Open in app

Sign in

Write

Sign in

Siber Dayanıklılık Tüzüğü -2

Duygu Fidancıoğlu
Cyber Alliance | TR
Published in
5 min readDec 11, 2023

Siber Güvenlik Yükümlülükleri ve Uygulama Şekli

Siber Dayanıklılık Tüzüğü’nü incelemeye devam ediyoruz. Özetle ne bekleniyor sorusunun yanıtı şu: Dijital unsurlar içeren ürünlerin tüm ürün yaşam döngüsü boyunca yani planlama, tasarım, geliştirme, üretim, dağıtım ve bakım aşamalarının tamamında siber güvenliğe ilişkin risklerin bilinmesi ve olası zafiyet ve siber olayları efektif olarak ele alarak elimine edebilecek bir yapı oluşturulması bekleniyor.

Tüzük kapsamında sağlanması gereken siber güvenlik yükümlülükleri neler?

(1) Dijital unsurlu ürünler, risklere dayalı olarak uygun bir siber güvenlik düzeyi sağlayacak şekilde tasarlanmalı, geliştirilmeli ve üretilmelidir. Üreticiler için anlamı şu: Öncelikle “Güvenli Yazılım Geliştirme” ilkelerini uygulayacaksınız..

(2) Dijital unsurlara sahip ürünler, bilinen herhangi bir güvenlik zafiyeti olmaksızın kullanıma sunulmalıdır. Üreticilerin ürünlerini piyasaya sürmeden önce kaynak kod analizini, sızma testlerini vs. yaptırmış, varsa zafiyetlerini de kapatmış olmaları bekleniyor.

(3) Risk temelli bir yaklaşım yürütülmesi ve uygulanabildiği durumlarda;

  • fabrika ayarlarına geri döndürüldüğünde dahi geçerli olacak şekilde, varsayılan olarak güvenli bir yapılandırmayla kullanıma sunulması, (Security by default)
  • Yetkisiz erişime karşı koruma,
  • Saklanan, iletilen veya başka bir şekilde işlenen kişisel veya diğer verilerin gizliliği ve bütünlüğünün sağlanması,
  • Yalnızca ürünün kullanım amacına uyacak şekilde yeterli, ilgili ve gerekli olanla sınırlı olacak şekilde verilerin (kişisel veya diğer veriler) işlenmesi, (Verilerin en aza indirilmesi)
  • Ürünün temel işlevlerinin erişilebilirliğini ve kullanılabilirliğinin korunması (DoS saldırılarına karşı vb.)
  • Diğer cihazlar üzerindeki olumsuz etkilerin en aza indirilmesi
  • Saldırı yüzeylerinin sınırlanması,
  • Olası siber güvenlik olaylarının etkisini azaltıcı önlemlerin alınması,
  • Güvenlikle ilgili olayların kaydedilmesi ve izlenmesi,
  • Otomatik güncellemeler ve mevcut güncellemelerin kullanıcılara bildirilmesini de içerecek şekilde güvenlik güncellemeleriyle zafiyetlerin giderilmesi.

(4) Dijital unsurlara sahip ürünlerin üreticileri/imalatçıları güvenlik zafiyetlerini ürün piyasaya arzı öncesi ve ürün ömrü boyunca yönetmelidir. Bunun için temel olarak aşağıdaki aksiyonların alınması bekleniyor.

  • En az ürünün üst düzey bağımlılıklarını kapsayan, bir yazılım malzeme listesi (Software Bill of Materials- SBOM) de içerecek şekilde üründe bulunan güvenlik zafiyetlerini ve ürün bileşenlerinin tanımlanması ve dokümante edilmesi,
  • Ürünlerin maruz kaldığı risklerle ilgili olarak, güvenlik güncellemeleri sağlanması, güvenlik zafiyetlerinin ele alınarak ve gecikmeden giderilmesi;
  • Etkin ve düzenli güvenlik testleri ve analizlerinin uygulanması,
  • Giderilen güvenlik zafiyetlerine ilişkin bilgilerin (zafiyetin tanımı etkileri, önem derecesi, çözüm önerileri vb.) kamuya açık bir şekilde yayımlanması,
  • Koordineli güvenlik zafiyeti ifşasına ilişkin bir politika (Coordinated Vulnerability Disclosure Policy) oluşturulması ve uygulanması
  • Ürüne ilişkin potansiyel güvenlik zafiyetleri bilgilerinin paylaşımının kolaylaştırılması, bu yönde faaliyetler gerçekleştirilmesi,
  • Güvenlik güncellemelerini güvenli bir şekilde dağıtacak mekanizmaların sağlanması,
  • Güvenlik yamalarının veya güncellemelerinin gecikmeksizin ve ücretsiz olarak dağıtılmasının sağlanması ve bunlarla birlikte kullanıcılara çözüm önerileri ve tedbirleri içerecek şekilde ilgili bilgileri sağlayan tavsiye mesajlarının sunulmasının sağlanması

