NIS 2 · DORA · Cyber Resilience Act

Siber savunma olaydan sonra dayatılmaz, olaydan önce inşa edilir

Fransa'nın ulusal siber ajansı aynı anda dört yasal rejim arasında yol alıyor ve görev alanını yirmi kat genişletiyor. Yaptırım ancak bir olay gerçekleştikten sonra harekete geçebildiği için, bu kadar büyümüş bir ekosistemi savunmak, onu inşa edebilecek her aktör tarafından ihtiyaç doğmadan önce oluşturulan eğitim, araç ve kadro kapasitesine bağlıdır.

Fransız teknoloji yayını Clubic ile Haziran 2026'da yapılan bir söyleşide, ANSSI genel müdürü Vincent Strubel, içindeki herhangi bir tek maddeden çok, aynı anda üzerinde duran bunca zorlu maddenin sayısıyla dikkat çeken bir siber yönetişim gündemini anlattı (Belfiore 2026). Aynı konuşmada şifrelemenin ve yasal erişimin geleceğine, bulut sağlayıcılarının nitelendirilmesine, gelecek on yılın içlerine kadar sürecek kuantum sonrası bir geçişe, dijital yönetişim için yeni oluşturulan bir koordinasyon kurumuna ve düzenlemeye tabi kuruluşların nüfusunu yirmi kat ya da daha fazla katlayacak bir direktife değindi. Dikkatle okunduğunda söyleşi, bir durum raporundan çok, soğukkanlılıkla taşınan zorlu bir konumun portresidir ve siber savunma hakkında açıkça söylenmeye değer yapısal bir şeye işaret eder. Yaptırım ve iyileştirme, doğaları gereği, olaydan sonra harekete geçer. Sonrasında olacakları biçimlendirebilirler ama kendilerini tetikleyen olayı geri alamazlar. Bu tek gözlem, çok daha büyük düzenlemeye tabi bir nüfusun gerçekte nasıl savunulacağı sorusunun tamamını yeniden çerçeveler ve özel kapasiteden gelecek yararlı yanıtın, görevlendirilmeyi beklemek değil, alandaki herkesin zaten paylaştığı bir amaca doğru ihtiyaçtan önce kapasite inşa etmek olduğunu düşündürür.

Düzenleyici manzara ve her yetkiyi gerçekte kimin elinde tuttuğu

Fransız ve Avrupa Birliği siber yönetişimi artık dört örtüşen yasal aracı kapsıyor ve önemlisi, dördünü de tek bir otorite elinde tutmuyor. LPM (loi de programmation militaire) ve NIS 2 (İkinci Ağ ve Bilgi Güvenliği Direktifi) ANSSI'nin kendi doğrudan yetki alanında yer alır. Fransa'da DORA (Dijital Operasyonel Dayanıklılık Yasası) denetimi, bankalar ve sigortacılar için ACPR (Autorité de Contrôle Prudentiel et de Résolution), varlık yöneticileri ve piyasa altyapıları için ise AMF (Autorité des Marchés Financiers) elindedir (Autorité de contrôle prudentiel et de résolution 2026; Autorité des marchés financiers 2026). CRA (Cyber Resilience Act) kapsamındaki piyasa gözetimi ANFR (Agence Nationale des Fréquences) elindedir; ANSSI yalnızca uygunluk değerlendirme kuruluşlarını akredite etmekten sorumlu bildirim otoritesi olarak hareket eder ki bu, piyasa gözetiminin kendisinden farklı bir roldür (ANFR 2026; ANSSI 2026a). ANSSI, NIS 2 uyumu için operasyonel temel olarak ReCyF'yi (Référentiel Cyber France, sürüm 2.5) 17 Mart 2026'da yayımladı ve yirmi zorunlu güvenlik hedefi belirledi (Ledieu-Avocats 2026).

Bu eşleme, hem pratik hem de adil bir nedenle önemlidir. Pratik olarak, dört çerçeve arasında geçiş yapan bir okuyucunun hangi soru için hangi otoriteye başvuracağını bilmesi gerekir. Adil olarak, ANSSI'nin tek başına kontrol etmediği rejimler arasında ulusal bir duruşu koordine ettiğini ortaya koyar; bu da konumunu eksik değil, zor kılan şeyin bir parçasıdır.

