NIS2 Directive (EU 2022/2555) 17 Ocak 2023’te yürürlüğe girdi, üye devlet transpozisyonu 17 Ekim 2024’te tamamlandı; 18 sektör + 110.000+ “essential” ve “important” entity kapsamında ve Türk şirketleri AB pazarında faaliyet gösteriyorsa kapsama dahil oluyor.
NIS2 2026: Çerçevenin Stratejik Bağlamı
NIS2 (Network and Information Security Directive 2), AB’nin 2016 NIS Directive’inin köklü bir reformu. Kapsam yedi sektörden 18 sektöre genişledi: enerji, ulaşım, bankacılık, finans, sağlık, içme suyu, atık su, dijital altyapı, ICT servis sağlayıcı yönetimi, kamu yönetimi, uzay, posta/kargo, atık yönetimi, kimyasal üretim, gıda, endüstriyel imalat, dijital sağlayıcılar, araştırma. Entity sınıflandırması: essential (büyük ölçek, kritik sektör, hizmet kesintisi ulusal etki yaratır) ve important (orta ölçek + alt-kritik). 110.000+ AB entity ve bunlarla iş yapan üçüncü taraflar kapsamda.
Üye devletler transpozisyon yasası çıkararak NIS2’yi ulusal mevzuata aktarmak zorunda; pratikte 17 Ekim 2024 takvimini Almanya, Fransa, İtalya, Hollanda gibi büyük üyeler kaçırdı, 2025 boyunca yasalar tamamlanıyor. Türkiye AB üye olmadığı için NIS2 doğrudan uygulanmıyor ancak iki kanaldan ciddi etki yaratıyor: birinci, AB’de yerleşik subsidiary’si olan Türk şirketler subsidiary için uyum sağlamak zorunda. İkinci, AB pazarında dijital servis sağlayan veya kritik sektör müşterilerine satış yapan Türk şirketler “supply chain” sorumluluğu altında.
NIS2 Cybersecurity Risk Management Önlemleri
NIS2 Madde 21, essential ve important entity’lerin uygulamak zorunda olduğu 10 minimum güvenlik önlemini listeliyor: risk analysis ve information system security policy, incident handling, business continuity (backup management, disaster recovery, crisis management), supply chain security, network and information systems acquisition/development/maintenance (security including vulnerability handling), policies and procedures for assessing the effectiveness, basic cyber hygiene + training, cryptography ve encryption, human resources security ve access control ve asset management, MFA/SSO/protected communications.
| Önlem Kategorisi | Madde 21 § | Implementation Standardı | Tipik Süre | Audit Kanıtı |
|---|---|---|---|---|
| Risk analysis + ISMS policy | 2(a) | ISO/IEC 27001:2022 | 6-12 ay | Sertifika + risk register |
| Incident handling | 2(b) | SOC + ENISA NIS2 playbook | 3-6 ay | Incident response plan + drill |
| Business continuity | 2(c) | ISO 22301 + DR plan | 6-9 ay | RTO/RPO test sonuçları |
| Supply chain security | 2(d) | ISO 27036 + SBOM + SLSA | 4-9 ay | Vendor risk register |
| Vulnerability handling | 2(e) | VDP + bug bounty | 3-6 ay | Disclosure policy + scan reports |
| Effectiveness assessment | 2(f) | Internal audit + pentest | Yıllık döngü | Audit report |
| Cyber hygiene + training | 2(g) | Phishing sim + e-learning | Sürekli | Training metrikleri |
| Cryptography | 2(h) | NIST + ETSI guidelines | 4-8 ay | Crypto inventory + policy |
| HR + access control | 2(i) | IAM + PAM + onboarding | 4-9 ay | IAM audit log |
| MFA + secure comms | 2(j) | FIDO2 + TLS 1.3 + SBC | 2-6 ay | MFA coverage report |
Incident Reporting ve 24-Saatlik Bildirim Yükümlülüğü
NIS2 Madde 23 sıkı incident reporting takvimi getiriyor: significant incident’i fark ettikten 24 saat içinde early warning, 72 saat içinde incident notification (initial assessment), 1 ay içinde final report. “Significant incident” tanımı: servis kesintisi, finansal etki, fiziksel etki, müşteri sayısı etkisi gibi kriterlerle değerlendiriliyor. National CSIRT + competent authority + (gerekirse) ENISA paralel bildirim alıyor. Cross-border etki olan olaylar için diğer üye devlet CSIRT’leri de dahil oluyor.
