Bülten
Özel uzman ipuçları, kullanıcı raporları ve daha fazlası.
CRITIS'te siber güvenlik yasayla düzenlenmiştir
Şirketler kritik altyapılar (CRITIS) olarak adlandırılan altyapılara aitse, siber güvenlikle ilgili olarak kanunla düzenlenirler, örneğin
- Avrupa Birliği'nde (AB) yüksek düzeyde ağ ve bilgi güvenliği sağlamak için zorunlu bir direktif (NIS-1 ve NIS-2 direktifi) aracılığıyla
- Almanya'da AB NIS direktifini ulusal hukuka aktaran ulusal bir yasa ile.
Tightening the rules
Almanya'da bu yasa "BT Güvenlik Yasası" (2022'den beri 2.0 versiyonu) olarak adlandırılmaktadır ve CRITIS ile ilgili "bireysel yasayı", yani BSI Yasasını veya kısaca BSIG'yi değiştiren bir makale yasasıdır.
BT Güvenlik Yasası 2.0 veya değiştirilmiş BSIG ile Alman CRITIS operatörleri için yükümlülükler daha da katı hale gelmiştir. Yeni tanımlar ve eşik değerler nedeniyle etkilenen şirketler grubu da artmıştır.
Bizim görüşümüze göre, BT Güvenlik Yasası 2.0 ile Almanya, NIS 1 Direktifi'nde olduğu gibi, NIS 2 Direktifi'ni içerik ve zaman açısından "öncelemiştir". Sıkı BT Güvenlik Yasası 2.0'ın yeni NIS 2 Direktifinin bazı kısımlarını zaten uygulamış olması muhtemeldir. Eksik kalan kısımlar ve etkilenen tarafların genişlemesi beklenen çevresi ise muhtemelen bir BT Güvenlik Yasası 3.0 ile ulusal hukuka aktarılacaktır (Güncelleme 07_2023: IT Security Act 3.0 değil, NIS-2 Implementation and Cybersecurity Strengthening Act (NIS2UmsuCG)).
Aynı uygulama senaryosunun, CRITIS şemsiye yasası yoluyla ulusal hukuka uygulanacak olan kritik kuruluşların dayanıklılığına ilişkin AB RCE Direktifi, CER Direktifi için de olası olduğu düşünülmektedir.
Son teknoloji gerekli
CRITIS siber güvenliğine ilişkin tüm düzenlemeler, her zaman, siber güvenlikte aksaklıkları önlemek için uygun kurumsal ve teknik önlemlerin alınmasıyla ilgilidir.
- kullanılabilirlik
- bütünlük
- özgünlük
- ve gizlilik
bilgi teknolojisi sistemleri, bileşenleri veya süreçleri. Bunlar, ağ ve bilgi sistemlerinin yüksek düzeyde güvenliğini sağlamak için teknolojinin mevcut durumuna uygun olmalıdır.
Almanya'da: Üretici / üst tedarikçi tarafından isteğe bağlı garanti beyanı
Almanya'da, 2022 yılından itibaren, CRITIS operatörlerine ek olarak, üreticiler ve yukarı akış tedarikçileri de BSIG Madde 9b paragraf (3) uyarınca kritik bileşenler için isteğe bağlı olarak bir garanti beyanı / güvenilirlik kontrolü sunmalıdır.
Dallmeier sözü
Dallmeier ürünleri ve çözümleri, müşterilerin ve CRITIS operatörlerinin siber güvenlikle uyumlu video güvenlik çözümleri uygulamalarını sağlayan en üst düzeyde teknik önlemlere ve işlevlere sahiptir.
