EN-US 
TR-TR 
Avrupa Ağ ve Bilgi Güvenliği Ajansı (“ENISA”), 13 Eylül 2021 tarihinde sektörel çok paydaşlı bilişim ve iletişim teknolojileri (“ICT”) sistemlerinin siber güvenlik sertifikasyonu için bir Sektörel Siber Güvenlik Değerlendirmeleri Metodolojisi (“SCSA Metodolojisi”) yayımlamıştır. ENISA, özellikle, SCSA Metodolojisi’nin, sektörel ICT altyapıları ve ekosistemleri için Avrupa Birliği (“AB”) siber güvenlik sertifikasyon planlarının hazırlanmasını sağlamak amacıyla geliştirildiğini belirtmiştir. SCSA'nın, özellikle ICT uzmanları, ICT güvenlik uzmanları ve sektörel çok paydaşlı sistemlerden sorumlu karar vericiler ve tedarikçiler olmak üzere uzman düzeyinde bir izleyici kitlesini hedeflediği ve ilgili pazar sektörlerinin örneklerinin mobil ağları, elektronik kimlik, elektronik sağlık hizmetleri, ödemeler, hizmet olarak mobilite, otomotiv ve 5G'yi içerdiği vurgunlamıştır.
CSA kapsamındaki siber güvenlik sertifikasyon çerçevesinin şemaları arasında verimliliği ve tutarlılığı hedefleyen özel gereksinimler öngörülmektedir. Bu gereksinimler ICT hizmetleri, ICT süreçleri veya ICT ürünleri için güvenlik ve güvence gereksinimlerinin, amaçlanan kullanımlarıyla ilişkili riske dayalı olarak tanımlanmasını, güvence seviyelerinin, planlar arasında tutarlı bir şekilde uygulanmasını ve tasarım gereği güvenlik desteğini içermektedir.
Bu kapsamda SCSA Metodolojisi’nin, siber güvenlik sertifikası dağıtımlarının pazarda kabul görmesini amaçladığı ve pazar paydaşları ile Avrupa Birliği Siber Güvenlik Yasası'nın (“CSA”) gereksinimlerini desteklediği açıklanmıştır. Ayrıca ENISA, SCSA Metodolojisi'nin belirli ICT ürünleri, hizmetleri ve süreçlerinin “amaçlanan kullanımı” ile ilişkili risklere dayalı olarak güvenlik ve sertifika gereksinimlerinin tanımlanmasını onayladığını belirtmiştir. Bununla birlikte, SCSA Metodolojisi’nin, ENISA paydaşlarına sektörel ICT sistemleriyle ilgili tüm yönleri içeren kapsamlı bir ICT güvenlik değerlendirme aracı ve ICT güvenliği ile siber güvenlik sertifikasyonu uygulanması için kapsamlı içerik sağladığı vurgulanmıştır.
SCSA Metodolojisi’nin, özellikle ISO/IEC 270xx ve ISO/IEC 15408 serisi olmak üzere geniş çapta kabul görmüş standartlardan yararlanırken, önerilen geliştirmelerin, çok paydaşlı sistemleri ve ICT ürünleri, süreçleri ve siber güvenlik sertifika şemalarıyla ilgili özel güvenlik ve güvence seviyesi gerekliliklerini ele aldığı belirtilmiştir. Bu özelliklere ve işlevlere dayalı olarak, SCSA Metodolojisi, CSA tarafından şart koşulan yukarıda belirtilen gereksinimleri tam olarak destekleme ve siber güvenlik sertifikasının piyasada kabulünü açıklanan şekillerde teşvik etme potansiyeline sahiptir; (i) İş süreçleri, sektörel paydaşların rolleri ve iş hedefleri, bireysel paydaşların ICT alt sistemlerini kapsayarak ekosistem düzeyinde belgelenir. Paydaşlar, iş hedeflerini etkileyebilecek ICT güvenlik risklerinin belirlenmesine ve derecelendirilmesine aktif olarak katkıda bulunmaya davet edilir. (ii) CSA'nın gerektirdiği gibi, planlar arasında güvence seviyelerinin uygulanmasında tutarlılık sağlanabilir. Bu, bir plan bakımından verilen sertifikaların diğer planlarda yeniden kullanılmasına izin verecek, böylece hem ürün ve altyapı hizmet sağlayıcılarının ticari çıkarları hem de müşterileri için önemli bir fayda sağlayacaktır. Aynı zamanda, metodolojinin tutarlılık yaklaşımı, farklı pazarlardan belirli gereksinimlerin bir sonucu olarak ortaya çıkabilecek yeni tür siber güvenlik sertifika programlarının entegrasyonunu destekleyebilmek maksadıyla esnek tutulmuştur. (iii) Güvenlik seviyeleri için ortak bir kavramın tanıtılması, katılan şemalarda yaygın olarak kullanılabilecek kontrollerin tanımını kolaylaştırır. Bunların mevcudiyeti, ICT ürünlerinde, süreçlerinde ve sistemlerinde tanımlanmış güvenlik seviyelerinin uygulanmasının yanı sıra tasarımla güvenliğin getirilmesini önemli ölçüde teşvik edilmesine katkı sağlayabilecektir.
SCSA Metodolojisi’nin çok yönlü yaklaşımı beraberinde birtakım faydalar da getirmektedir. Bu kapsamda öncelikle, ürün ve hizmet sağlayıcıların, ürün ve hizmetlerinin kullanım amacı ile sektörel güvenlik ve güvence gereklilikleri hakkında güvenilir bilgilerden yararlanacakları ve bunun, ürünlerini ve pazar erişimlerini optimize etmelerini sağlayacağı belirtilmiştir. Ayrıca güvenlik önlemlerinin, kritik bileşenlere odaklanarak sektörel sistemin güvenlik mimarisini optimize ederek güvenlik maliyetini en aza indirebileceği de vurgulanmış, SCSA Metodolojisi’nde önerilen risk, güvenlik ve güvence arasındaki tanımlanmış ilişkilerin, çeşitli sektörlere hizmet edebilecek yatay ürün ve hizmetlerin tanımını desteklediği dile getirilmiştir. Ek olarak, SCSA Metodolojisi’nin, ilgili tüm ICT alt sistemleri, bileşenleri veya süreçleri için güvenlik ve sertifika düzeyi gereksinimleri hakkında doğru ve tutarlı bilgiler ürettiği ve bu kapsamda, tedarikçilerin ürünlerini müşterilerinin gereksinimleriyle eşleştirebileceği de faydalar arasında sayılmıştır. Ayrıca, tutarlı bir güvence düzeyleri tanımı olması sebebiyle, diğer siber güvenlik sertifika programlarından alınan sertifikaların yeniden kullanımının desteklendiği belirtilmiştir.
Simge Kılıç, Esra Temur
