Nükleer Tesislerde Siber Güvenlik Yükümlülükleri Resmi Olarak Düzenlendi
NDK tarafından çıkarılan "Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik", Resmi Gazete'de yayınlanarak uygulanmaya başlandı.
Bu yönetmelik uyarınca, nükleer tesislerde siber güvenliği sağlamak için temel sorumluluk, tesisi kuran, işleten veya işletmeden çıkaran kuruluşlara düşüyor.
Kuruluşlar, nükleer tesis ve sahanın düzenleyici kontrolden çıkarılmasına dek dijital varlıkların korunması, saldırıların engellenmesi, tespit edilmesi, müdahale edilmesi ve etkilenen varlıkların geri kazanılması için gereken adımları atacak.
Bu çerçevede, nükleer tesisteki tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici belirlenerek, bu rol organizasyon yapısına entegre edilecek.
Yönetmelikte, siber güvenlik önlemlerinin belirlenmesi ve uygulanmasında "dereceli yaklaşım" ile "derinliğine savunma" ilkeleri benimseniyor. Böylece, dijital varlıkların güvenlik, emniyet ve nükleer güvence üzerindeki etkilerine göre risk odaklı ve katmanlı bir koruma sistemi oluşturuluyor.
Kuruluşlar, tüm dijital varlıkları tanımlayacak, bunların güvenlik, emniyet ve nükleer güvenceye ilişkin işlevlerini saptayacak ve her varlık için kritiklik seviyesi belirleyecek. Kritik dijital varlıklar için güncel bir envanter tutulacak; bu envanterde varlığın adı, türü, konumu, yedekleme detayları, kritiklik derecesi ve sorumlusu bulunacak.
Ek olarak, siber güvenlik planı hazırlanarak NDK'ye iletilecek. Bu plan en az yılda bir kez incelenecek; risk değişiklikleri, ilgili belgelerin güncellenmesi, organizasyonel değişiklikler veya tehdit temelli tasarım belgesinin güncellenmesi durumunda plan güncellenecek.
Yönetmelik gereği, reaktör içeren tesislerde en az yılda bir kez, diğer tesislerde ise en az üç yılda bir planlı siber güvenlik risk değerlendirmesi gerçekleştirilecek. Kritik dijital varlıklarda değişiklik, tehdit bilgilerinin değişimi veya yeni zafiyetlerin ortaya çıkması halinde ek değerlendirme derhal yapılacak.
Kritik dijital varlıkların zarar görme riskine karşı yedekleme sistemleri kurulacak. Felaket, arıza veya siber saldırı durumlarında, kritik varlıkların ve elektronik hizmetlerin kesintisizliğini sağlamak için ana sistemlerden uzak bir felaket kurtarma merkezi oluşturulacak.
Siber olaylara yönelik bildirim süreci tanımlandı. Güvenlik, emniyet veya nükleer güvenceyi etkileyen veya etkileme potansiyeli olan olaylar ve tehditler NDK'ye ve Siber Güvenlik Başkanlığına iletilecek. Olayın tespitinden sonraki beş iş günü içinde rapor sunulacak.
Raporda, siber olayın sebepleri, etkileri, gerçekleştirilen müdahale çalışmaları, edinilen dersler ile düzeltici ve önleyici önlemler yer alacak.
Kuruluşlar, siber olaylara müdahale planının etkinliğini test etmek amacıyla yılda en az bir kez, kritik dijital varlıkları içeren senaryolarla tatbikat düzenleyecek. Bu tatbikatlar en az iki yılda bir, güvenlik ve emniyet odaklı senaryolarla birleştirilerek hibrit biçimde yürütülecek.
Personel yönetimi alanında, tesis çalışanlarına yılda en az bir kez siber güvenlik eğitimi ve farkındalık programı verilecek. Siber güvenlik ekibine özel eğitimler sağlanacak ve personelin erişim yetkileri, görev tanımları ile uzmanlık düzeylerine göre kısıtlanacak.
Kuruluşlar, siber güvenlik uygulamalarına ilişkin bilgileri takip eden yılın şubat ayı sonuna kadar raporlayacak. Bu raporda, siber güvenlik testleri, iç denetimler, eğitim programları, zafiyet giderme çalışmaları ve bir sonraki yıl planları bulunacak.
Yönetmelik kapsamındaki faaliyetler NDK denetimine açık olacak. Mevzuata, yetki şartlarına, kurum kararlarına veya talimatlara aykırılık durumunda idari yaptırımlar uygulanacak.
Yönetmeliğin yürürlüğe girdiği tarihten önce yetkilendirilen veya başvuru yapan kuruluşlar, uyum eylem planlarını altı ay içinde NDK'ye sunacak. Bu süre, uygun gerekçelerle bir yıla kadar uzatılabilecek.