Dallmeier, hukuk ve uyumluluk, veri koruma ve siber güvenlik açısından en yüksek güvenlik seviyesini temsil eder:
- Avrupa'da üretildi, Almanya'da üretildi
- GDPR uyumlu
- AB NIS Direktifi gibi AB çapında siber güvenlik düzenlemeleriyle veya Alman BT Güvenlik Yasası 2.0 / BSIG gibi ulusal düzenlemelerle uyumlu
NIS2 individual requirements
Mirrored in Dallmeier ISO 27001 processes
| NIS2 requirement | NIS2 Directive (EU) | NIS2 Implementation Act / BSIG (Germany) | Dallmeier ISO 27001 | Dallmeier as upstream supplier/manufacturer |
|---|---|---|---|---|
| State of the art | Article 21 (1),EG 85 | § 30 | ISO 27001 = technology-neutral ISO as the basis for state-of-the-art IT security (TeleTrust guideline) + state-of-the-art video surveillance technology + note (*): Dallmeier complies | ✓ |
| Security by Design | Article 21 (2) e) | § 30 | A.5.20, A.5.24, A.5.36, 5.37, A.6.08, A.8.09, A.8.19, A.8.20, A.8.21 | ✓ |
| Supply chain security | Article 21 (2) d),Article 21 (3) | § 30 | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | ✓ |
| Integration chain security | Article 21 (2) d) and e) | § 30 | A.5.19, A.5.20, A.5.21, A.5.22, A.5.23 | ✓ |
| Regular updates and patches | Article 21 (2) e) and g) | § 30 | A.5.35, A.5.36, A.5.07, A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.6.08, A.8.16 | ✓ |
| Authentication and authorization | Article 21 (2) i) and j) | § 30 | A.5.12, A.5.13, A.5.14, A.5.15, A.5.16, A.5.17, A.5.18, A.8.01, A.8.02, A.8.03 | ✓ |
| Cryptography and data encryption | Article 21 (2) f) | § 30 | A.8.20, A.8.21, A.8.22, A.8.24 | ✓ |
| Reporting and vulnerability management | Article 21 (2) e) | § 30 | A.5.07, A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.6.08, A8.07, A8.08, A8.15, A8.16 | ✓ |
| Data protection through IT security | Derivation from Article 20, Article 21 (1), Article 23 (4), EG 14 and 51 | § 30 | in particular: A.5.34 Privacy and protection of personal information (PII) | ✓ |
| Training and awareness measures | Article 20 (1) and (2), Article 21 (2) d) and g); EG 88 and 89 | § 30 | A.5.1, A. 5.2, A.5.3, A.6.3, A. 5.23, A.5.28 | ✓ |
Benefits for NIS2 customers
- Cyber resilience along the entire supply chain
- Proof of NIS2 compliance to regulatory authorities
- Avoidance of downtime costs through stable business continuity
- Avoiding fines for the institution
- Avoiding personal liability for management
(*)
There is no provision in ISO 27001 or in any law that states in a general and binding manner: “Anyone who complies with ISO 27001 automatically complies with the state of the art.”
Why not?
- ISO 27001 is an international management standard for information security management systems (ISMS).
- It defines processes and controls, but it is technology-neutral and does not specify which specific security measures are “state of the art.”
Where does the reference to ISO 27001 ↔ “state of the art” come from?
- Authorities such as the BSI or data protection supervisory authorities often say:
The introduction of an ISMS in accordance with ISO 27001 supports compliance with the state of the art because the standard systematically records security risks and selects appropriate measures. - In practice, ISO 27001 is often accepted as proof that an organization works in a state-of-the-art manner in terms of organization and processes.
- ISO 27001 alone = a good foundation, but does not automatically fulfill “state of the art.”
- Combination of ISO 27001 + current technical security standards = strong evidence.
Daha Fazla Bilgi
AB NIS-2 siber güvenlik direktifi Kasım 2022'den beri yürürlükte:
- AB Parlamentosu çevrimiçi: AB Parlamentosu ve Konseyi NIS-2 taslağını Kasım 2022'de onayladı
- Resmi belge: Birlik içinde yüksek düzeyde ortak siber güvenlik (P9_TA(2022)0383)
AB Kritik Altyapı Dayanıklılık Direktifi Kasım 2022'den bu yana yürürlükte:
CRITIS uzmanlığımız ve temel yetkinliğimiz video teknolojisi
Aşağıda, kendi adımıza ve CRITIS video projeniz için size üç parça bilgi sunmak istiyoruz:
Bilgi 1 / En İyi İpucu: CRITIS Video Teknolojisi için Pratik Kılavuz
- Dallmeier'den CRITIS video teknolojisi pratik kılavuzu güvenlik yöneticileri için genel bir bakış sunuyor (şu anda sadece Almanca dilinde)
- Video teknolojisi konusunda karar vericiler için 80 sayfalık oryantasyon.
- Kişisel kopyanızı buradan talep edin
Bilgi 2 / Blog yazısı "Kritik Altyapı ve Diğer Kilit Sektörler için AB Düzenleyici Çerçevesi" (English)
- AB Direktifleri NIS2 ve RCE/CER neler getirecek
Bilgi 3 / Blog yazısı "CRITIS şemsiye yasası için köşe taşları" (English)
- Odak noktasında fiziksel güvenlik ve düzenlemesi