifinin gereklilikleri, birçok küçük ve orta ölçekli şirket için büyük zorluklar oluşturuyor. Genellikle şu sorular netlik kazanmaz:

  • Şirketim bu kapsamda mı?
  • Gereklilikler ne zamana kadar uygulanmalı?
  • Hangi teknik önlemler gerekli?

Bu yazımızda, NIS-2 politikasını nasıl uygulayabileceğinizi ve Mobil Cihaz Yönetimi (MDM)‘nin bu süreçte nasıl bir rol oynadığını öğreneceksiniz.

NIS-2’nin Hedefleri ve Gereklilikleri

NIS-2 yönergesi, 2016 yılında yürürlüğe giren Avrupa Güvenlik Direktifi NIS’in gözden geçirilmiş ve genişletilmiş bir versiyonudur. Amacı, özellikle kritik altyapılara yönelik giderek karmaşıklaşan saldırılar karşısında AB üye ülkelerinde siber güvenliği güçlendirmektir. NIS-2’nin teorik olarak Ekim 2024’te yürürlüğe girmesi planlansa da, Almanya’da uygulamanın Mart 2025’e kadar ertelenmesi bekleniyor. Bu ek süreyi gerekli hazırlıkları yapmak için kullanın.

Hangi Şirketler Etkileniyor?

Şirketinizin NIS-2 kapsamında olup olmadığını anlamak için Google’da kısa bir arama yaparak birçok (ve ücretsiz) kontrol aracı bulabilirsiniz. NIS-2 şu sektörlerdeki şirketleri kapsar:

  • Enerji ve su temini
  • Ulaşım ve trafik
  • BT ve telekomünikasyon
  • Bankacılık ve finansal piyasa altyapıları
  • Sağlık hizmetleri
  • Dijital altyapı
  • Kamu yönetimi
  • Uzay teknolojileri

Etkilenen Şirketler Şunlara Sahiptir:

  • 50 veya daha fazla çalışan
  • 10 milyon Euro’dan fazla yıllık ciro veya bilanço
  • Kritik altyapıda faaliyet gösteren küçük şirketler de kapsama dahil olabilir.

NIS-2 ile Gelen Yenilikler

Önemli bir yenilik, şirketlerin etkilenip etkilenmediğini sınıflandırmak için kullanılan “boyut sınırı” kuralının getirilmesidir. Halihazırda GDPR veya KRITIS’e uygun güvenlik önlemleri almış olan şirketler için NIS-2’ye uyum sağlamak genellikle kolay olacaktır. Ancak, mevcut önlemleri olmayan şirketler daha büyük zorluklarla karşılaşabilir. Alman Federal Bilgi Güvenliği Ofisi (BSI) bu konuda rehberlik sağlar.

NIS-2 Nasıl Uygulanabilir?

Şirketiniz doğrudan etkilenmese bile siber güvenlik konusunu düşünmek faydalıdır. Sonuçta, tüm şirketler GDPR’ye tabidir ve müşteri, çalışan ve tedarikçi verilerini korumakla yükümlüdür. Neyse ki, dijital verileri ve süreçleri güvence altına almak için zaman ve bütçe açısından uygun, kolay yöntemler zaten mevcuttur. Gelecekte NIS-2 gerekliliklerini karşılamak için ilk adımları atmanıza yardımcı olacak küçük bir kontrol listemiz var:

1. Mevcut Güvenlik Durumunu Analiz Edin:

Kuruluşunuzun güvenlik durumu hakkında kapsamlı bir değerlendirme ile başlayın ve olası zayıf noktaları belirleyin. Çalışanların kendi cihazlarını (örneğin USB bellek, veri kablosu vs.) kullanması gibi küçük görünen ayrıntılara da dikkat edin. Özel dizüstü bilgisayar veya mobil cihaz kullanımı da analiz edilmelidir. Çalışanların siber güvenlik konusundaki bilgi düzeylerini belirleyin ve buna göre eğitim ihtiyaçlarını değerlendirin.