Zorlu, çok cepheli bir görevin biçimi

Strubel söyleşisini okumanın en doğru yolu, onu bir eşzamanlılık tasviri olarak görmektir. Birkaç zorlu program aynı anda, her biri kendi saatiyle, yürürlüktedir. Şifreleme ve yasal erişim sorununu Strubel'in kendisi nihayetinde teknik değil siyasi olarak niteler; bu da çözümünü herhangi bir ajansın mühendislik denetiminin dışına, mevzuatın ve kamusal tartışmanın daha yavaş işleyen mekanizmasının içine yerleştirir (Belfiore 2026). Kuantum sonrası geçiş, uzun ömürlü gizli veri tutan her kuruluşa dokunan çok yıllı bir kriptografik geçiştir. Yeni bir koordinasyon kurumunun oluşturulması, dijital yönetişimin daha da parçalanmasına izin vermek yerine onu birleştirme çabasına işaret eder. Ve tüm bunların altında, Strubel'in yaklaşık 500 düzenlemeye tabi kuruluştan tahmini 10.000 ile 15.000 arasına bir geçiş olarak koyduğu NIS 2 kapsam genişlemesi işler (Belfiore 2026).

Bunlardan herhangi biri tek başına kayda değer bir program olurdu. Bir arada taşındığında, yalnızca ikisini ANSSI'nin doğrudan kontrol ettiği rejimler boyunca, iyi taşınması gerçekten zor bir görevi tanımlarlar. ANSSI bunu nasıl taşıdığı konusunda açık ve tutarlı oldu: her sunucunun arkasında konuşlanmış bir ajan kurgusuyla değil, önce refakat eden, rehberlik güdümlü bir duruşla. Bu, gerçek kısıtlar altında rasyonel bir seçimdir ve bu yazı onu tam da öyle alır, zor bir görev için meşru bir strateji olarak, bir şeyin eksik olduğunun kanıtı olarak değil.

Yaptırım yapısı gereği tepkiseldir

O görevden, değerlendirici değil yapısal bir gözlem çıkar. Yaptırım ve iyileştirme, doğaları gereği, sonradan gerçekleşen şeylerdir. Bir denetim bulgusu, zaten var olan bir durumu belgeler. Bir yaptırım, zaten meydana gelmiş bir ihlale yanıt verir. Bir iyileştirme emri, zaten çökmüş bir sistemi geri getirir. Bu araçların her biri değerlidir ve her biri gelecekteki davranışı biçimlendirir ama hiçbiri geriye uzanıp kendini tetikleyen olayı önleyemez. Bu, ANSSI'nin ya da herhangi bir düzenleyicinin bir özelliği değildir. Yaptırımın kendisinin bir özelliğidir.

Sonucun doğrudan söylenmesi gerekir çünkü gözden kaçması kolaydır. ANSSI, bir saldırının sürdüğü anda sistemleri savunan bir kurum anlamında bir iyileştirme ajansı değildir ve yapısal olarak da olamaz. Hiçbir yaptırım otoritesi olamaz. Gerçek zamanlı siber savunma, yani bir olay canlıyken gerçekleşen fiili tespit, çevreleme ve kurtarma, etkilenen kuruluşların içinde ve o an ellerinde bulunan uygulayıcılar ile araçlarca yürütülür. Yaptırım, bu kuruluşların tabi tutulduğu standardı belirler. Ama standart sınandığında ihtiyaç duydukları yeteneğin yerini tutmaz ve tutamaz. Bunu kabul etmek, birinin ne kadar yaptırım uyguladığının eleştirisi değildir. Yaptırımın ne işe yaradığının bir açıklamasıdır.

Yirmi kat daha büyük bir ekosistemi savunmak neyi gerektirir

Önceki iki noktayı bir araya getirin. Kendini savunması beklenen kuruluşların nüfusu yirmi kat ya da daha fazla büyüyor ve devletin devreye sokabileceği başlıca araç, yani yaptırım, savunmayı bizzat yapmaktan yapısı gereği acizdir. Bu yüzden pratikte savunma, yaptırımın talep üzerine üretemeyeceği bir şeye bağlıdır: kapasite. Kontrolleri uygulayabilen ve işletebilen insanlar. Bir denetimden önce telaşla derlenen değil, kanıtı sürekli kılan araçlar. Bir kuruluşa kapsama girdiğini bulmasından önce, sonrasında değil, ulaşan eğitim. Ve bunların tamamı ihtiyaçtan önce var olmalıdır çünkü bir olaydan sonra inşa edilen yetenek, tanımı gereği, o olay için çok geç inşa edilmiştir.

