NIS2 Direktifi Uyumu: AB'nin Yeni Siber Güvenlik Standardı ve Türkiye'ye Etkisi
NIS2 Directive 2022/2555 (Ekim 2024). Essential Entities (EE) + Important Entities (IE) ayrımı. 18 sektör. 10 minimum güvenlik tedbiri (md. 21). 24/72 saat/1 ay bildirim (md. 23). Yönetim kurulu sorumluluğu (md. 20). Max ceza EE 10M EUR / %2 ciro, IE 7M EUR / %1.4 ciro. ISO 27001 + 27701 + NIST CSF + KVKK ile uyum tablosu. 12 aylık Türk şirket yol haritası.
NIS2 Direktifi Uyumu: AB'nin Yeni Siber Güvenlik Standardı ve Türkiye'ye Etkisi
Avrupa Birliği, 2022 yılının sonunda yayınladığı NIS2 Direktifi (2022/2555) ile siber güvenlik mevzuatında son on yılın en kapsamlı dönüşümünü başlattı. Eski NIS1 Direktifi'nin (2016/1148) bıraktığı boşlukları kapatan bu yeni metin, 17 Ocak 2023'te yürürlüğe girdi, üye devletlerin iç hukuka aktarımı için son tarih 17 Ekim 2024 oldu ve aynı tarihten itibaren uygulanmaya başlandı.
NIS2, "yalnızca AB üyesi şirketlerin sorunu" değildir. AB pazarına hizmet veren, AB merkezli müşterilere ürün satan veya AB'deki bir tedarik zincirinin parçası olan Türk şirketler de doğrudan etkileniyor. Üstelik direktifin getirdiği yönetim kurulu kişisel sorumluluğu, 24/72 saat olay bildirimi ve tedarik zinciri güvenliği maddeleri, Türkiye'nin 5651, 6698 (KVKK) ve hazırlanmakta olan ulusal Siber Güvenlik Kanunu çerçevesi için de önemli bir referans oluşturuyor.
Bu rehberde NIS2'nin ne olduğunu, kimleri kapsadığını, hangi teknik ve idari yükümlülükleri getirdiğini ve Türk şirketlerin 12 aylık bir yol haritasıyla nasıl hazırlanabileceğini DSET'in saha deneyimiyle birlikte ele alıyoruz.
NIS2 Nedir, Neden NIS1'in Yerine Geldi?
NIS1 (Network and Information Systems Directive), 2016'da yayınlandığında AB'nin ilk yatay siber güvenlik düzenlemesiydi. Ancak yedi yıllık uygulama, üç temel zayıflık ortaya çıkardı:
- Kapsam çok dardı. Yalnızca 6 sektörü (enerji, ulaşım, sağlık, bankacılık, finansal piyasa altyapısı, su, dijital altyapı) kapsıyordu.
- Yorum farkları büyüktü. Her üye devlet "Essential Service Operator" tanımını kendine göre yapıyordu, sınır ötesi uyumsuzluk yaratıyordu.
- Yaptırım gücü zayıftı. İhlal durumunda caydırıcı ceza yapısı yoktu.
NIS2 bu üç sorunu birden çözmek için tasarlandı. Resmi metin EUR-Lex 2022/2555 (eur-lex.europa.eu/eli/dir/2022/2555/oj) üzerinden erişilebilir; uygulama rehberlerini ise AB Siber Güvenlik Ajansı ENISA (enisa.europa.eu/topics/nis-directive) yayımlıyor.
Kimler Kapsamda? Essential ve Important Entities
NIS2, kapsamdaki kuruluşları iki ana kategoriye ayırır:
Essential Entities (Temel Kuruluşlar, EE): Büyük ölçekli, kritik altyapı sağlayıcılar. Genellikle 250 çalışan üstü veya 50 milyon EUR yıllık ciro üstü, kritik sektörlerde faaliyet gösterir.
Important Entities (Önemli Kuruluşlar, IE): Orta ölçekli ama hâlâ kritik kabul edilen kuruluşlar. 50 çalışan üstü veya 10 milyon EUR ciro üstü.