2. Bir Risk Yönetim Planı Oluşturun:

Siber güvenlikte önleyici ve savunmaya yönelik önlemler, saldırıya tepki vermekten ve hasarı onarmaktan çok daha az zaman ve maliyet gerektirir. Bu nedenle, tüm belirlenen zayıf noktaları etkili bir şekilde güvence altına alacak bir plan oluşturmak esastır. Örneğin, çalışanların profesyonel amaçlar için özel e-posta adreslerini kullandığını fark ederseniz, bunu yalnızca yasaklamamalı, aynı zamanda MDM gibi teknik önlemlerle de engellemelisiniz.

3. Düzenli Eğitimler Planlayın:

En büyük risk faktörü insandır. Bu nedenle, veri koruma ve mevcut güvenlik tehditleri konularında düzenli eğitimler verilmesi son derece önemlidir. BSI, 2024 yılında yaptığı bir araştırmada, katılımcıların %26’sının hangi önlemi alacaklarını bilemediklerini belirtmiştir. Eğitimler, çalışanların günlük iş yaşamında doğrudan uygulayabileceği pratik ipuçları içermelidir. Ayrıca, kurum genelinde stratejik noktalara yerleştirilecek küçük uyarı notları da farkındalığı artırabilir.

4. Olay Durumunda Bir Müdahale Planı Hazırlayın (Incident Response Plan):

En iyi güvenlik önlemlerine rağmen sorunlar meydana gelebilir. Bu durumda nasıl tepki vereceğinizi önceden belirlemeniz gerekir: Hangi sistemler hemen devre dışı bırakılacak? Çalışanlar nasıl bilgilendirilecek? Hangi olaylar güvenlik ihlali sayılır ve nasıl cezalandırılır?
Tüm bu soruların cevapları, küçük olaylardan kritik düzeydeki olaylara kadar kategorilere ayrılmalı. Ayrıca, müşteriler ya da iş ortakları gibi etkilenen üçüncü tarafların ne zaman ve nasıl bilgilendirileceği de belirlenmelidir.

5. İş Ortakları ve Tedarikçileri Sürece Dahil Edin:

İş birliği yaptığınız şirketlerin de veri koruma düzenlemelerine uymasına ve ideal olarak kapsamlı bir siber güvenlik stratejisine sahip olmasına dikkat edin. Ortak şirketlerden birinde yaşanacak bir güvenlik ihlali, sizin şirketinizi de riske atabilir. Güvenlik politikalarınızı iş ortaklarınıza bildirin ve gerekirse dış taraflar için belirli davranış kuralları oluşturun. Örneğin, tesislere giriş öncesi kayıt zorunluluğu veya fotoğraf/video çekim yasağı getirilebilir. Dış firmaların doğrudan ağınıza erişimi olmamalı; dosya ve erişim yalnızca gerçekten gerekliyse paylaşılmalıdır.

MDM ile NIS-2 Gerekliliklerini Karşılayın

İster 50’den az çalışana sahip olun, ister daha fazla: mobil cihazlar modern iş dünyasının ayrılmaz bir parçası haline geldi. Ancak duruma dürüstçe bakıldığında, özellikle şimdiye kadar daha sıkı siber güvenlik önlemleri almak zorunda kalmamış alanlardaki şirketlerin, iş yerinde kullanılan mobil cihazların güvenliğiyle çok az ilgilendiği açıkça görülüyor.

Ancak bu durum, artan tehditler göz önüne alındığında oldukça kritik. Şirketinizde siber güvenliği artırmak için atılabilecek ilk ama etkili adımlardan biri, mobil cihazları ya da mobil uç noktaları güvence altına almaktır. Bu cihazlar, şirket ağınız ile dış dünya arasındaki geçişi temsil eder ve dolayısıyla potansiyel birer saldırı kapısıdır.