Kamusal rehberlik bu yanıtın gerçek bir parçasıdır ve öyle takdir edilmelidir. ANSSI'nin ReCyF kapsamındaki kendi refakat materyalleri, rehberlik belgeleri, web seminerleri ve referansa yazılmış bir eğitim yükümlülüğü dahil, doğrudan kuruluşların yaptırım tarihleri gelmeden kapasite inşa etmesine yardımı hedefler (ANSSI 2026b). Ama yirmi kat genişlemenin aritmetiği acımasızdır ve hiçbir tek kurum, ne kadar iyi yönetilirse yönetilsin, bu büyüklükte bir ekosistem için tüm eğitim, araç ve kadro eğrisini, düzenlemenin belirlediği takvimde tedarik edemez. Bu kimsenin kusuru değildir. Ortak bir sorundur ve en iyi öyle ele alınır.

Bu zamanlama sorununun ardında iyi gelişmiş bir yönetim bilimi birikimi vardır. Sistem dinamiği geleneğinde çalışan (Sterman 2000) John Sterman ve Nelson Repenning, Massachusetts Institute of Technology'de yetenek tuzağı adını verdikleri şeyi biçimlendirdiler: yetenek inşasına yatırım yapan bir kuruluş, performansının iyileşmeden önce düştüğünü görür, bu iyileşmeden önce kötüleşme yoludur; yalnızca daha çok çalışan bir kuruluş ise performansı aşınmadan önce kısa vadeli bir rahatlama kazanır, bu kötüleşmeden önce iyileşme yoludur ve modelleri bu ayrışmayı zaman içinde birbirinden uzaklaşan iki kapasite eğrisi olarak izler (Repenning and Sterman 2002). Daha önceki çalışmaları insani engeli daha başlığında dile getirir: hiç yaşanmamış sorunları çözdüğü için kimse asla takdir görmez (Repenning and Sterman 2001). Yaklaşan NIS 2 kapsam genişlemesiyle yan yana konduğunda çıkarım doğrudandır. Yirmi kat daha büyük bir ekosistemi savunma kapasitesi, önlediği olaylardan önce ve tam da hiçbir görünür krizin bu harcamayı henüz haklı çıkarmadığı anda, iyileşmeden önce kötüleşme yolu boyunca inşa edilmek zorundadır. Bu dinamiği kendi gözleriyle görmek isteyen okuyucular, onu CCI Sistem Dinamiği kursunun, yetenek tuzağına dair 13. modülünde etkileşimli olarak inceleyebilir.

İyiliksever ortak: sorulmayı beklemeden kapasite inşa etmek

Özel kapasitenin, oynamak için tutulmasına bağlı olmayan bir rolü tam da burada vardır. Eğitim içeriği, araçları ya da yetenekli uygulayıcıları olan bir firmanın, herhangi bir belirli sözleşme, denetim görevi ya da düzenleyici tetikleyiciden bağımsız olarak, bu kapasiteyi şimdi inşa etmeye ve paylaşmaya yatırım yapmak için basit bir nedeni vardır: ortak amaç, yani yirmi kat daha büyük bir ekosistem boyunca gerçekten işleyen siber savunma, sonunda kimin ne için ödeme yaptığından bağımsız olarak o yatırımla hizmet görür. Bu akıl yürütmeye göre hareket eden, masada bir işlem olduğu için değil sorun gerçek olduğu için kapasiteye katkıda bulunan bir ortak, bu yazının iyiliksever ortakla kastettiği şeydir. Sözcük süs olarak değil, gerçek anlamıyla kullanılmıştır. Bunun sınavı, katkının, o kuruluş hiç müşteri olsun olmasın, bir kuruluşa yararlı olup olmadığıdır.

Cambridge Cyber International (CCI), böyle ortaklardan biri olarak hareket etmeyi amaçlar ve bunu yapabilecek ve yapması gereken birçok katkı sağlayıcıdan biri olduğu konusunda açıktır. Duruşu kasıtlı olarak yalındır: suçu dağıtmak yerine eğitmek, yetiştirmek ve araçlandırmak. Pratikte bu, zaten inşa ettiği iki şeye çözülür. İlki, eğitimi, ekiplerinin ihtiyaç duyacağı siber becerileri inşa eden herhangi bir kuruluşa, o kuruluşun kapasitesinin geri kalanını daha sonra nereden tedarik ettiğinden bağımsız olarak yararlı olan Academy'sidir. İkincisi, aynı fikri araç tarafına taşıyan ve bir dizi hazırlık işlevini tek yerde bir araya getiren CySSURANCE paketidir: otomatik kanıt toplama, kurumsal mimari modelleme, dayanıklılık hesaplama, mali kayıp değerlendirmesi, kadro değerlendirmesi, bilgi ve iletişim teknolojisi (ICT) tatbikatları, önceliklendirilmiş iyileştirme, tedarikçi yönetimi, denetim hazırlığı ve yönetim kurulu düzeyinde panolar. Bir arada ele alındığında eğitim, yetiştirme ve araçlandırma, kapsam genişlemesinin katladığı denetim hazırlığı ve iş gücü yüklerini karşılar; bu da tam olarak bir olaydan sonra değil, ihtiyaçtan önce yapılması gereken iştir. Bunlar burada, argümanın amacı olarak değil, bir örneği olarak anılmaktadır. Argüman, okuyucu ister CCI ile ister emsallerinden biriyle çalışsın, isterse kapasiteyi tamamen kendi içinde inşa etsin, geçerliliğini korur.