İki kategoriye giren sektör sayısı NIS1'deki 6'dan 18'e çıktı. Genişletilmiş listede şunlar var:
- Enerji (elektrik, doğal gaz, petrol, ısıtma, hidrojen)
- Ulaşım (havayolu, demiryolu, su yolu, karayolu)
- Bankacılık ve finansal piyasa altyapısı
- Sağlık (hastane, ilaç üretici, tıbbi cihaz üretici)
- İçme suyu ve atık su
- Dijital altyapı (DNS, TLD, IXP, veri merkezi, bulut, CDN)
- ICT yönetilen hizmet sağlayıcılar (MSP, MSSP)
- Kamu yönetimi
- Uzay
- Posta ve kurye hizmetleri
- Atık yönetimi
- Kimyasal üretim ve dağıtım
- Gıda üretimi ve dağıtımı
- İmalat (tıbbi cihaz, bilgisayar, elektronik, optik, makine, motorlu taşıt)
- Dijital sağlayıcılar (online pazaryeri, arama motoru, sosyal ağ)
- Araştırma kuruluşları
Türk üretim ve tedarik zinciri şirketleri için bu son madde özellikle kritik. AB'ye otomotiv parçası, tıbbi cihaz veya makine ihraç eden bir Türk OEM, AB'deki müşterisinin tedarikçi-güvenliği denetiminde NIS2 yükümlülüklerini gösteremezse sözleşme kaybedebilir. Üretim ortamlarındaki OT/SCADA güvenliği için ayrı bir rehberimiz var: Üretim sanayi veri kurtarma ve SCADA güvenliği.
10 Minimum Güvenlik Tedbiri (Madde 21)
NIS2'nin teknik kalbi, Madde 21'deki on minimum güvenlik tedbiridir. Kapsamdaki her kuruluş bu on alanda yazılı politika, prosedür ve kanıt üretebilir olmalıdır:
- Risk analizi ve bilgi sistemi güvenliği politikaları
- Olay yönetimi (incident handling)
- İş sürekliliği ve kriz yönetimi (BCP/DR), yedek yönetimi dahil
- Tedarik zinciri güvenliği, doğrudan tedarikçiler ve hizmet sağlayıcılarla ilişkiler dahil
- Ağ ve bilgi sistemlerinin satın alma, geliştirme ve bakımında güvenlik, zafiyet ifşa süreçleri dahil
- Siber güvenlik risk yönetimi tedbirlerinin etkinliğini değerlendirme politika ve prosedürleri
- Temel siber hijyen uygulamaları ve siber güvenlik eğitimi
- Kriptografi ve şifreleme kullanımına ilişkin politikalar
- İnsan kaynakları güvenliği, erişim kontrolü ve varlık yönetimi
- Çok faktörlü kimlik doğrulama (MFA), güvenli sesli/görüntülü/metin iletişimi ve acil durum iletişimi kullanımı
Bu liste, ISO/IEC 27001:2022 Annex A kontrolleri ve NIST Cybersecurity Framework 2.0 fonksiyonları (Govern, Identify, Protect, Detect, Respond, Recover) ile yüksek oranda örtüşür. Zaten ISO 27001 sertifikalı bir kuruluş için NIS2'nin teknik temeli büyük ölçüde mevcuttur; eksikler genellikle olay bildirim süreleri, tedarik zinciri, yönetim kurulu sorumluluğu ve MFA yaygınlığı alanlarındadır. ISO 27001'in sertifikasyon süreci için: ISO 27001 Sertifikası Nedir, Nasıl Alınır.
Olay Bildirimi: 24 Saat, 72 Saat, 1 Ay
NIS2'nin en sert ve operasyonel olarak en zorlayıcı maddesi Madde 23 olay bildirim takvimidir:
- 24 saat içinde "early warning": Olayın farkına varıldıktan sonra ilk 24 saat içinde yetkili CSIRT veya makamına ön bildirim. Sadece olayın muhtemel kötü niyetli olup olmadığı, sınır ötesi etki ihtimali gibi temel veriler.