(5) Dijital unsurlara sahip ürünler piyasaya sunulduğunda ürün paketinde asgari olarak aşağıdakilerin olması bekleniyor:

  • Üretici bilgileri
  • CE işareti
  • Güvenlik açıklarının bildirilmesi için iletişim bilgileri
  • Öngörülen güvenlik ortamı da dâhil olmak üzere kullanım amacı
  • Ürünün güvenlik özellikleri ve bilinen ve öngörülebilir güvenlik riskler
  • SBOM’a nereden erişilebileceği (herkese açıksa)
  • AB Uygunluk Beyanı
  • Üretici tarafından sunulan desteğin türü ve süresi
  • Verilerin güvenli kullanımına ve güvenli bir şekilde kaldırılmasına ilişkin talimatlar

Nasıl Uygulanacak?

Tüzüğün üçüncü bölümünde (Chapter 3, Conformity of The Product With Digital Elements) dijital unsurlar içeren ürünlerin uygunluk değerlendirme sürecininin nasıl işletileceği aktarılıyor.

Bölümün kısa özeti şu: “Tüzük hali hazırdaki CE işareti uygulamasının genişletilmesi şeklinde uygulanacaktır.

CE işareti, ürünün ilgili teknik düzenlemesine uygun olduğunu ve amacına uygun kullanılması halinde ürünlerin insan can ve mal güvenliğine, bitki ve hayvan varlığına ve çevreye zarar vermeyeceğini gösteren bir işarettir. Diğer bir ifadeyle bu işaret, ürünlerin AB üyesi ülkelerde serbest dolaşıma çıkabilmesi için bir çeşit pasaport işlevi görmektedir.

Pasaport kelimesini özellikle kullandım. Çünkü AB tarafından yürütülen bir başka çalışma olan, ürünlerin sürdürülebilirliğine atıf yapan Dijital Ürün Pasaportu’nun da CE işareti uygulama sürecine entegre edilmesi öngörülmektedir. Diğer bir ifade ile uygunluk değerlendirme kuruluşlarının akreditasyonu, piyasa gözetimi ve CE işaretinin genel kurallarını ortaya koyan 765/2008 sayılı AB Yönetmeliği, eko-tasarım kuralları için de geçerli olacaktır. Bu çerçevede, CE işareti ilgili ürünün eko-tasarım kurallarına uygunluğuna da işaret edecektir. CE işaretinin alanının siber güvenlikle kalmayıp, eko-tasarım ilkeleri ile de genişleyeceğini şimdiden söyleyebiliriz.

CE işareti sürecinde olduğu gibi, uygunluk denetimini üreticilerin kendilerinin yapabildiği (iç kontrol) veya üçüncü taraflarca (onaylanmış kuruluşlar) uygunluk değerlendirme sürecinin işletildiği ve belgelendirildiği yapı Siber Dayanıklılık Tüzüğü’nün uygulama sürecinde de geçerli olacak.

Tüzüğe göre dijital unsurlar barındıran ürünlerin yaklaşık %90'ı için üreticinin uygunluk değerlendirmelerini kendisinin yapması yeterlidir. Kritik olarak ifade edilen ürünler genel kapsamın %10'u kadar olduğu tahmin ediliyor ve bunlar için “Uygunluk Değerlendirme Kuruluşları” tarafından değerlendirme süreçlerinin işletilmesi gerekiyor.

