ÖNE ÇIKAN DETAYLAR
- Nükleer tesislerdeki tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici atanacak.
- Güvenlik önlemlerinin belirlenmesinde risk bazlı ‘dereceli yaklaşım’ ve katmanlı ‘derinliğine savunma’ ilkeleri esas alınacak.
- Kritik dijital varlıklar için güncel envanter tutulacak ve ana sistemlerden bağımsız felaket kurtarma merkezi oluşturulacak.
- Siber olaylar veya tehditler NDK ve Siber Güvenlik Başkanlığına bildirilecek; olay sonrası 5 gün içinde detaylı rapor sunulacak.
- Tesis personeline her yıl zorunlu siber güvenlik eğitim ve farkındalık programı uygulanacak.
Nükleer Düzenleme Kurumu (NDK), nükleer tesislerde siber güvenliğin sağlanmasına ilişkin usul ve esasları belirledi.
NDK’nin "Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmeliği", Resmi Gazete’de yayımlanarak yürürlüğe girdi.
Buna göre, nükleer tesislerde siber güvenliğin sağlanmasında asıl sorumluluk, tesisi kuran, işleten veya işletmeden çıkaran kuruluşa ait olacak.
Kuruluşlar, nükleer tesis ve sahanın düzenleyici kontrolden çıkarılmasına kadar dijital varlıkların siber saldırılara karşı korunması, saldırıların önlenmesi, tespit edilmesi, müdahale edilmesi ve saldırılardan etkilenen dijital varlıkların kurtarılması için gerekli faaliyetleri yürütecek.
Bu kapsamda, nükleer tesisteki tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici atanacak ve bu görevi organizasyon yapısına dahil edilecek.
Yönetmelikle, nükleer tesislerde siber güvenlik önlemlerinin belirlenmesi ve uygulanmasında "dereceli yaklaşım" ve "derinliğine savunma" ilkeleri esas alınacak. Böylece dijital varlıkların güvenlik, emniyet ve nükleer güvence üzerindeki etkisine göre risk bazlı ve katmanlı bir koruma yapısı oluşturulacak.
Kuruluşlar, tüm dijital varlıkları tanımlayacak, bunların güvenlik, emniyet ve nükleer güvenceye ilişkin işlevlerini belirleyecek ve her dijital varlık için kritiklik derecesi atayacak. Kritik dijital varlıklar için güncel envanter tutulacak. Bu envanterde varlığın adı, tipi, yeri, yedekleme bilgisi, kritiklik derecesi ve sorumlusu yer alacak.
Siber güvenlik planı hazırlanacak
Ayrıca, siber güvenlik planı hazırlanarak NDK’ye sunulacak. Plan yılda en az bir kez gözden geçirilecek. Riskin değişmesi, ilgili belgelerin güncellenmesi, organizasyon yapısında değişiklik yapılması veya tehdit esaslı tasarım belgesinin güncellenmesi halinde plan yenilenecek.
Yönetmelik kapsamında reaktör içeren tesislerde yılda en az bir kez, diğer nükleer tesislerde ise en az üç yılda bir planlı siber güvenlik risk değerlendirmesi yapılacak. Kritik dijital varlıklarda değişiklik olması, tehdit bilgilerinin değişmesi veya yeni zafiyetlerin tespit edilmesi halinde ilave risk değerlendirmesi ivedilikle gerçekleştirilecek.
Kritik dijital varlıkların kaybı veya zarar görmesi ihtimaline karşı yedekleme mekanizmaları kurulacak. Felaket, arıza veya siber saldırı durumunda kritik dijital varlıkların ve elektronik haberleşme hizmetlerinin sürekliliğini sağlamak amacıyla, ana sistemlerden etkilenmeyecek uzaklıkta felaket kurtarma merkezi oluşturulacak.
Siber olaylara ilişkin bildirim süreci de düzenlendi. Güvenlik, emniyet veya nükleer güvenceye zarar veren ya da zarar verme ihtimali bulunan siber olaylar ve tehditler NDK’ye ve Siber Güvenlik Başkanlığına bildirilecek. Olayın tespit edilmesini izleyen beş iş günü içinde kuruma rapor sunulacak.
Söz konusu raporda, siber olayın nedenleri ve etkileri, yürütülen müdahale faaliyetleri, olaydan çıkarılan dersler ile düzeltici ve önleyici faaliyetler yer alacak.
Kuruluşlar, siber olaylara müdahale planının yeterliliğini test etmek için yılda en az bir kez kritik dijital varlıkları kapsayan senaryoyla siber olay tatbikatı yapacak. Bu tatbikatlar en az iki yılda bir güvenlik ve emniyete yönelik senaryolarla birleştirilerek hibrit şekilde gerçekleştirilecek.
Personele siber güvenlik eğitimi ve farkındalık programı
Personel yönetimi kapsamında ise tüm tesis personeline yılda en az bir kez siber güvenlik eğitim ve farkındalık programı uygulanacak. Siber güvenlik personeline özel eğitim programları yürütülecek ve personelin erişim yetkileri görev tanımı ile uzmanlık seviyesine göre sınırlandırılacak.
Kuruluşlar, siber güvenlik uygulamasına ilişkin bilgileri takip eden yılın şubat ayı sonuna kadar raporlayacak. Siber güvenlik testleri, iç denetimler, eğitim programları, zafiyetlerin giderilmesine yönelik faaliyetler ve gelecek yıl planlanan çalışmalar bu raporda yer alacak.
Yönetmelik kapsamındaki faaliyetler NDK denetimine tabi olacak. İlgili mevzuata, yetki koşullarına, kurum kararlarına veya talimatlarına aykırılık tespit edilmesi halinde idari yaptırım uygulanacak.
Yönetmeliğin yürürlüğe girdiği tarihten önce yetkilendirilen veya yetkilendirilmek üzere NDK’ye başvuran kuruluşlar, uyum eylem planlarını altı ay içinde kuruma sunacak. Bu süre, gerekçenin uygun bulunması halinde bir yıla kadar uzatılabilecek.