Karşı argümanlar ve sınırlamalar

Bariz itiraz, kendi tekliflerini iyiliksever katkı olarak niteleyen bir firmanın aslında daha nazik bir üslupla reklam yaptığıdır. Bu itiraz bir güvence değil, gerçek bir yanıt hak eder. Yanıt, okuyucunun uygulayabileceği bir sınavdır: katkı, hiçbir şey satın almayan bir kuruluşa yardım ediyor mu? Bir sözleşmeye yol açsın açmasın bir ekibin hazırlığını yükselten eğitim, paraya çevrilsin çevrilmesin doğru olan rehberlik ve bir rakibin ya da kurum içi bir yapının daha uygun olduğu durumlar hakkında dürüstlük, hepsi o sınavı geçer; satın alınmadıkça işe yaramayan bir kaynak ise sınıfta kalır. Okuyucular bu yazıyı ve CCI'yi o standarda tabi tutmaya hak sahibidir.

İkinci bir itiraz, özel kapasitenin kamu otoritesinin yerini tutamayacağı ve tutmaya çalışmaması gerektiğidir. Bu doğrudur ve buradaki hiçbir şey bunu önermez. Argüman tamamlayıcıdır, ikame değil. ANSSI'nin görevi, standart belirlemesi ve koordinasyonu, tam da özel aktörlerin sağlayamayacağı ve sağlamaması gereken şeylerdir. İddia daha dardır: yaptırımın gerçekleştiremediği gerçek zamanlı savunma kapasiteden inşa edilir ve bu kapasite birden fazla yönden katkı görebilir ve görmelidir.

Üçüncü ve daha sıradan bir sınırlama kaynakla ilgilidir. Bir söyleşi yasal bir belge değildir ve belirli rakamlar ile tarihler, tam kapsam sayıları ve NIS 2 aktarım yasasının durumu dahil, nihai hâllerini aldıklarında birincil metinlere karşı çapraz kontrol edilmelidir. Aktarım takvimi özellikle herhangi bir yürütme ajansının değil, Fransız Parlamentosu'nun elindedir. Bunların hiçbiri, herhangi bir tek tarihe dayanmayan yapısal argümanı değiştirmez ama ayrıntılar üzerine hareket etmeden önce onları doğrulamak için bir nedendir.

Uygulama veya politika sonuçları

Bir yönetim kurulu ya da CISO için, savunmayı olaydan sonra dayatılan değil, ihtiyaçtan önce inşa edilen bir şey olarak ele almanın pratik sonucu, sıralamada bir değişikliktir. Kapasite kararları, kimin eğitileceği, hangi araçların kanıtı sürekli kıldığı, kadronun nasıl ölçekleneceği, yaptırım tarihine yanıt olarak değil, ondan önce öne çekilir. Somut olarak bu, kapsama dahil edilme onaylanmadan önce iş gücü hazırlığına başlamak, sürekli kanıt toplamayı bir denetim öncesi sprint değil, sürekli bir yetenek olarak ele almak ve kadroyu, en büyük yeni düzenlemeye tabi kuruluş kohortunun tam da aynı becerilere el uzattığı anda en gergin olacak bir iş gücü piyasasına karşı planlamak demektir.

İlgili kapasiteye sahip özel aktörler için sonuç, talepten önce katkıda bulunma davetidir: eğitimi, yetiştirmeyi ve araçlandırmayı bir satıştan bağımsız olarak yararlı kılmak ve bunu açıkça belirtmek. CCI'nin Academy'si ve CySSURANCE paketi bu ruhla, tek yol olarak değil, birçok seçenek arasında seçenekler olarak sunulur ve sağlayıcı seçimi, kapasiteyi ihtiyaç duyulmadan önce inşa etme olgusundan çok daha az önemlidir.

