NDK’den Nükleer Tesislere Siber Güvenlik Zorunluluğu Getirildi

Nükleer Düzenleme Kurumu (NDK), nükleer tesislerde siber güvenliği güçlendirmek amacıyla önemli bir adım attı. “Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik” Resmi Gazete’de yayımlanarak yürürlüğe girdi. Bu yeni düzenleme, nükleer tesisleri siber saldırılara karşı koruma altına almayı hedefliyor.

Yönetmelik, nükleer tesisleri kuran, işleten veya işletmeden çıkaran kuruluşlara siber güvenliğin sağlanmasında asıl sorumluluğu yüklüyor. Bu kuruluşlar, tesislerin düzenleyici kontrolden çıkarılmasına kadar dijital varlıkların korunması, saldırıların önlenmesi ve tespit edilmesi gibi kritik faaliyetleri yürütecek.

Ayrıca, siber saldırılardan etkilenen dijital varlıkların kurtarılması için gerekli müdahale ve iyileştirme süreçlerini de bu kuruluşlar üstlenecek. Her nükleer tesiste, tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici atanması zorunlu hale geldi. Bu görevli, organizasyon yapısına dahil edilecek.

Nükleer Tesislerde Kapsamlı Koruma Mekanizmaları

NDK, siber güvenlik önlemlerinin belirlenmesi ve uygulanmasında “dereceli yaklaşım” ile “derinliğine savunma” ilkelerini esas alıyor. Bu prensiplerle, dijital varlıkların güvenlik, emniyet ve nükleer güvence üzerindeki etkisine göre risk bazlı ve katmanlı bir koruma yapısı oluşturulacak.

Bu kapsamda, kuruluşlar tesisteki tüm dijital varlıkları tanımlamak, işlevlerini belirlemek ve kritiklik derecesi atamakla yükümlü olacak. Kritik dijital varlıklar için güncel bir envanter tutulacak. Envanter, varlığın adı, tipi, yeri, yedekleme bilgisi, kritiklik derecesi ve sorumlusu gibi detayları içerecek.

Siber Güvenlik Planları ve Denetim Süreçleri

Kuruluşlar, hazırlayacakları siber güvenlik planını NDK’ye sunacak. Bu plan, yılda en az bir kez gözden geçirilecek ve riskin değişmesi, ilgili belgelerin güncellenmesi veya organizasyon yapısında değişiklik yapılması durumunda yenilenecek.

Yönetmelik, reaktör içeren tesislerde yılda en az bir kez, diğer nükleer tesislerde ise en az üç yılda bir planlı siber güvenlik risk değerlendirmesi yapılmasını öngörüyor. Kritik dijital varlıklarda değişiklik, tehdit bilgilerinin değişmesi veya yeni zafiyetlerin tespiti halinde ilave değerlendirmeler ivedilikle gerçekleştirilecek.

Kritik dijital varlıkların kaybı veya zarar görmesi ihtimaline karşı yedekleme mekanizmaları kurulacak. Felaket, arıza veya siber saldırı durumunda kritik dijital varlıkların ve elektronik haberleşme hizmetlerinin sürekliliğini sağlamak amacıyla, ana sistemlerden etkilenmeyecek uzaklıkta felaket kurtarma merkezi oluşturulacak.

Siber olaylara ilişkin bildirim süreci de netleşti. Güvenlik, emniyet veya nükleer güvenceye zarar veren ya da zarar verme ihtimali bulunan siber olaylar ve tehditler NDK’ye ve Siber Güvenlik Başkanlığına bildirilecek. Olayın tespit edilmesini izleyen beş iş günü içinde kuruma rapor sunulacak.

Söz konusu rapor, siber olayın nedenleri, etkileri, yürütülen müdahale faaliyetleri, çıkarılan dersler ile düzeltici ve önleyici faaliyetleri kapsayacak. Ayrıca, kuruluşlar siber olaylara müdahale planının yeterliliğini test etmek için yılda en az bir kez kritik dijital varlıkları kapsayan senaryoyla siber olay tatbikatı yapacak.

Personel yönetimi kapsamında, tüm tesis personeline yılda en az bir kez siber güvenlik eğitim ve farkındalık programı uygulanacak. Siber güvenlik personeline özel eğitim programları yürütülecek ve personelin erişim yetkileri görev tanımı ile uzmanlık seviyesine göre sınırlandırılacak.

Kuruluşlar, siber güvenlik uygulamalarına ilişkin bilgileri takip eden yılın şubat ayı sonuna kadar raporlamakla yükümlü. NDK, yönetmelik kapsamındaki tüm faaliyetleri denetleyecek ve ilgili mevzuata aykırılık tespitinde idari yaptırım uygulayacak.

Yönetmeliğin yürürlüğe girdiği tarihten önce yetkilendirilen veya NDK’ye başvuran kuruluşlar, uyum eylem planlarını altı ay içinde kuruma sunacak. Bu süre, gerekçenin uygun bulunması halinde bir yıla kadar uzatılabilecek.

• #Nükleer Düzenleme Kurumu
• #Siber Güvenlik