Nükleer Tesislere Siber Güvenlik Zorunluluğu Getirildi
Nükleer Düzenleme Kurumu, nükleer tesislerde siber güvenliği sağlamak amacıyla yeni bir yönetmelik yayımladı. Detaylar Resmi Gazete’de.
Nükleer Düzenleme Kurumu (NDK), nükleer tesislerde siber güvenliğin sağlanmasına yönelik yeni bir yönetmeliği Resmi Gazete’de yayımlayarak yürürlüğe koydu. Bu düzenleme ile nükleer tesisi kuran veya işleten kuruluşlar, dijital varlıkların siber saldırılara karşı korunması için ana sorumluluğu üstlenecek.
Kuruluşlar, tesisin düzenleyici kontrolden çıkarılmasına kadar dijital varlıkları siber saldırılara karşı koruyacak. Ayrıca, saldırıları önleme, tespit etme, müdahale etme ve etkilenen varlıkları kurtarma faaliyetlerini yürütecekler.
Yönetmelik, nükleer tesisteki tüm dijital varlıkların siber güvenliğinden sorumlu bir yöneticinin atanmasını zorunlu kılıyor. Bu görev, kuruluşların organizasyon yapısına dahil edilecek.
Siber güvenlik önlemleri belirlenirken ‘dereceli yaklaşım’ ve ‘derinliğine savunma’ ilkeleri esas alınacak. Bu sayede, dijital varlıkların güvenlik ve emniyet üzerindeki etkisine göre risk bazlı ve katmanlı bir koruma yapısı kurulacak.
Kuruluşlar, tüm dijital varlıkları tanımlayarak işlevlerini ve kritiklik derecelerini belirleyecek. Kritik dijital varlıklar için güncel envanter tutulması da yönetmeliğin gereklilikleri arasında yer alıyor. Envanter; varlığın adı, tipi, yeri, yedekleme bilgisi, kritiklik derecesi ve sorumlusunu içerecek.
Siber Güvenlik Planı ve Risk Değerlendirmesi
Kuruluşlar, bir siber güvenlik planı hazırlayarak NDK’ye sunmakla yükümlü olacak. Bu plan, yılda en az bir kez gözden geçirilecek ve risk değişiklikleri veya organizasyonel güncellemeler durumunda yenilenecek.
Reaktör içeren tesislerde yılda bir, diğer nükleer tesislerde ise üç yılda bir planlı siber güvenlik risk değerlendirmesi yapılacak. Kritik dijital varlıklardaki değişiklikler veya yeni zafiyet tespitleri, ilave risk değerlendirmesini zorunlu kılacak.
Kritik dijital varlıkların kaybına karşı yedekleme mekanizmaları kurulacak. Ayrıca, felaket veya siber saldırı durumunda hizmet sürekliliğini sağlamak amacıyla ana sistemlerden bağımsız bir felaket kurtarma merkezi oluşturulacak.
Yönetmelik, siber olaylara ilişkin bildirim sürecini de düzenledi. Güvenlik veya nükleer güvenceye zarar veren siber olaylar NDK’ye ve Siber Güvenlik Başkanlığına bildirilecek. Olayın tespitini takip eden beş iş günü içinde NDK’ye rapor sunulması zorunlu kılındı. Rapor, olayın nedenleri, etkileri, müdahale faaliyetleri ve düzeltici önlemleri içerecek.
Eğitim, Tatbikat ve Denetim Süreçleri
Kuruluşlar, siber olaylara müdahale planlarının yeterliliğini test etmek amacıyla yılda en az bir kez tatbikat yapacak. Bu tatbikatlar, iki yılda bir güvenlik ve emniyet senaryolarıyla birleştirilerek hibrit olarak gerçekleştirilecek.
Tüm tesis personeline yılda en az bir kez siber güvenlik eğitimi ve farkındalık programı uygulanacak. Siber güvenlik personeli özel eğitimler alacak ve erişim yetkileri görev tanımlarına göre sınırlandırılacak.
Kuruluşlar, siber güvenlik uygulamalarına ilişkin bilgileri takip eden yılın Şubat ayı sonuna kadar raporlayacak. Bu rapor, siber güvenlik testlerini, iç denetimleri, eğitim programlarını ve gelecek yıl planlanan çalışmaları kapsayacak.
NDK, yönetmelik kapsamındaki tüm faaliyetleri denetleyecek. Mevzuata aykırılık tespit edilmesi durumunda idari yaptırımlar uygulanacak.
Yönetmelik yürürlüğe girmeden önce yetkilendirilen veya başvuran kuruluşlar, altı ay içinde uyum eylem planlarını NDK’ye sunacak. Gerekçenin uygun görülmesi halinde bu süre bir yıla kadar uzatılabilecek.
Yorum Yap