- Early warning (24h): Olay tipi, kötü amaçlı/diğer ayırımı, geographic etki tahmini
- Incident notification (72h): İndicator of compromise (IoC), severity güncellemesi, mitigation ölçütleri
- Intermediate report (talep üzerine): Detaylı durum güncellemesi, root cause hipotezi
- Final report (1 ay): Root cause analizi, applied mitigation, lessons learned, geleceğe yönelik koruma
İlgili konu: Incident response SOC playbook rehberi
Supply Chain Security Yükümlülüğü ve Türk Şirketler İçin Etki
NIS2’nin en transformatif maddesi supply chain security (Madde 21 §2(d)). Essential ve important entity’ler tüm ICT supply chain’lerini değerlendirmek, third-party risk register tutmak, sözleşmesel garantiler almak zorunda. Türk yazılım üreticileri, SaaS sağlayıcılar, MSP’ler AB’de essential entity’ye satış yapıyorsa: SBOM (CycloneDX/SPDX), SLSA Provenance, ISO 27001 sertifikası, incident reporting taahhüdü, audit hakları sözleşmeye girmek zorunda. ENISA 2024 boyunca “Cybersecurity Maturity Model” geliştirdi; 5 seviyeli maturity assessment supply chain risk yönetiminde kullanılıyor.
Pratik etki: Türk SaaS şirketleri 2025-2026’da AB müşterilerinden detaylı cybersecurity questionnaire almaya başladı. Tipik soru seti: SOC 2 Type II veya ISO 27001 sertifikası var mı, vulnerability disclosure policy var mı, MFA enforcement durumu, encryption-at-rest ve in-transit, third-party CSP listesi (AWS region, GCP, Azure), data residency garantisi, audit log retention süresi. Bu sorulara olumsuz cevap satış kaybına dönüşüyor.
Yaptırımlar, Yönetici Sorumluluğu ve Maliyet Profili
NIS2 cezaları sektörlere göre değişiyor: essential entity için maksimum 10 milyon euro veya küresel yıllık cironun yüzde 2’si (hangisi yüksekse), important entity için 7 milyon euro veya yüzde 1,4. Cezalar dışında üye devletler “temporary suspension of certification”, “temporary prohibition” gibi enstrümanlara sahip. En kritik yenilik: yönetim sorumluluğu (Madde 20) — board veya executive management cybersecurity training almak zorunda, cybersecurity önlemlerini onaylamak ve uygulamasını gözetmek zorunda. Kişisel sorumluluk Almanya, Fransa gibi ülkelerde meaningfully uygulanıyor.
| Maliyet Kategorisi | Small entity (50-250 emp) | Medium (250-1000) | Large (1000+) |
|---|---|---|---|
| İlk uyum yatırımı | €100-300K | €500K-2M | €2M-15M |
| Yıllık operasyon | €50-150K | €200-700K | €800K-5M |
| ISO 27001 sertifika | €20-50K | €50-120K | €100-250K |
| SOC kurulumu | €50-200K | €300K-1M | €1M+ (MSSP veya iç) |
| Cybersecurity sigortası primi | €10-40K | €50-200K | €200K-1M |
Sektörel Uygulamalar: Dijital Altyapı, Sağlık, İmalat
Dijital altyapı sektörü (DNS, TLD, IXP, CSP, data center, content delivery, cloud) en yoğun NIS2 yükümlülüklerine tabi; ENISA Threat Landscape 2024 raporu bu sektörü “most targeted” olarak tanımlıyor. Sağlık sektöründe hastane bilgi sistemleri (HIS), medikal cihazlar, ilaç tedarik zinciri NIS2 kapsamında; MDR ve IVDR ile birlikte çift uyum gerekiyor. İmalat sektöründe OT/IT yakınsaması NIS2’nin getirdiği özellikle önemli; IEC 62443 (industrial cybersecurity) NIS2 uyumu için fiili standart. ENISA NIS2 portalı rehber dokümanları yayınlıyor; EC NIS2 sayfası resmi metni ve implementation status’u takip ediyor.
