Nükleer Tesislerde Siber Güvenlik İçin Yeni Yönetmelik Yürürlükte
Nükleer Düzenleme Kurumu’nun yeni yönetmeliğiyle nükleer tesislerde siber güvenlik önlemleri zorunlu hale geldi. Kuruluşlar, dijital varlıklarını korumakla yükümlü.
Nükleer Düzenleme Kurumu (NDK), nükleer tesislerde siber güvenliği sağlamak amacıyla yeni bir yönetmeliği Resmi Gazete’de yayımlayarak yürürlüğe soktu. “Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik”, tesisleri kuran veya işleten kuruluşlara dijital varlıklarını siber saldırılara karşı koruma sorumluluğu yükledi. Kuruluşlar, siber saldırıları önleme, tespit etme, müdahale etme ve etkilenen varlıkları kurtarma faaliyetlerini yürütecek.
Yönetmelik, kuruluşlara nükleer tesislerin siber güvenliğinden sorumlu bir yönetici atama ve bu görevi organizasyon yapısına dahil etme yükümlülüğü getiriyor. Siber güvenlik önlemlerinin belirlenmesinde “dereceli yaklaşım” ve “derinliğine savunma” ilkeleri esas alınacak. Bu sayede, dijital varlıkların güvenlik ve emniyet üzerindeki etkisine göre risk bazlı ve katmanlı bir koruma yapısı oluşturulacak.
Kuruluşlar, tesis bünyesindeki tüm dijital varlıkları tanımlayacak ve güvenlik, emniyet ile nükleer güvenceye ilişkin işlevlerini belirleyecek. Her bir dijital varlık için kritiklik derecesi atanacak ve kritik varlıklar için güncel bir envanter tutulacak. Envanterde varlığın adı, tipi, yeri, yedekleme bilgisi, kritiklik derecesi ve sorumlusu gibi detaylar yer alacak.
Siber Güvenlik Planı ve Risk Değerlendirmesi
Kuruluşlar, NDK’ye sunulmak üzere kapsamlı bir siber güvenlik planı hazırlayacak. Bu plan, yılda en az bir kez gözden geçirilecek ve risk değişimleri, belge güncellemeleri veya organizasyonel değişiklikler durumunda yenilenecek. Tehdit esaslı tasarım belgesinin güncellenmesi de planın yenilenmesini gerektirecek.
Yönetmelik, reaktör içeren tesislerde yılda en az bir, diğer nükleer tesislerde ise üç yılda bir planlı siber güvenlik risk değerlendirmesi yapılmasını zorunlu kılıyor. Kritik dijital varlıklardaki değişiklikler, tehdit bilgileri veya yeni zafiyet tespitleri durumunda ilave risk değerlendirmeleri ivedilikle yapılacak.
Kritik dijital varlıkların kaybı veya zarar görmesi ihtimaline karşı yedekleme mekanizmaları kurulacak. Felaket, arıza veya siber saldırı durumlarında kritik varlıkların sürekliliğini sağlamak için ana sistemlerden etkilenmeyecek uzaklıkta felaket kurtarma merkezleri oluşturulacak.
Olay Yönetimi ve Personel Eğitimi
Siber olaylara ilişkin bildirim süreci de yönetmelikle düzenlendi. Güvenlik, emniyet veya nükleer güvenceye zarar veren siber olaylar ve tehditler NDK ile Siber Güvenlik Başkanlığına bildirilecek. Olayın tespitini takip eden beş iş günü içinde kuruma detaylı bir rapor sunulması gerekecek.
Bu rapor, siber olayın nedenleri ve etkileri, yürütülen müdahale faaliyetleri, olaydan çıkarılan dersler ile düzeltici ve önleyici faaliyetleri içerecek.
Kuruluşlar, siber olaylara müdahale planlarının yeterliliğini test etmek amacıyla yılda en az bir kez tatbikat düzenleyecek. Bu tatbikatlar, kritik dijital varlıkları kapsayan senaryolarla yapılacak ve iki yılda bir hibrit şekilde güvenlik ve emniyet senaryolarıyla birleştirilecek.
Personel yönetimi kapsamında, tüm tesis personeline yılda en az bir kez siber güvenlik eğitim ve farkındalık programı uygulanacak. Siber güvenlik personeline özel eğitimler verilecek ve erişim yetkileri görev tanımı ile uzmanlık seviyesine göre sınırlandırılacak.
Kuruluşlar, siber güvenlik uygulamalarına ilişkin bilgileri takip eden yılın şubat ayı sonuna kadar NDK’ye raporlayacak. Bu rapor, siber güvenlik testleri, iç denetimler, eğitim programları ve zafiyet giderme faaliyetlerini içerecek. Yönetmelik kapsamındaki tüm faaliyetler NDK denetimine tabi olacak ve aykırılık durumunda idari yaptırımlar uygulanacak.
Yönetmeliğin yürürlüğe girmesinden önce yetkilendirilen veya başvuran kuruluşlar, uyum eylem planlarını altı ay içinde NDK’ye sunmak zorunda. Gerekçenin uygun bulunması durumunda bu süre bir yıla kadar uzatılabilecek.
Yorum Yap