Avrupa Birliği (AB), Fransa ve İspanya’yı, siber güvenlik alanındaki en kapsamlı düzenlemelerden biri olan NIS 2 Direktifi’ni ulusal yasalarına zamanında aktarmadıkları için Avrupa Adalet Divanı’na (CJEU) sevk etti. Komisyon, her iki ülkenin de Ekim 2024’te sona eren yasal süreyi kaçırdığını belirterek, mali yaptırım talep ediyor. NIS 2, kritik altyapıları ve dijital hizmet sağlayıcılarını kapsayan ortak bir siber güvenlik çerçevesi oluşturmayı hedefliyor. AB içinde dijital egemenlik ve siber dayanıklılık tartışmalarının yoğunlaştığı bir dönemde, bu dava Brüksel’in üye devletler üzerindeki baskısını artırdığını gösteriyor. Fransa ve İspanya’nın savunmaları, yasal sürecin karmaşıklığı ve ulusal parlamentolardaki gecikmelere dayanıyor olsa da, Komisyon bu mazeretleri kabul etmedi.
Gelişmenin arka planı: NIS 2 Direktifi ve önemi
NIS 2 (Ağ ve Bilgi Güvenliği Direktifi), AB’nin siber tehditlere karşı ortak savunmasını güçlendirmek için 2022’de kabul edildi. İlk NIS direktifinin (2016) yerini alan bu düzenleme, enerji, ulaşım, sağlık, bankacılık, içme suyu ve dijital altyapı gibi kritik sektörlerde faaliyet gösteren yaklaşık 160.000 işletmeyi kapsıyor. Şirketlerin siber güvenlik risk yönetimi önlemleri almasını, olay bildiriminde bulunmasını ve tedarik zinciri güvenliğini sağlamasını zorunlu kılıyor. Ayrıca, direktif ulusal siber güvenlik stratejilerinin oluşturulmasını, bilgi paylaşım mekanizmalarının kurulmasını ve denetim yetkilerinin artırılmasını öngörüyor. Fransa ve İspanya, bu kuralları ulusal mevzuata aktarmada geciken 23 üye devlet arasında yer alıyor. Komisyon, daha önce Belçika, Macaristan ve İtalya’ya karşı da benzer adımlar atmıştı. Gecikmenin temel nedeni, direktifin geniş kapsamı ve ulusal parlamentoların yasama takvimindeki yoğunluk olarak değerlendiriliyor. Ancak Brüksel, siber saldırıların artan sıklığı ve karmaşıklığı karşısında üye devletlerin hızlı hareket etmesi gerektiğini vurguluyor.
Bölgesel ve küresel boyut: AB’nin siber güvenlikte ortak cephe arayışı
Bu dava, AB’nin siber güvenlik alanında ortak bir cephe oluşturma çabasının bir parçası. Rusya’nın Ukrayna’ya yönelik saldırganlığı ve Çin’e bağlı hacker gruplarının faaliyetleri, AB’nin siber dayanıklılığını test ediyor. NIS 2’nin tam olarak uygulanması, bloğun kritik altyapılarını korumak ve dijital pazarda güveni artırmak için hayati görülüyor. Aynı zamanda, AB’nin 5G gibi stratejik teknolojilerdeki güvenlik endişeleri, düzenleyici çerçevenin hızla tamamlanmasını gerektiriyor. Fransa ve İspanya’nın yargılanması, diğer üye devletlere de bir uyarı niteliği taşıyor: Brüksel, ortak kuralların uygulanması konusunda taviz vermeye niyetli değil. Öte yandan, bu durum üye devletler ile AB kurumları arasındaki yetki paylaşımı tartışmalarını da alevlendirebilir. Bazı ülkeler, siber güvenlik politikasının ulusal egemenlik alanı olduğunu savunurken, Komisyon bu alanda daha merkezi bir yaklaşımı benimsiyor.
Türkiye Açısından Değerlendirme
AB’nin Fransa ve İspanya’ya yönelik bu yaptırım süreci, Türkiye’nin AB ile siber güvenlik alanındaki işbirliği potansiyeline ışık tutuyor. Türkiye, NIS 2 benzeri bir düzenlemeyi henüz hayata geçirmemiş olsa da, son yıllarda Ulusal Siber Olaylara Müdahale Merkezi (USOM) ve 2020-2023 Ulusal Siber Güvenlik Stratejisi gibi adımlarla kapasitesini artırmıştır. AB’nin ortak standartlar oluşturma çabası, Türkiye’nin AB müktesebatına uyum sürecinde dikkate alması gereken bir gelişmedir. Ayrıca, Türkiye’nin kritik altyapılarının (özellikle enerji ve ulaşım) siber tehditlere karşı korunması, hem ulusal güvenlik hem de bölgesel işbirliği açısından önemlidir. Bu dava, Türkiye’nin AB ile siber güvenlik diyaloğunu hızlandırması için bir fırsat olarak değerlendirilebilir.