Kamu-özel ilişkisinin bütünü için sonuç, bir kayıt değişikliğidir. Verimli çerçeve, kimin yeterince yapıp yapmadığının bir defteri değil, ortak bir amaçtır, yani pratikte işleyen siber savunma. Pratik ifadesi açıktır: olay sonrası suç dağıtmak yerine ihtiyaçtan önce eğitmek, yetiştirmek ve araçlandırmak. Yaptırım ve katkı rakip değildir. Aynı girişimin farklı parçalarıdır.

Sonuç

ANSSI gerçekten zorlu bir görevi yürütüyor, dört yasal rejim, tek başına çözemeyeceği siyasi bir tartışma, çok yıllı bir kriptografik geçiş, yeni bir koordinasyon kurumu ve yirmi kat büyüyen düzenlemeye tabi bir nüfus, ve bu görevi gerçek kısıtlar altında seçilmiş, önce rehberlik eden tutarlı bir stratejiyle yürütüyor. Konumunu dürüstçe okumak, eleştirel değil, yapısal bir sonuca götürür: yaptırım ancak bir olaydan sonra harekete geçebildiği için, o anda önem taşıyan savunma önceden, ihtiyaçtan önce var olması gereken bir kapasiteden inşa edilir. O kapasite, herhangi bir tek kurumdan daha büyük, ortak bir sorundur ve en iyi, katkıda bulunabilecek herkes tarafından, birden fazla yönden, tüm alanın zaten ortak tuttuğu bir amaca hizmet ederek karşılanır. Öyleyse özel kapasite için yararlı duruş, görevlendirilmeyi beklemek değil, karşılığında özel bir şey beklemeden, talepten önce inşa etmek ve paylaşmaktır, çünkü daha iyi savunulan bir ekosistem zaten karşılığın kendisidir. Siber savunma olaydan önce inşa edilir. Yapılmaya değer iş, inşa etmektir.

Nereden başlamalı

Ekipleriniz gelecek için siber hazırlık inşa ediyorsa, CCI ile bir daha çalışsanız da çalışmasanız da, CCI Academy açık bir başlangıç noktasıdır. Eğitimi kendi başına yararlıdır. Onu bir varış noktası değil, açık bir kapı olarak düşünün.

CCI Academy'yi keşfedin →

References

Agence Nationale des Fréquences (2026). Cyber Resilience Act. https://www.anfr.fr/proteger/equipements-radio-electriques/cyber-resilient-act

ANSSI, cyber.gouv.fr (2026a). Cyber Resilience Act. https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act/

ANSSI, cyber.gouv.fr (2026b). NIS 2: l'ANSSI poursuit et renforce sa dynamique d'accompagnement. https://cyber.gouv.fr/actualites/nis-2-lanssi-poursuit-et-renforce-sa-dynamique-daccompagnement/

Autorité de contrôle prudentiel et de résolution (2026). FAQ sur la directive et le règlement DORA. https://acpr.banque-france.fr/fr/reglementation/focus-sur-la-reglementation/transverse/digital-operational-resilience-act-dora/faq-sur-la-directive-et-le-reglement-dora

Autorité des marchés financiers (2026). The Regulation on Digital Operational Resilience in the Financial Sector (DORA). https://www.amf-france.org/en/news-publications/depth/dora

Belfiore, G. (2026). Chiffrement vs Police: "Le choix sera politique", prévient le patron de l'ANSSI. Clubic. https://www.clubic.com/dossier-618682-interview-anssi.html

Ledieu-Avocats (2026). ANSSI, projet de décret NIS2 "mesures techniques" v2.5, ReCyF du 17 mars 2026. https://ledieu-avocats.fr/anssi-projet-decret-nis2-mesures-techniques-v2-5-recyf-du-17-mars-2026/

Repenning, N. P., and Sterman, J. D. (2001). Nobody ever gets credit for fixing problems that never happened: creating and sustaining process improvement. California Management Review, 43(4), 64 to 88. https://doi.org/10.2307/41166101

Repenning, N. P., and Sterman, J. D. (2002). Capability traps and self-confirming attribution errors in the dynamics of process improvement. Administrative Science Quarterly, 47(2), 265 to 295. https://doi.org/10.2307/3094806

Sterman, J. D. (2000). Business Dynamics: Systems Thinking and Modeling for a Complex World. Boston: Irwin McGraw-Hill. https://systemdynamics.org/product/business-dynamics-systems-thinking-and-modeling-for-a-complex-world/

Yaptırım standardı belirler. Ama standardın sınadığı yeteneğin yerini tutamaz.

CCI bakış açısı

Atıfta bulunulan çözümler: Academy · CySSURANCE. Tüm ürünleri görün · bir uygulayıcıyla konuşun.

Kurumunuz da buna maruz mu?

Bir uygulayıcıyla konuşun →