Nükleer Tesislere Siber Güvenlik Zorunluluğu NDK Yönetmeliği Yürürlükte

Nükleer Düzenleme Kurumu (NDK), nükleer tesislerde siber güvenliğin sağlanmasına yönelik yeni yönetmeliği Resmi Gazete’de yayımlayarak yürürlüğe koydu. Bu düzenleme ile nükleer tesisi kuran, işleten veya işletmeden çıkaran kuruluşlar, dijital varlıkların siber saldırılara karşı korunmasından tam sorumlu hale geldi. Yönetmelik, siber saldırıların önlenmesi, tespiti, müdahalesi ve etkilenen varlıkların kurtarılması için kapsamlı yükümlülükler belirliyor.

Kuruluşlar, tesisin düzenleyici kontrolden çıkarılmasına kadar tüm dijital varlıkların güvenliğini sağlamakla yükümlü olacak. Bu kapsamda, her nükleer tesiste dijital varlıkların siber güvenliğinden sorumlu bir yönetici atanacak ve bu görev organizasyon yapısına dahil edilecek. NDK, siber güvenlik önlemlerinin belirlenmesinde “dereceli yaklaşım” ve “derinliğine savunma” ilkelerini esas alıyor.

Bu ilkeler, dijital varlıkların güvenlik, emniyet ve nükleer güvence üzerindeki etkisine göre risk bazlı ve katmanlı bir koruma yapısı oluşturmayı hedefliyor. Kuruluşlar, tüm dijital varlıkları tanımlayarak işlevlerini ve kritiklik derecelerini belirleyecek. Özellikle kritik dijital varlıklar için adı, tipi, yeri, yedekleme bilgisi ve sorumlusu gibi detayları içeren güncel bir envanter tutulması zorunlu kılındı.

Siber Güvenlik Planları ve Risk Değerlendirmeleri

NDK’ye sunulmak üzere kapsamlı bir siber güvenlik planı hazırlanması gerekecek. Kuruluşlar, bu planı yılda en az bir kez gözden geçirecek ve risk değişiklikleri, belge güncellemeleri veya organizasyonel yapıda farklılıklar olması durumunda yenileyecek. Reaktör içeren tesislerde yılda en az bir, diğer nükleer tesislerde ise üç yılda bir planlı siber güvenlik risk değerlendirmesi yapılacak.

Kritik dijital varlıklarda değişiklikler, yeni tehdit bilgileri veya zafiyetlerin tespiti halinde ilave risk değerlendirmeleri ivedilikle gerçekleştirilecek. Yönetmelik, kritik dijital varlıkların kaybı veya zarar görmesi ihtimaline karşı yedekleme mekanizmaları kurulmasını da şart koşuyor. Ayrıca, felaket, arıza veya siber saldırı durumunda sistemlerin sürekliliğini sağlamak amacıyla ana sistemlerden etkilenmeyecek uzaklıkta felaket kurtarma merkezleri oluşturulacak.

Siber Olaylara Müdahale ve Personel Eğitimi

Siber olaylara ilişkin bildirim süreci de yeni yönetmelikle düzenlendi. Güvenlik, emniyet veya nükleer güvenceye zarar veren ya da verme ihtimali bulunan siber olaylar ve tehditler, NDK’ye ve Siber Güvenlik Başkanlığına derhal bildirilecek. Olayın tespit edilmesini izleyen beş iş günü içinde kuruma kapsamlı bir rapor sunulması gerekecek.

Bu rapor, siber olayın nedenlerini, etkilerini, yürütülen müdahale faaliyetlerini, çıkarılan dersleri ve düzeltici-önleyici eylemleri içerecek. Kuruluşlar, siber olaylara müdahale planlarının yeterliliğini test etmek amacıyla yılda en az bir kez kritik dijital varlıkları kapsayan senaryolarla tatbikatlar düzenleyecek. Bu tatbikatlar, en az iki yılda bir güvenlik ve emniyet senaryolarıyla birleştirilerek hibrit şekilde gerçekleştirilecek.

Personel yönetimi kapsamında, tüm tesis çalışanlarına yılda en az bir kez siber güvenlik eğitimi ve farkındalık programı uygulanacak. Siber güvenlik personeli için özel eğitimler yürütülecek ve erişim yetkileri görev tanımları ile uzmanlık seviyelerine göre sınırlandırılacak. Kuruluşlar, siber güvenlik uygulamalarına ilişkin bilgileri takip eden yılın şubat ayı sonuna kadar raporlayacak.

NDK, yönetmelik kapsamındaki tüm faaliyetleri denetleyecek ve mevzuata aykırılık tespit edilmesi halinde idari yaptırımlar uygulayacak. Yönetmeliğin yürürlüğe girdiği tarihten önce yetkilendirilen veya yetkilendirilmek üzere NDK’ye başvuran kuruluşlar, uyum eylem planlarını altı ay içinde kuruma sunmak zorunda. Bu süre, NDK’nin uygun görmesi halinde bir yıla kadar uzatılabilecek.

• #Nükleer Düzenleme Kurumu
• #Siber Güvenlik