NIS-2 direktifinin gereklilikleri, Mobil Cihaz Yönetimi (MDM) sistemi kullanılarak verimli şekilde uygulanabilir çünkü MDM çözümleri, direktife uyumu kolaylaştıran kapsamlı güvenlik ve uygunluk araçları sunar. İşte MDM sistemlerinin NIS-2 gerekliliklerini nasıl destekleyebileceğine dair bazı yollar:

1. Kritik altyapıların ve ağların korunması

Cihaz güvenliği: MDM, kritik altyapı ağlarına erişen tüm mobil cihazların merkezi olarak yönetilmesini ve izlenmesini sağlar, cihazların güvenlik standartlarına uymasını temin eder.

Düzenli güncellemeler: MDM ile işletim sistemi ve uygulama güncellemeleri otomatikleştirilebilir, böylece bilinen güvenlik açıkları hızlıca kapatılabilir.

2. Güvenlik olaylarının tespiti ve bildirilmesi

Cihaz uyarıları: MDM, rooting, jailbreaking veya yetkisiz uygulama kullanımı gibi güvenlik ihlallerini tespit edebilir ve yöneticilere anında bildirim gönderebilir.

Olay yönetimi: Güvenlik olayı durumunda cihazı kilitleme veya kurumsal verileri silme gibi otomatikleştirilmiş aksiyonlar başlatılabilir. Bu konuda daha fazla bilgiyi ilgili makalede bulabilirsiniz.

3. Politikalara uyum ve dokümantasyon

Uyumluluk raporları: MDM sistemleri düzenli olarak güvenlik uyumluluk raporları üretir; bu, düzenleyici otoritelere kanıt sunmak açısından gereklidir.

Politika yönetimi: Yöneticiler, NIS-2’den kaynaklanan belirli gereklilikleri güvenlik politikaları olarak doğrudan MDM’ye entegre edebilir.

4. Güvenlik olaylarından kurtarma

Uzaktan silme (Remote-Wipe): Kayıp ya da çalınmış cihazlar uzaktan silinerek hassas veriler korunabilir.

Cihaz kısıtlamaları: Bir olay sonrasında, güvenlik durumu çözülene kadar cihazlar yalnızca temel işlevleri sunan KIOSK moduna alınabilir.

5. Çalışan eğitimi ve farkındalık

Kullanıcılar için cihaz uyarıları: Yalnızca yöneticiler değil, kullanıcılar da güvenlik politikalarını ihlal ettiklerinde bilgilendirilebilir. Bu, güvenlik kurallarına farkındalığı artırır.

Politika onayı: MDM sistemleri, kullanıcıların ağlara veya verilere erişmeden önce şirket politikalarını aktif olarak onaylamasını sağlayabilir.

Sonuç olarak

Çok sayıda kural ve yönerge çoğu zaman karmaşık ve bunaltıcı görünse de, NIS-2’nin artırılmış gereklilikleri planlı ve etkili bir şekilde karşılanabilir. Siber güvenliğin tüm alanlarını kapsayan bir plan oluşturmanın yanı sıra, bir Mobil Cihaz Yönetimi (MDM) sistemi kurmak da güvenliği artırmak için önemli bir adımdır.

Blogumuzu keşfedin

Şirkete Ait İş Profili

Şirkete Ait İş Profili

Kayıp Modu Açıklaması

Kayıp Modu Açıklaması

tvOS ve MobiVisor

tvOS ve MobiVisor

Bize şimdi ulaşın:

✔ Ücretsiz ihtiyaç analizi
✔ Size özel adım adım bir süreç oluşturulması
✔ Cihazlarınızı güvence altına almak için ücretsiz demo


    Bu formu göndererek, kişisel verilerinizin gizlilik politikamızda belirtilen amaçlar doğrultusunda, orada açıklanan kapsam ve süreyle işleneceğini ve saklanacağını kabul etmiş olursunuz.

    Alternatif olarak, lütfen bize [email protected] adresine bir e-posta gönderin.

    IOTIQ tarafından desteklenmektedir.
    Telif Hakkı: © 2020 IOTIQ

    İş telefonu

    Müşteriler için yardım

    Yasal Bilgilendirme

    Gizlilik politikası

    Log in to your account