Nükleer Düzenleme Kurumu (NDK), nükleer tesislerde siber güvenliğe yönelik kapsamlı bir düzenlemeyi hayata geçirdi. Resmi Gazete’de yayımlanarak yürürlüğe giren “Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik”, kritik altyapıların korunması açısından önemli değişiklikler içeriyor.
Nükleer Tesislerde Siber Güvenlikten Kim Sorumlu Olacak?
Yeni düzenlemeye göre nükleer tesislerde siber güvenliğin sağlanmasında asıl sorumluluk, tesisi kuran, işleten veya işletmeden çıkaran kuruluşlara ait olacak. Bu kuruluşlar, dijital varlıkların korunması, siber saldırıların önlenmesi, tespit edilmesi ve müdahale edilmesinden sorumlu olacak.
Her Tesise Siber Güvenlik Yöneticisi Atanacak
Yönetmelik kapsamında, nükleer tesislerdeki tüm dijital varlıkların güvenliğinden sorumlu bir yönetici atanması zorunlu hale getirildi. Bu görev, kurumların organizasyon yapısına entegre edilecek ve kritik süreçlerin takibi sağlanacak.
“Dereceli Yaklaşım” ve “Derinliğine Savunma” Modeli
Yeni sistemde siber güvenlik uygulamaları, “dereceli yaklaşım” ve “derinliğine savunma” ilkelerine göre yürütülecek. Bu kapsamda dijital varlıkların önem derecesine göre katmanlı bir güvenlik yapısı oluşturulacak ve risk bazlı önlemler alınacak.
Dijital Varlıklar İçin Kritik Envanter Oluşturulacak
Kuruluşlar, tüm dijital varlıkları detaylı şekilde tanımlayacak ve bu varlıkların güvenlik açısından kritiklik derecelerini belirleyecek. Kritik dijital varlıklar için oluşturulacak envanterde varlıkların türü, yeri, yedekleme bilgisi ve sorumluları yer alacak.
Siber Güvenlik Planı Hazırlanacak ve Güncellenecek
Her nükleer tesis için kapsamlı bir siber güvenlik planı hazırlanarak NDK’ye sunulacak. Bu plan yılda en az bir kez gözden geçirilecek. Risk değişimleri, tehdit güncellemeleri veya organizasyonel değişiklikler durumunda plan yeniden düzenlenecek.
Risk Değerlendirmesi ve Felaket Kurtarma Merkezi Zorunlu
Reaktör içeren tesislerde yılda en az bir kez, diğer tesislerde ise üç yılda bir siber güvenlik risk değerlendirmesi yapılacak. Ayrıca kritik sistemlerin zarar görmesi durumuna karşı yedekleme mekanizmaları kurulacak ve ana sistemlerden bağımsız felaket kurtarma merkezleri oluşturulacak.
Siber Olaylar 5 Gün İçinde Bildirilecek
Yeni yönetmelikle birlikte siber olayların bildirim süreci de netleştirildi. Güvenlik veya nükleer emniyeti etkileyen siber olaylar, en geç beş iş günü içinde NDK’ye raporlanacak. Raporda olayın nedenleri, etkileri ve alınan önlemler detaylı şekilde yer alacak.
Yıllık Tatbikat ve Eğitim Zorunluluğu
Nükleer tesislerde siber güvenlik farkındalığını artırmak amacıyla her yıl tatbikat yapılacak. Ayrıca tüm personele yılda en az bir kez siber güvenlik eğitimi verilecek. Uzman personel için ise özel eğitim programları uygulanacak.
Denetim ve Yaptırımlar Artırıldı
Yönetmelik kapsamında tüm faaliyetler NDK denetimine tabi olacak. Kurallara aykırı hareket eden kuruluşlara idari yaptırımlar uygulanacak. Ayrıca mevcut tesislerin yeni düzenlemelere uyum sağlaması için belirli süreler tanındı.
Uyum Süreci İçin Süre Tanındı
Yönetmelik yürürlüğe girmeden önce yetkilendirilen kuruluşlar, uyum eylem planlarını altı ay içinde NDK’ye sunmak zorunda olacak. Gerekli görülmesi halinde bu süre bir yıla kadar uzatılabilecek.