Türk Şirketler için NIS2 Uyum Yolculuğunda Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Scope belirsizliği: “Biz kapsamda mıyız?” sorusu için sistematik analiz eksik; AB subsidiary, AB müşterileri ve supply chain bağlantıları hep birlikte değerlendirilmeli
- ISO 27001 sertifikasyon gecikmesi: AB müşterilerinin sertifikayı sözleşmede istemesi tipik; süreç 9-15 ay alıyor, geç başlanırsa kontrat kaybı oluyor
- 24-saat incident reporting: SOC altyapısı NIS2-spesifik playbook ile beslenmemiş; regulatory tagging, multi-jurisdiction reporting süreci eksik
- Supply chain questionnaire fatigue: Her müşteri farklı format soruyor; SIG, CAIQ, ISO 27001 sertifikası ile birleşik trust package hazırlanmıyor
- Board cybersecurity training: Yönetim seviyesinde NIS2 farkındalığı düşük; CISO board reporting takvimi kurulmamış
- Cybersecurity sigortası: NIS2 uyumu prim azalttığı halde policy renewal sırasında compliance kanıtı sunulmamış
Sonuç
NIS2 Directive, AB’nin cybersecurity mevzuatını yeni bir seviyeye çıkardı ve etki yalnızca AB entity’leri ile sınırlı kalmıyor. Türk şirketleri için üç yoldan kapsama giriyorlar: AB’de yerleşik subsidiary, AB pazarında dijital servis sağlama, AB kritik sektör müşterilerine satış. Her üç durumda da pratik yol haritası aynı: birinci, kapsam analizi yapın ve uyum gerekliliklerini hukuki danışmanlık ile netleştirin. İkinci, ISO 27001:2022 sertifikasyonu yolculuğunu başlatın (NIS2’nin 10 önleminin büyük bölümünü karşılıyor). Üçüncü, vulnerability disclosure policy, MFA enforcement, SBOM üretim pipeline gibi hızlı kazanımları 6 ay içinde tamamlayın. Dördüncü, SOC altyapısını NIS2 incident reporting süresine (24h/72h/1 ay) hazır hale getirin. Beşinci, board seviyesinde cybersecurity yönetişim modelini kurun. 12-18 aylık bir uyum projesi ile Türk şirketleri AB pazarındaki rekabet pozisyonunu koruyor, aynı zamanda BDDK, KVKK ve TÜBİTAK BİLGEM rehberlerinin de model aldığı bu çerçeveye uyum sağlayarak yerel pazardaki güvenlik olgunluğunu da yükseltiyor. NIS2 yatırımı stratejik bir compliance harcaması değil, sürdürülebilir uluslararası iş geliştirmenin teknik temeli.
Sıkça Sorulan Sorular
Türk şirketleri NIS2 kapsamına nasıl giriyor?
Üç kanaldan: AB’de yerleşik subsidiary üzerinden doğrudan, AB pazarında dijital servis sağlayarak (cloud, SaaS, MSP), veya AB kritik sektör müşterilerine satış yaparak supply chain üzerinden. Üçüncü kanal en yaygın; AB müşterileri sözleşmesel cybersecurity garantisi talep ediyor.
NIS2 vs GDPR farkı nedir?
GDPR kişisel veri koruması odaklı (data protection authority denetim); NIS2 network ve information system güvenliği odaklı (national CSIRT + competent authority denetim). İki çerçeve örtüşüyor ancak ayrı yükümlülükler. İhlal durumunda iki ayrı ceza süreci tetiklenebiliyor.
24-saatlik incident bildirimi nasıl sağlanır?
SOC ekibinde NIS2-spesifik playbook (severity assessment, regulatory tagging, multi-jurisdiction routing), incident management platformunda (ServiceNow Security, Splunk SOAR, Tines) otomatik triage rule’ları, hukuki/regülasyon ekibi ile pre-approved bildirim template’leri. İlk 4 saat içinde decision-tree çalışacak şekilde tasarım.
ISO 27001 sertifikası NIS2 uyumu için yeterli mi?
Yeterli değil ama büyük bir taban sağlıyor. NIS2’nin 10 önleminin yaklaşık yüzde 80’i ISO 27001:2022 kontrolleriyle örtüşüyor. Ek olarak: 24-saat incident reporting, supply chain risk assessment, board governance ve cybersecurity training NIS2-spesifik yükümlülükler için ek çalışma gerekiyor.
NIS2 cezası ne kadar?
Essential entity için maksimum 10 milyon euro veya küresel yıllık cironun yüzde 2’si (hangisi yüksekse), important entity için 7 milyon euro veya yüzde 1,4. Cezalar dışında temporary suspension, prohibition gibi enstrümanlar var. Yönetim sorumluluğu kapsamında executive kişisel hesap verebilirlik söz konusu.
Ömer Önal
Mayıs 23, 2026NIS2 Türk şirketleri için stratejik bir compliance harcaması değil, sürdürülebilir uluslararası iş geliştirmenin teknik temeli. AB subsidiary, AB pazarında dijital servis veya AB kritik sektör müşterileri üç giriş kanalı. ISO 27001:2022 sertifikasyon yolculuğu paralelinde başlatılan 12-18 aylık uyum projesi orta ölçekli kurum için yeterli; vulnerability disclosure, MFA enforcement, SBOM ve SOC altyapısı hızlı kazanım. BDDK ve KVKK paralel mevzuatına da çevresel etki yaratıyor.