Almanya, İçişleri Bakanlığı’na (Bundesministerium des Innern und für Heimat) ek yetkiler veren, “kritik altyapı” (enerji, ulaştırma, finans, sağlık, dijital altyapı) işletmecilerini siber güvenlik ve fiziksel güvenlik önlemlerini artırmaya mecbur eden yeni kanunu (KRITIS law – kritische Infrastrukturen) onayladı.
Bu kurallar, AB’nin NIS2 Direktifi‘ni uyguluyor ve hükümete, güvenlik riski taşıdığı düşünülen belirli üreticilerin bileşenlerinin kullanımını yasaklamak veya kısıtlamak için yeni araçlar sağlıyor.
Yasa, İçişleri Bakanlığı’nın, özellikle enerji şebekeleri ve ulaştırma ağları gibi sektörlerde geçerli olan yabancı tedarikçiler de dahil olmak üzere belirli tedarikçiler için pazara erişim kısıtlamaları getirmesine olanak tanıyor. Almanya’nın kritik altyapı kapsamına soktuğu sektörler, enerji, ulaşım, finans, sağlık, su tedariği ve 500 binden fazla insana hizmet eden altyapılar olarak veriliyor.
Bu yasa, Almanya’nın kritik altyapı üzerinde, riskli tedarikçileri –şu anda tedarikçi tabanı genellikle Çinli teknoloji firmaları– aktif olarak dışlamaya doğru ilerlediğinin bir işareti olarak görülüyor. Almanya’da şu anda sürmekte olan Nexperia B.V. (Hollanda merkezli ancak Çin kontrolünde) ve Huawei Technologies Co., Ltd. ve ZTE Corporation hakkındaki önceki tartışmalar göz önüne alınırsa, bu yasa telekom + altyapı ekipman tedarikine fiilen bir ulusal güvenlik ekseni ekliyor. Bu büyük bir politika değişikliğini temsil ediyor; Yani ekipman seçimi artık sadece ticari veya teknik değil, jeopolitik hale dönüşüyor.
Yasa, hâlâ düzenlemelerin uygulanmasını da gerektiriyor (“riskli tedarikçiler” kriterleri, eşikler, geçiş zaman çizelgeleri). Dolayısıyla, yasanın tam etkisi, Almanya’nın “riski” nasıl tanımladığına ve hangi tedarikçilerin hedeflendiğine bağlı olacak. Kritik tesislerin belirlenmesi, risk ve dayanıklılık planları hazırlanması, fiziksel ve siber güvenlik önlemlerin uygulanması, büyük kesintilerin ve olayların bildirilmesi gerekiyor.
Yasa “kritik altyapı”ya odaklansa da, henüz Çinli firmaları isim vererek dolaylı olarak hedef almıyor. Sadece siyasi açıklamalarda kapsam dahilinde oldukları anlaşılıyor. Yasanın kendisi tedarikçi odaklı değil. Güvenlik bağlamında Rusya ve Çin’den bahsedilerek, devlet aktörlerinden kaynaklanan sabotaj ve siber saldırılar kaydediliyor.
Henüz sesleri çıkmasa da, sektörlerden, alternatif tedarikçilerin maliyetine ve mevcutluğuna bağlı olarak tepki bekleniyor. Sonuçta 11 eylülden bu yana gelen tartışmaların bir başka boyutu da bu; yani güvenlik en önde mi? uygun tedarik feda edilebilir mi?
Alman altyapı operatörlerinin ekipman tedarik zincirlerini denetlemesi, muhtemelen ağları yeniden tasarlaması ve mevcut Çin teknolojili bileşenleri değiştirmesi gerekecek. Almanya’daki bir ağ, enerji şebekesinde veya ulaşım sinyalizasyonunda Çin telekomünikasyon ekipmanları kullanıyorsa, yasa bu parçaların iyileştirilmesini veya kapatılmasını zorunlu kılabilir. Bu durum maliyet, zaman ve kesinti riskini artıracak.
Almanya’daki düzenlemeye benzer dışlayıcı rejimleri değerlendiren diğer AB ülkeleri için bir model teşkil edebilir. Örneğin Türkiye, AB tedarik, finansman ağlarına katılmak istiyorsa, bu kurallara uyum sağlamak için artan bir teşvik ve baskı ile karşı karşıya kalabilir.
Kaynak : 