Siber güvenlikte yasal düzenlemeler de sertleşiyor. AB düzeyinde yürürlüğe giren Cyber Resilience Act (CRA), dijital ürünlere sıkı güvenlik yükümlülükleri getiriyor. Bu kapsamda, cihazlarda kritik bir güvenlik olayı (örneğin zafiyetin kötüye kullanımı veya aktif açık) tespit edildiğinde ilk bildirim 24 saat içinde, ardından 72 saat içinde takip bildirimleri yapılması zorunluluğu geliyor.

Bu zorunluluk, üreticilerin güvenlik olaylarına karşı hızlı ve sistematik yanıt vermesini sağlamak için tasarlandı. CRA ile birlikte, üreticiler sadece ürün geliştirme aşamasında değil; yaşam döngüsü boyunca güvenliği sağlamaktan sorumlu tutuluyor.

Buna paralel olarak, Avrupa’da NIS2 Direktifi de kurumlar için siber olay bildirimi süreçlerini sıkılaştırıyor. Bu direktif bağlamında da “ön bildirim” 24 saat içinde, daha detaylı raporlama ise 72 saat içinde yapılmalı.

Sonuç ve Değerlendirme

  • Almanya’da siber saldırıların neden olduğu zarar maliyeti, yalnızca siber suçun değil aynı zamanda jeopolitik risklerin de uç boyutlara ulaştığını gösteriyor.
  • Bu durum, hem devlet kurumlarının hem de özel sektör kuruluşlarının siber güvenlik altyapılarını acilen güçlendirmesi gerektiğini ortaya koyuyor.
  • Öte yandan, AB’nin CRA ve NIS2 gibi düzenlemeleri, mobil cihazlardan gömülü sistemlere kadar geniş bir yelpazede “hızlı müdahale ve bildirim” kültürünü zorunlu hale getiriyor.
  • Uzun vadeli strateji açısından, uzman açığını kapatmak için eğitim, yerli siber güvenlik yeteneklerinin geliştirilmesi ve kamu-özel sektör iş birliği kritik önemde.

Kaynakça

https://www.mhp.com/en/insights/blog/post/european-cyber-resilience-act
https://iapp.org/news/a/what-to-know-about-the-eu-cybersecurity-resilience-act
https://cpl.thalesgroup.com/compliance/emea/nis2-directive-goal-enhance-cybersecurity-across-the-eu
https://www.jdsupra.com/legalnews/the-cyber-resilience-act-is-rewriting-3752689/