Nükleer Düzenleme Kurumu, nükleer tesislerde siber güvenliği zorunlu kılan yeni yönetmeliği yürürlüğe soktu. Tesisler, dijital varlıklarını siber saldırılardan koruyacak.
Nükleer Düzenleme Kurumu (NDK), nükleer tesislerde siber güvenlik önlemlerini zorunlu kılan “Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmeliği”ni Resmi Gazete’de yayımlayarak yürürlüğe soktu. Bu yeni düzenleme, tesisi kuran, işleten veya işletmeden çıkaran kuruluşlara dijital varlıkları siber saldırılara karşı koruma sorumluluğu getiriyor.
Kuruluşlar, tesisin düzenleyici kontrolden çıkarılmasına kadar geçen süreçte dijital varlıkları siber saldırılardan koruyacak. Bu kapsamda saldırıların önlenmesi, tespit edilmesi, müdahale edilmesi ve etkilenen varlıkların kurtarılması faaliyetlerini yürütecekler.
Her nükleer tesiste, tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici organizasyon yapısına dahil edilecek. Yönetmelik, siber güvenlik önlemlerinde “dereceli yaklaşım” ve “derinliğine savunma” ilkelerini esas alıyor. Bu sayede dijital varlıkların güvenlik, emniyet ve nükleer güvenceye olan etkisine göre risk bazlı ve katmanlı bir koruma sağlanacak.
Kuruluşlar, tüm dijital varlıkları tanımlayarak güvenlik ve nükleer güvence işlevlerini belirleyecek. Her varlığa kritiklik derecesi atayarak güncel bir envanter tutma yükümlülüğü bulunuyor. Bu envanter, varlığın adı, tipi, yeri, yedekleme bilgisi, kritiklik derecesi ve sorumlusu gibi detayları içerecek.
Tesisler, NDK’ye sunulmak üzere bir siber güvenlik planı hazırlayacak. Bu plan, yılda en az bir kez gözden geçirilecek ve risk değişimleri veya organizasyonel değişiklikler durumunda yenilenecek.
Yönetmelik, reaktör içeren tesislerde yıllık, diğer nükleer tesislerde ise üç yılda bir planlı siber güvenlik risk değerlendirmesi öngörüyor. Kritik dijital varlıklardaki değişiklikler veya yeni zafiyet tespitleri, ek risk değerlendirmelerinin hızla yapılmasını gerektirecek.
Kritik dijital varlıkların kaybına karşı yedekleme mekanizmaları kurulması zorunlu hale geldi. Ayrıca, olası felaket veya siber saldırı durumunda sürekliliği sağlamak için ana sistemlerden bağımsız bir felaket kurtarma merkezi oluşturulacak.
Yönetmelik, siber olay bildirim süreçlerini de düzenledi. Güvenlik veya nükleer güvenceye zarar veren siber olaylar ile tehditler, NDK ve Siber Güvenlik Başkanlığı’na iletilecek. Olay tespitinden sonraki beş iş günü içinde NDK’ye rapor sunulması gerekiyor.
Bu rapor, siber olayın nedenlerini, etkilerini, müdahale faaliyetlerini ve çıkarılan dersleri içerecek. Ayrıca düzeltici ve önleyici faaliyetlere de yer verilecek.
Kuruluşlar, siber olaylara müdahale planlarının yeterliliğini test etmek amacıyla yılda en az bir kez tatbikat düzenleyecek. Bu tatbikatlar, iki yılda bir güvenlik ve emniyet senaryolarıyla birleştirilerek hibrit olarak yapılacak.
Personel yönetimi kapsamında, tüm tesis personeline yıllık siber güvenlik eğitimleri ve farkındalık programları uygulanacak. Siber güvenlik personelinin özel eğitimler alması ve erişim yetkilerinin görev tanımıyla sınırlanması sağlanacak.
Kuruluşlar, siber güvenlik uygulamalarına dair bilgileri takip eden yılın şubat ayı sonuna kadar NDK’ye raporlayacak. Bu rapor, siber güvenlik testlerini, iç denetimleri, eğitim programlarını ve zafiyet giderme faaliyetlerini içerecek. NDK, yönetmelik kapsamındaki tüm faaliyetleri denetleyecek ve aykırılık tespitinde idari yaptırım uygulayacak.
Yönetmelik yürürlüğe girmeden önce yetkilendirilen veya başvuru yapan kuruluşlar, altı ay içinde uyum eylem planlarını NDK’ye sunmak zorunda. Gerekçenin uygun görülmesi durumunda bu süre bir yıla kadar uzatılabilecek.
Yorum Yap