Hükümetin bir diğer önemli güvenlik hatası: Brüksel, Kasım ayında işletmelere 2,25 milyar avroya mal olacak yeni bir siber güvenlik yasasını onaylamadığı için dava açtı.
Pazartesi günkü elektrik kesintisinin ardından kritik altyapıları çökertebilecek bir siber saldırı olasılığı aniden vatandaşların aklına gelirken, hükümet buna hazırlanmak için ayak sürüyor. Avrupa Komisyonu, Kasım 2022'de Avrupa Birliği genelinde ve ekonominin her düzeyinde siber güvenlik standartlarını artırmayı amaçlayan Nis2 direktifini onayladı . Nisan 2025'te, hükümet tarafından ismi değiştirilen Siber Güvenlik Koordinasyon ve Yönetişim Yasası, henüz Temsilciler Meclisi'ne bile ulaşmamış bir ön taslak olup, yalnızca geçen Ocak ayında Bakanlar Kurulu'na sunulmuş ve acilen değerlendirilmesi kararlaştırılmıştır.
Nitekim İspanya ve diğer 22 üye ülke, dijital toplumla ilgili olduğu düşünülen şirketlerin uygulaması gereken asgari siber güvenlik gerekliliklerini sıkılaştırmayı amaçlayan bu mevzuatı aktarmada gecikmeleri nedeniyle geçen Kasım ayında Avrupa Komisyonu tarafından disiplin cezasına çarptırılmıştı .
Değişim ne küçük ne de ucuz. İspanyol hükümeti, yeni mevzuatta belirlenen kriterlere uymak için 5 bin 760 şirketin bir şekilde yatırım yapması gerektiğini ve bunun toplam maliyetinin 2,25 milyar avroyu bulacağını tahmin ediyor. Bunlardan sadece 300'ünün mevcut rejim altında elzem sayılması, yeni düzenlemelerin nasıl bir paradigma değişimini temsil ettiğine dair bir fikir veriyor. Sanayinin tamamı, atık yönetimi ve kurye hizmetleri gibi sektörler, şirketlerin 250'den fazla çalışanı veya 50 milyon avrodan fazla cirosu olması ve hatta bazı durumlarda cirosu 10 milyon avroyu aşması durumunda artık bu düzenlemeye tabi tutuluyor.
Kamu sektörü de bu konuda geride kalmıyor; ulusal ve bölgesel düzeydeki tüm kurumsal kamu sektörü ile 20.000'den fazla nüfusa sahip belediyeler bu Kanun'un şemsiyesi altına girecek.
ULUSAL SİBER GÜVENLİK MERKEZİYeni düzenlemede yer alan tedbirlerden biri de şirketlerin siber saldırı durumunda kriz yönetim organı ve irtibat noktası olarak görev yapacak Ulusal Siber Güvenlik Merkezi'nin kurulması. Ayrıca hem kamunun hem de özel sektörün ihtiyaç duyduğu standartları belirleyen kurum olacak. Bu kurum aynı zamanda bu kanunun gereklerine uyması gereken temel kuruluşların listesini oluşturma yetkisine de sahip olacak.
Ancak tek bir birim oluşturuluyor olsa da, örneğin yaptırım yetkisi bulunmuyor, bu yetki İçişleri Bakanlığı ve Dijital Dönüşüm Bakanlığı'na ait olacak. Bu durum, Esys Vakfı (Güvenlik ve Dijital Toplum Şirketi) gibi bazı kuruluşların eleştirisine yol açtı ve bu kuruluşun tüm işlevleri etkili bir şekilde tek bir merkezi otorite altında birleştirmesi çağrısında bulundu. Bu yapının kurulması, metnin onaylanmasından itibaren 12 aya kadar sürecek ve bu durum siber saldırıları tespit edecek yeni yapının uygulamaya konulmasını daha da geciktirecek.
Mevzuat, diğer şeylerin yanı sıra, şirketlerin olayları bildirmesini ve bu siber güvenlik politikalarını yönetmede özenli davranmayanlara küresel cirolarının %2'sine kadar ağır cezalar getirilmesini gerektirecek . Bu yükümlülükler, son aylarda İspanya'da yaşanan en dikkat çekici veri ihlallerinin kaynağı olan harici sağlayıcılar için de geçerlidir.
Öte yandan, şirketlerde en fazla huzursuzluğa yol açan unsurlardan biri de, şirket tarafından işlenen herhangi bir ihlalden yönetim kurulu üyelerinin birlikte sorumlu tutulacak olması. Bu durum, büyük şirketlerin üst düzey yöneticilerinin sürece katılımını güçlendirecek bir düzenleme olarak değerlendirilebilir.
Yönetmelikte ayrıca, iletişim ve teknik koordinasyon noktası olarak görev yapacak bilgi güvenliği görevlisi kadrosu da oluşturuluyor. Sorumlulukları arasında siber güvenlik stratejileri ve politikaları geliştirmek ve düzenlemelere uyumu sağlamak yer alıyor.
elmundo