- 72 saat içinde "incident notification": İlk değerlendirme, etki şiddeti, gözlenen IOC'ler, mevcut bilgilerle güncellenmiş tablo.
- 1 ay içinde "final report": Kök neden analizi, alınan azaltma önlemleri, sınır ötesi etki, varsa kalıcı etkiler.
24 saatlik pencere, çoğu Türk şirketi için en büyük zorluk olacak çünkü 7/24 SOC veya en azından on-call IR ekibi ister. Bu nedenle NIS2 hazırlığında olay müdahale playbook'unun NIST SP 800-61 çerçevesine göre yazılı, tatbikatla doğrulanmış olması şart: Siber Olay Müdahale (IR) Playbook ve NIST 800-61.
ABD tarafındaki muadil rehberlik için CISA (cisa.gov) yayınları, özellikle Known Exploited Vulnerabilities (KEV) kataloğu ve Cybersecurity Performance Goals (CPG), NIS2 olay süreleriyle iyi eşleşir.
İdari Para Cezaları: Gerçek Rakamlar
Direktif Madde 34'e göre maksimum idari para cezaları (resmi rakamlar):
- Essential Entities (EE): En az 10.000.000 EUR veya küresel yıllık cironun %2'si, hangisi yüksekse.
- Important Entities (IE): En az 7.000.000 EUR veya küresel yıllık cironun %1,4'ü, hangisi yüksekse.
Bu rakamlar, AB üye devletlerinin alt sınırıdır; üye devlet daha yüksek tavan koyabilir, daha düşük koyamaz. Karşılaştırma için GDPR (gdpr.eu) tavanı %4 veya 20 milyon EUR; yani aynı olay hem KVKK/GDPR hem NIS2 ihlali oluşturursa cezalar kümülatif uygulanabilir.
Türkiye'de muadil veri koruma çerçevesi 6698 sayılı KVKK ve KVKK Kurumu (kvkk.gov.tr) tarafından denetlenir. KVKK uyumu olmayan bir Türk şirketinin NIS2'ye uyum sağlaması da neredeyse imkânsızdır çünkü ikisi de aynı veri yönetimi temellerine dayanır: KVKK uyum danışmanlığı, VERBİS, politikalar ve denetim.
Yönetim Kurulu Sorumluluğu: Yeni Kişisel Risk
NIS2'nin getirdiği en kültürel kırılma Madde 20 yönetim kurulu sorumluluğudur. Kapsamdaki kuruluşların yönetim organları:
- Siber güvenlik risk yönetimi tedbirlerini onaylamak,
- Uygulanmasını denetlemek,
- Uyumsuzluktan kişisel olarak sorumlu tutulabilmek,
- Düzenli siber güvenlik eğitimi almak zorundadır.
Bu, "siber güvenlik IT'nin işidir" kültürünü kıran bir maddedir. CISO'nun raporlaması artık tavsiye değil, yönetim kurulu için yasal yükümlülük tetikleyicidir. DSET sahasında 2026 başından bu yana yaptığımız 14 NIS2 ön-denetiminin tamamında en büyük açık, "yönetim kurulu siber güvenlik eğitim kaydı" maddesinde çıkıyor.
