Nükleer Düzenleme Kurumu, nükleer tesislerde siber güvenliğin sağlanmasına yönelik usul ve esasları belirledi. Resmi Gazete’de yayımlanarak yürürlüğe giren yönetmelikle, dijital varlıkların siber saldırılara karşı korunması, risklerin izlenmesi, olaylara müdahale edilmesi ve kritik sistemlerin sürekliliğinin sağlanmasına ilişkin yeni yükümlülükler getirildi.
NÜKLEER TESİSLERDE SİBER GÜVENLİK SORUMLULUĞU KURULUŞLARDA
Yönetmeliğe göre, nükleer tesislerde siber güvenliğin sağlanmasında temel sorumluluk, tesisi kuran, işleten veya işletmeden çıkaran kuruluşta olacak.
Kuruluşlar, nükleer tesis ve sahanın düzenleyici kontrolden çıkarılmasına kadar dijital varlıkların korunması için gerekli önlemleri almakla yükümlü olacak.
Bu kapsamda siber saldırıların önlenmesi, tespit edilmesi, saldırılara müdahale edilmesi ve etkilenen dijital varlıkların kurtarılması için gerekli faaliyetler yürütülecek.
TÜM DİJİTAL VARLIKLAR İÇİN SORUMLU YÖNETİCİ
Nükleer tesislerdeki tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici atanacak. Bu görev, kuruluşun organizasyon yapısına açık şekilde dahil edilecek.
Kuruluşlar, tesisteki tüm dijital varlıkları tanımlayacak. Bu varlıkların güvenlik, emniyet ve nükleer güvenceye ilişkin işlevleri belirlenecek.
Her dijital varlık için kritiklik derecesi atanacak. Kritik dijital varlıklar için güncel envanter tutulacak.
RİSK BAZLI VE KATMANLI KORUMA MODELİ UYGULANACAK
Yönetmelikle, nükleer tesislerde siber güvenlik önlemlerinin belirlenmesi ve uygulanmasında “dereceli yaklaşım” ile “derinliğine savunma” ilkeleri esas alınacak.
Böylece dijital varlıkların güvenlik, emniyet ve nükleer güvence üzerindeki etkisine göre risk bazlı ve katmanlı bir koruma yapısı oluşturulacak.
Kritik dijital varlık envanterinde varlığın adı, tipi, bulunduğu yer, yedekleme bilgisi, kritiklik derecesi ve sorumlusu bulunacak.
SİBER GÜVENLİK PLANI NDK’YE SUNULACAK
Kuruluşlar, siber güvenlik planı hazırlayarak NDK’ye sunacak. Plan, yılda en az bir kez gözden geçirilecek.
Riskin değişmesi, ilgili belgelerin güncellenmesi, organizasyon yapısında değişiklik yapılması veya tehdit esaslı tasarım belgesinin yenilenmesi halinde plan da güncellenecek.
Reaktör içeren tesislerde yılda en az bir kez, diğer nükleer tesislerde ise en az üç yılda bir planlı siber güvenlik risk değerlendirmesi yapılacak.
KRİTİK VARLIKLAR İÇİN FELAKET KURTARMA MERKEZİ KURULACAK
Kritik dijital varlıkların kaybı veya zarar görmesi ihtimaline karşı yedekleme mekanizmaları oluşturulacak.
Felaket, arıza veya siber saldırı durumunda kritik dijital varlıklar ile elektronik haberleşme hizmetlerinin sürekliliği sağlanacak.
Bu amaçla, ana sistemlerden etkilenmeyecek uzaklıkta felaket kurtarma merkezi kurulacak.
SİBER OLAYLAR NDK VE SİBER GÜVENLİK BAŞKANLIĞINA BİLDİRİLECEK
Güvenlik, emniyet veya nükleer güvenceye zarar veren ya da zarar verme ihtimali bulunan siber olaylar ve tehditler, NDK’ye ve Siber Güvenlik Başkanlığına bildirilecek.
Olayın tespit edilmesini izleyen beş iş günü içinde kuruma rapor sunulacak.
Raporda, siber olayın nedenleri ve etkileri, yürütülen müdahale faaliyetleri, olaydan çıkarılan dersler ile düzeltici ve önleyici çalışmalar yer alacak.
YILDA EN AZ BİR KEZ SİBER OLAY TATBİKATI YAPILACAK
Kuruluşlar, siber olaylara müdahale planının yeterliliğini test etmek için yılda en az bir kez tatbikat yapacak.
Bu tatbikatlarda kritik dijital varlıkları kapsayan senaryolar kullanılacak.
Tatbikatlar, en az iki yılda bir güvenlik ve emniyete yönelik senaryolarla birleştirilerek hibrit şekilde gerçekleştirilecek.
PERSONELE SİBER GÜVENLİK EĞİTİMİ VERİLECEK
Yönetmelik kapsamında tüm tesis personeline yılda en az bir kez siber güvenlik eğitim ve farkındalık programı uygulanacak.
Siber güvenlik personeline ise özel eğitim programları düzenlenecek.
Personelin erişim yetkileri, görev tanımı ve uzmanlık seviyesine göre sınırlandırılacak.
NDK DENETİM YAPACAK, AYKIRILIKTA YAPTIRIM UYGULANACAK
Kuruluşlar, siber güvenlik uygulamalarına ilişkin bilgileri takip eden yılın şubat ayı sonuna kadar raporlayacak.
Bu raporda siber güvenlik testleri, iç denetimler, eğitim programları, zafiyetlerin giderilmesine yönelik faaliyetler ve gelecek yıl planlanan çalışmalar bulunacak.
Yönetmelik kapsamındaki faaliyetler NDK denetimine tabi olacak. Mevzuata, yetki koşullarına, kurum kararlarına veya talimatlarına aykırılık tespit edilmesi halinde idari yaptırım uygulanacak.
MEVCUT KURULUŞLAR İÇİN UYUM EYLEM PLANI ZORUNLULUĞU
Yönetmeliğin yürürlüğe girdiği tarihten önce yetkilendirilen veya yetkilendirilmek üzere NDK’ye başvuran kuruluşlar, uyum eylem planlarını altı ay içinde kuruma sunacak.
Bu süre, gerekçenin uygun bulunması halinde bir yıla kadar uzatılabilecek.
