Nükleer Tesisler İçin Siber Güvenlik Yönetmeliği Yürürlüğe Girdi
Nükleer Düzenleme Kurumu, nükleer tesislerde siber güvenliği sağlamak amacıyla yeni yönetmeliğini yayımladı. Kuruluşlara kapsamlı sorumluluklar getirildi.
Nükleer Düzenleme Kurumu (NDK), nükleer tesislerde siber güvenliğin sağlanmasına yönelik yeni bir yönetmeliği Resmi Gazete’de yayımlayarak yürürlüğe koydu. Bu düzenleme ile nükleer tesisleri kuran veya işleten kuruluşlara, dijital varlıkları siber saldırılardan koruma ve müdahale etme sorumluluğu getirildi.
Yönetmelik, nükleer tesislerde siber güvenliğin asıl sorumluluğunu tesisi kuran, işleten veya işletmeden çıkaran kuruluşlara yüklüyor. Bu kuruluşlar, dijital varlıkların siber saldırılara karşı korunması, önlenmesi, tespit edilmesi, müdahale edilmesi ve kurtarılması için tüm süreçlerde aktif rol alacak.
Her nükleer tesiste dijital varlıkların siber güvenliğinden sorumlu bir yönetici atanacak ve bu pozisyon organizasyon yapısına dahil edilecek. Düzenleme, siber güvenlik önlemlerinde “dereceli yaklaşım” ve “derinliğine savunma” ilkelerini benimseyerek risk bazlı ve katmanlı bir koruma yapısı oluşturmayı hedefliyor.
Kuruluşlar, tüm dijital varlıkları tanımlayacak, işlevlerini ve kritiklik derecelerini belirleyecek. Kritik dijital varlıklar için güncel bir envanter tutulacak; bu envanterde varlığın adı, tipi, yeri, yedekleme bilgisi ve sorumlusu gibi detaylar bulunacak.
Kuruluşlara Kapsamlı Siber Güvenlik Yükümlülükleri
Kuruluşlar, detaylı bir siber güvenlik planı hazırlayarak NDK’ye sunmakla yükümlü olacak. Bu plan, yılda en az bir kez gözden geçirilecek; risk değişiklikleri veya organizasyonel güncellemeler durumunda ise yenilenecek.
Reaktör içeren tesislerde yılda bir, diğer nükleer tesislerde ise üç yılda bir planlı siber güvenlik risk değerlendirmesi yapılacak. Kritik dijital varlıklarda değişiklik veya yeni zafiyet tespitinde ek değerlendirmeler derhal devreye alınacak.
Kritik dijital varlıkların korunması amacıyla yedekleme mekanizmaları kurulacak. Felaket veya siber saldırı anında hizmet sürekliliğini sağlamak için ana sistemlerden bağımsız, uzak bir felaket kurtarma merkezi oluşturulması da zorunlu kılındı.
Siber olaylara ilişkin bildirim süreci de yönetmelikte yer aldı. Güvenlik, emniyet veya nükleer güvenceyi etkileyen siber olaylar ile tehditler, NDK ve Siber Güvenlik Başkanlığına bildirilecek. Kuruluşlar, olayı tespit ettikten sonra beş iş günü içinde kuruma detaylı rapor sunacak.
Bu raporlar, siber olayın nedenleri ve etkileri ile yürütülen müdahale faaliyetlerini içerecek. Ayrıca, olaydan çıkarılan dersler ve gelecekteki düzeltici önleyici faaliyetler de raporda detaylandırılacak.
Kuruluşlar, siber olaylara müdahale planlarının yeterliliğini test etmek amacıyla yılda en az bir kez tatbikat yapacak. Bu tatbikatlar, iki yılda bir güvenlik ve emniyete yönelik senaryolarla birleştirilerek hibrit olarak gerçekleştirilecek.
Personel Eğitimi ve Denetim Süreçleri
Yönetmelik, personel yönetimi kapsamında tüm tesis personeline yılda en az bir kez siber güvenlik eğitimi ve farkındalık programı uygulanmasını şart koşuyor. Siber güvenlik personeli için özel eğitimler düzenlenecek; erişim yetkileri görev tanımına ve uzmanlık seviyesine göre sınırlandırılacak.
Kuruluşlar, siber güvenlik uygulamalarına ilişkin bilgileri her yıl şubat ayı sonuna kadar NDK’ye raporlayacak. Bu raporlar, yapılan testleri, iç denetimleri, eğitim programlarını ve giderilen zafiyetleri kapsayacak.
Yönetmelik kapsamındaki tüm faaliyetler NDK denetimine tabi olacak. Mevzuata veya kurum talimatlarına aykırılık tespit edildiğinde idari yaptırımlar uygulanması öngörülüyor.
Yönetmelik yürürlüğe girmeden önce yetkilendirilen veya NDK’ye başvurmuş kuruluşlar, altı ay içinde uyum eylem planlarını sunacak. Gerekçenin uygun görülmesi durumunda bu süre bir yıla kadar uzatılabilecek.
Yorum Yap