NIS2, ISO 27001, ISO 27701, NIST CSF ve KVKK: Uyum Haritası
Çok sayıda çerçeveye aynı anda hizmet eden tek bir kontrol seti kurmak mümkündür. Saha tecrübemizle test edilmiş eşleştirme:
| Konu | NIS2 (Md. 21) | ISO 27001:2022 | NIST CSF 2.0 | KVKK |
|---|---|---|---|---|
| Risk yönetimi | 21(2)(a) | Clause 6, A.5 | GV.RM, ID.RA | Md. 12 veri güvenliği |
| Olay yönetimi | 21(2)(b), Md. 23 | A.5.24 - A.5.28 | RS.MA, RS.AN | Md. 12(5) bildirim |
| BCP/DR | 21(2)(c) | A.5.29 - A.5.30 | RC.RP | Md. 12 idari tedbirler |
| Tedarik zinciri | 21(2)(d) | A.5.19 - A.5.23 | GV.SC | Md. 12 veri işleyen |
| Güvenli geliştirme | 21(2)(e) | A.8.25 - A.8.28 | PR.PS | - |
| Kripto | 21(2)(h) | A.8.24 | PR.DS | Md. 12 |
| MFA | 21(2)(j) | A.8.5 | PR.AA | Md. 12 |
| Eğitim | 21(2)(g), Md. 20 | A.6.3 | PR.AT | Md. 12 |
| Gizlilik genişlemesi | - | ISO 27701 | PR.DS | KVKK tümü |
ISO 27001 + ISO 27701 + bir olay müdahale tatbikatı + tedarikçi güvenliği eki, NIS2 boşluklarının yaklaşık %80'ini kapatır. Geri kalan %20, çoğunlukla 24 saat bildirim ve yönetim kurulu eğitim kayıtlarıdır.
Türk Şirketler İçin 12 Aylık NIS2 Yol Haritası
DSET'in NIS2 hazırlık paketi 12 aya yayılır. Saha verimliliği için aşağıdaki sıra önerilir:
Ay 1 - Kapsam ve Boşluk Analizi. Şirketin AB'ye satış, AB'de iştirak, AB tedarik zinciri etkileşimi haritalanır. EE/IE statüsü ve hangi üye devletin yetkili otoritesine bildirim yapılacağı netleştirilir. Mevcut ISO 27001, KVKK, sektörel düzenleme (BDDK, EPDK, Sağlık Bakanlığı) durumu envanteri çıkarılır.
Ay 2 - Yönetim Kurulu Onayı ve Bütçe. Madde 20 yükümlülüğü gereği yönetim kurulu kararı, CISO atama veya yetkilendirme, bütçe ve sponsor netleştirilir. İlk yönetim kurulu siber güvenlik eğitimi planlanır.
Ay 3-4 - Risk Yönetimi ve Politika Çerçevesi. Bilgi varlık envanteri, tehdit modelleme, risk kayıt defteri. Türkiye'nin tehdit ortamı için: Türkiye siber tehdit manzarası 2026.
Ay 5 - Tedarik Zinciri Güvenliği. Kritik tedarikçi envanteri, sözleşmelere NIS2 / ISO 27001 / KVKK ekleri, tedarikçi self-assessment soruları, MSP/MSSP için ayrı kontrol seti.
Ay 6 - Teknik Kontroller. MFA tüm yönetici hesaplarda, kritik sistemlerde mümkünse phishing-resistant (FIDO2). Disk ve yedek şifreleme, log toplama, SIEM/MDR. EDR'nin gerçek tespit kabiliyeti pentest ile doğrulanmalı: Pentest süreci, fiyat ve ne zaman gerekli.
Ay 7 - Olay Müdahale Playbook ve 24 Saat Hazırlığı. On-call rotasyonu, iletişim ağacı, hukuki danışman koordinasyonu, AB CSIRT iletişim noktaları, ön bildirim şablonu, hukuki ayrıcalık koruması.
Ay 8 - İş Sürekliliği ve Felaket Kurtarma. RTO/RPO hedefleri sektör kritikliğine göre belirlenir. Yedeklerin offline veya immutable kopyaları, restore tatbikatı.
Ay 9 - Eğitim ve Farkındalık. Tüm personele temel siber hijyen, yönetim kuruluna stratejik eğitim, teknik ekibe rol-temelli eğitim. Phishing simülasyonu.
Ay 10 - Masa Üstü Tatbikat (Tabletop Exercise). Ransomware + veri sızıntısı kombine senaryosu. 24 saat bildirim simülasyonu. Yönetim kurulu katılımı.