Tüzüğün uygulanacağı ülkelerin sürecin yönetimi için “yetkili kuruluş, uygunluk değerlendirme kuruluşları/onaylanmış kuruluşlar ve piyasa gözetim ve denetim (PGD) otoriteleri” ni belirlemesi gerekiyor. Bunlar nedir, ne yapar kısmını da kısaca aktarmaya çalışayım.

Tüzüğün uygulanmasında kritik rollerden biri Piyasa Gözetim ve Denetim Otoritesi (PGD)’nde. Üye devletler bu hususta bir yada birden fazla PGD tayin edebilecek. PGD otoritesine ilişkin diğer hususları tüzüğün beşinci bölümünde (Chapter 5, Market Surveillance and Enforcement) buluyoruz.

PGD faaliyetlerinin en önemli amaçlarından biri piyasadaki “risk ve ciddi risk taşıyan ürünleri” tespit ederek önlem almak ve vatandaşların bu ürünlerden zarar görmesini engellemektir. PGD kuruluşları tarafından yürütülen denetimler neticesinde risk ve ciddi risk taşıdığı tespit edilen tüm ürünlere “düzeltici faaliyet”, “piyasaya arzı yasaklama/geçici olarak durdurma”, “geri çağırma”, “imha” gibi önlemlerden uygun olanların uygulanması gerekmektedir. Tüzük kapsamında dijital unsurlar taşıyan ürünlerde tespit edilen uygunsuzluklar için bu sayılan önlemlerle birlikte idari para cezası da uygulanabilecek.. Çok ciddi güvenlik zafiyeti var ise ürünün satışını yasaklama, piyasadan toplatma, imha vb. uygulamaları daha sık göreceğiz.

Yetkili Kuruluş (Notifying authority), uygunluk değerlendirme kuruluşlarının değerlendirilmesi, dizayn edilmesi ve yetkilendirilen uygunluk değerlendirme kuruluşlarının tüzüğün talep ettiği mercilere bildirilmesi ve bunların gözetimi için gerekli prosedürlerin oluşturulması ile uygulanmasından sorumlu olacaktır. Tüzüğün dördüncü bölümü (Chapter 4, Notification of Conformity Assessment Bodies) uygunluk değerlendirme kuruluşlarının ilan edilmesine ilişkin esasları içermektedir.

Uygunluk değerlendirme kuruluşları (Conformity Assessment Bodies) kalibrasyon, test, belgelendirme ve muayene gibi uygunluk değerlendirme faaliyetlerini gerçekleştiren kuruluşlardır. Tüzükte “Onaylanmış Kuruluşlar (Notified Bodies)” olarak da ifade edilmiş olup, tüzüğün 29. Maddesinde taşıması gereken özellikler tarif edilmiştir.

Velhasıl, konunun bizleri ilgilendiren tarafı şudur ki, Siber Dayanıklılık Tüzüğü’nün ülkemizde uyumlaştırılması durumunda başta mevcut yasalarımızda değişiklikler ile birlikte yukarıda sayılan fonksiyonları yerine getirecek tarafların da belirlenmesi gerekiyor.

Yasanın 2024 yılı başlarında resmi olarak kabul edilmesi bekleniyor ve kabulünden sonra 3 yıllık bir uyum süreci var. Yani 2027 yılından itibaren Avrupa Birliği pazarında yeni düzenlemeye uyum sağlamayan hiç bir ürün yer alamayacak. Süre uzun gibi görünüyor, ancak zaman hızlı geçiyor..

Uyumlaştırmaz isek veya geç kalırsak ne olur? Yerli onaylanmış kuruluşların olmaması üreticilerin yurt dışından hizmet alması anlamına gelmektedir ki, gerek finansal gerekse “teknoloji güvenliği” açısından oldukça pahalıya mal olabilir.

Bu yeni yasanın Avrupa Birliği genel siber güvenlik çerçevesi içindeki yeri ve diğer yasalarla ilişkisini de bir sonraki yazımda ele alacağım..

Siber Güvenlik
Cybersecurity
Cyber Resilience
Avrupa Birliği
Yasa

--

--

Duygu Fidancıoğlu
Cyber Alliance | TR

Written by Duygu Fidancıoğlu

45 Followers
Editor for

Cyber Security Professional

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams