Nükleer Tesislerde Siber Güvenlik Zorunlu Hale Geldi
Nükleer Düzenleme Kurumu (NDK) tarafından hazırlanan 'Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik', Resmi Gazete'de yayımlanarak yürürlüğe girdi. Yeni düzenlemeyle nükleer tesislerde siber güvenliğin sağlanmasına yönelik kapsamlı kurallar belirlendi.
Yönetmeliğe göre, nükleer tesislerde siber güvenlikten birinci derecede sorumlu olan kuruluş, tesisi kuran, işleten veya işletmeden çıkaran kuruluş olacak. Bu kuruluşlar, tesisin düzenleyici kontrolden çıkarılmasına kadar dijital varlıkların siber saldırılara karşı korunması, saldırıların önlenmesi, tespit edilmesi, müdahale edilmesi ve kurtarılması için gerekli tüm faaliyetleri yürütecek.
Siber Güvenlik Yöneticisi Atanacak
Her nükleer tesiste, tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici atanması zorunlu hale getirildi. Bu yönetici, organizasyon yapısına dahil edilecek ve siber güvenlikle ilgili tüm süreçleri koordine edecek.
Yönetmelikte, siber güvenlik önlemlerinin belirlenmesinde 'dereceli yaklaşım' ve 'derinliğine savunma' ilkeleri esas alınacak. Bu sayede dijital varlıklar, güvenlik, emniyet ve nükleer güvence üzerindeki etkilerine göre risk bazlı ve katmanlı bir koruma yapısıyla korunacak.
Kritik Dijital Varlıklar İçin Envanter Tutulacak
Kuruluşlar, tüm dijital varlıkları tanımlamak, bunların güvenlik, emniyet ve nükleer güvenceye ilişkin işlevlerini belirlemek ve her birine kritiklik derecesi atamakla yükümlü olacak. Kritik dijital varlıklar için güncel bir envanter tutulacak. Bu envanterde varlığın adı, tipi, yeri, yedekleme bilgisi, kritiklik derecesi ve sorumlusu gibi bilgiler yer alacak.
Siber Güvenlik Planı Hazırlanacak
Nükleer tesislerde bir siber güvenlik planı hazırlanarak NDK'ye sunulacak. Bu plan yılda en az bir kez gözden geçirilecek. Riskin değişmesi, ilgili belgelerin güncellenmesi, organizasyon yapısında değişiklik yapılması veya tehdit esaslı tasarım belgesinin güncellenmesi durumunda plan yenilenecek.
Reaktör içeren tesislerde yılda en az bir kez, diğer nükleer tesislerde ise en az üç yılda bir planlı siber güvenlik risk değerlendirmesi yapılması zorunlu olacak. Kritik dijital varlıklarda değişiklik olması, tehdit bilgilerinin değişmesi veya yeni zafiyetlerin tespit edilmesi halinde ilave risk değerlendirmesi ivedilikle gerçekleştirilecek.
Felaket Kurtarma Merkezi Kurulacak
Kritik dijital varlıkların kaybı veya zarar görmesi ihtimaline karşı yedekleme mekanizmaları kurulacak. Felaket, arıza veya siber saldırı durumunda kritik dijital varlıkların ve elektronik haberleşme hizmetlerinin sürekliliğini sağlamak amacıyla, ana sistemlerden etkilenmeyecek uzaklıkta bir felaket kurtarma merkezi oluşturulacak.
Siber Olay Bildirim Süreci
Siber olaylara ilişkin bildirim süreci de düzenlendi. Güvenlik, emniyet veya nükleer güvenceye zarar veren ya da zarar verme ihtimali bulunan siber olaylar ve tehditler, NDK'ye ve Siber Güvenlik Başkanlığına bildirilecek. Olayın tespit edilmesini takip eden beş iş günü içinde kuruma bir rapor sunulacak. Bu raporda siber olayın nedenleri ve etkileri, yürütülen müdahale faaliyetleri, olaydan çıkarılan dersler ile düzeltici ve önleyici faaliyetler yer alacak.
Siber Olay Tatbikatı Zorunluluğu
Kuruluşlar, siber olaylara müdahale planının yeterliliğini test etmek için yılda en az bir kez kritik dijital varlıkları kapsayan senaryoyla siber olay tatbikatı yapacak. Bu tatbikatlar en az iki yılda bir güvenlik ve emniyete yönelik senaryolarla birleştirilerek hibrit şekilde gerçekleştirilecek.
Personele Siber Güvenlik Eğitimi
Personel yönetimi kapsamında, tüm tesis personeline yılda en az bir kez siber güvenlik eğitim ve farkındalık programı uygulanacak. Siber güvenlik personeline özel eğitim programları yürütülecek ve personelin erişim yetkileri görev tanımı ile uzmanlık seviyesine göre sınırlandırılacak.
Yıllık Raporlama ve Denetim
Kuruluşlar, siber güvenlik uygulamasına ilişkin bilgileri takip eden yılın şubat ayı sonuna kadar raporlayacak. Siber güvenlik testleri, iç denetimler, eğitim programları, zafiyetlerin giderilmesine yönelik faaliyetler ve gelecek yıl planlanan çalışmalar bu raporda yer alacak.
Yönetmelik kapsamındaki faaliyetler NDK denetimine tabi olacak. İlgili mevzuata, yetki koşullarına, kurum kararlarına veya talimatlarına aykırılık tespit edilmesi halinde idari yaptırım uygulanacak.
Uyum Süreci
Yönetmeliğin yürürlüğe girdiği tarihten önce yetkilendirilen veya yetkilendirilmek üzere NDK'ye başvuran kuruluşlar, uyum eylem planlarını altı ay içinde kuruma sunacak. Bu süre, gerekçenin uygun bulunması halinde bir yıla kadar uzatılabilecek.