Ay 11 - Bağımsız Denetim ve Boşluk Kapatma. Üçüncü taraf denetimi, ISO 27001 ön-denetim veya tam sertifikasyon, NIS2 boşluk listesi.
Ay 12 - Sürdürülebilirlik. Sürekli izleme, KPI/KRI panosu, yıllık risk değerlendirmesi, üç yılda bir tam tatbikat takvimi.
Sık Sorulan Sorular
S1: AB'de iştirakimiz yok, sadece ihracat yapıyoruz. NIS2 bizi bağlar mı? Doğrudan değil; ancak AB'deki müşteriniz NIS2 kapsamındaysa, tedarikçi-güvenliği maddesi nedeniyle sizden uyum kanıtı isteyecektir. Pratikte bağlayıcıdır.
S2: ISO 27001 sertifikamız var, NIS2'ye hazır mıyız? Yaklaşık %70-80 hazırsınız. Eksik kalan tipik alanlar: 24/72 saat bildirim, tedarik zinciri ekleri, yönetim kurulu kişisel sorumluluğu ve MFA yaygınlığıdır.
S3: KVKK uyumu NIS2 yerine geçer mi? Hayır. KVKK kişisel veri odaklı, NIS2 ise tüm bilgi sistemleri ve operasyonel sürekliliği kapsar. İki çerçeve birlikte uygulanır.
S4: Türkiye'nin kendi NIS2 muadili var mı? Türkiye'de hazırlanmakta olan ulusal siber güvenlik kanunu çalışmaları devam ediyor; 5651, 5809, BDDK ve KVKK düzenlemeleri parça parça benzer yükümlülükler getiriyor. NIS2 doğrudan iç hukuk değil ama referans alınıyor.
S5: Maksimum cezalar ne kadar? Essential Entities için en az 10 milyon EUR veya küresel cironun %2'si; Important Entities için en az 7 milyon EUR veya %1,4. Üye devlet daha yükseğini koyabilir.
S6: 24 saatlik bildirim için 7/24 SOC şart mı? Şart değil, ancak en azından çağrı sırasına bağlanmış on-call IR ekibi gerekir. Küçük şirketler MDR/MSSP ile dış kaynaktan çözebilir.
S7: Yönetim kurulu üyesi olarak kişisel mal varlığım risk altında mı? Direktif kişisel cezayı doğrudan tanımlamaz; ancak üye devlet bunu iç hukukunda öngörebilir. Bazı üye devletler yönetici sorumluluğunu zaten genel ticaret hukukundan türetmiştir.
S8: Hangi belgeleri saklamalıyız? Risk değerlendirmesi, politika setleri, eğitim kayıtları, olay kayıtları, tatbikat tutanakları, tedarikçi denetim sonuçları, yönetim kurulu kararları, MFA dağıtım kanıtları.
Sonuç ve DSET NIS2 Hazırlık Danışmanlığı
NIS2, "AB'nin işi" değil, küresel tedarik zincirinin yeni asgari standardıdır. Türkiye'den AB'ye satış yapan, AB'de iştiraki olan veya AB'li müşteriye hizmet sunan her şirket, 2026 yılı boyunca tedarikçi denetimlerinde bu çerçeveyle karşılaşacak. Hazırlığa erken başlayanlar sözleşme kaybetmek yerine NIS2 uyumlu olmayı pazarlama avantajına dönüştürüyor.
DSET NIS2 Hazırlık Danışmanlığı olarak şu paketi sunuyoruz: kapsam ve boşluk analizi, ISO 27001/27701 entegrasyonu, KVKK eşleştirmesi, tedarik zinciri sözleşme ekleri, olay müdahale playbook ve tatbikat, yönetim kurulu eğitimi, 12 aylık yol haritası ve aylık ilerleme paneli.
DSET Bilgi Güvenliği Danışmanlığı Hacettepe Teknokent, Ankara +90 536 662 38 09
NIS2 takviminiz çoktan başladı. Bir sonraki tedarikçi denetim talebinizi beklemeden hazırlığa girin.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.