Nükleer Düzenleme Kurumu (NDK), nükleer tesislerde siber güvenliğin sağlanmasına yönelik kapsamlı bir düzenlemeyi yürürlüğe aldı. Resmi Gazete’de yayımlanan “Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik”, sektörde dijital güvenliğe ilişkin standartları yeniden tanımlarken, tesislerin siber tehditlere karşı korunmasına yönelik yükümlülükleri de netleştirdi.
Yönetmeliğe göre, nükleer tesislerde siber güvenliğin sağlanmasında birincil sorumluluk; tesisi kuran, işleten veya işletmeden çıkaran kuruluşlara ait olacak. Bu kuruluşlar, tesislerin düzenleyici kontrolden çıkarılmasına kadar geçen süreçte tüm dijital varlıkların korunması, saldırıların önlenmesi, tespit edilmesi ve müdahale edilmesi için gerekli tüm faaliyetleri yürütmekle yükümlü olacak.
Her tesis için siber güvenlik sorumlusu atanacak
Yeni düzenleme kapsamında, nükleer tesislerdeki tüm dijital varlıklardan sorumlu bir siber güvenlik yöneticisi atanması zorunlu hale getirildi. Bu görev, doğrudan organizasyon yapısına dahil edilecek.
Yönetmelikte ayrıca “dereceli yaklaşım” ve “derinliğine savunma” ilkeleri esas alınarak, risk bazlı ve katmanlı bir güvenlik yapısı öngörülüyor. Bu çerçevede kuruluşlar, tüm dijital varlıkları tanımlayacak, her birinin güvenlik açısından kritik düzeyini belirleyecek ve bu varlıklara ilişkin güncel bir envanter oluşturacak.
Siber güvenlik planı zorunlu olacak
Kuruluşlar, hazırlayacakları siber güvenlik planını NDK’ye sunacak. Söz konusu plan yılda en az bir kez gözden geçirilecek; risklerde, organizasyon yapısında ya da tehdit unsurlarında değişiklik olması halinde güncellenecek.
Reaktör içeren tesislerde yılda en az bir kez, diğer nükleer tesislerde ise en az üç yılda bir siber güvenlik risk değerlendirmesi yapılacak. Kritik dijital varlıklara yönelik yeni tehdit veya zafiyetlerin ortaya çıkması durumunda ise ek değerlendirmeler ivedilikle gerçekleştirilecek.
Felaket kurtarma merkezleri kurulacak
Yönetmelik, kritik dijital varlıkların kaybı veya zarar görmesi ihtimaline karşı yedekleme mekanizmalarının kurulmasını da zorunlu kılıyor. Ayrıca, olası felaket, arıza veya siber saldırı durumlarında hizmet sürekliliğini sağlamak amacıyla ana sistemlerden bağımsız konumda felaket kurtarma merkezleri oluşturulacak.
Siber olaylara bildirim zorunluluğu
Yeni düzenleme ile siber olaylara ilişkin bildirim süreci de ayrıntılı şekilde tanımlandı. Güvenlik veya nükleer emniyeti tehdit eden siber olaylar, NDK ile birlikte Siber Güvenlik Başkanlığı’na bildirilecek. Olayın tespitinden itibaren beş iş günü içinde detaylı rapor sunulması gerekecek.
Bu raporlarda, olayın nedenleri ve etkileri, müdahale süreçleri, çıkarılan dersler ile alınacak önleyici tedbirler yer alacak.
Tatbikat ve eğitimler artırılacak
Kuruluşlar, siber olaylara müdahale kapasitesini test etmek amacıyla yılda en az bir kez tatbikat düzenleyecek. Bu tatbikatlar, belirli aralıklarla güvenlik ve emniyet senaryolarıyla birleştirilerek hibrit şekilde gerçekleştirilecek.
Personel tarafında ise tüm çalışanlara yılda en az bir kez siber güvenlik eğitimi verilecek. Siber güvenlik ekipleri için özel eğitim programları uygulanacak, erişim yetkileri ise görev tanımı ve uzmanlık seviyesine göre sınırlandırılacak.
Denetim ve yaptırım süreci
Yönetmelik kapsamındaki tüm faaliyetler NDK denetimine tabi olacak. Mevzuata aykırı uygulamaların tespit edilmesi halinde idari yaptırımlar devreye alınacak.
Düzenlemenin yürürlüğe girmesinden önce yetkilendirilen ya da başvuru sürecinde olan kuruluşlar ise uyum eylem planlarını altı ay içinde NDK’ye sunacak. Bu süre, gerekli görülmesi halinde bir yıla kadar uzatılabilecek.
Yorumlar
Kalan Karakter: