Nükleer tesislerde siber güvenliğe ilişkin yeni yönetmelik Resmi Gazete’de yayımlandı. NDK’nin getirdiği yükümlülükler tesis işletmecilerine dijital varlıkları koruma sorumluluğu yüklüyor.
Nükleer Düzenleme Kurumu’nun (NDK) hazırladığı ‘Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik’ Resmi Gazete’de yayımlanarak yürürlüğe girdi. Yönetmelik, nükleer tesislerde dijital varlıkların siber saldırılara karşı korunması için getirdiği yükümlülükleri belirliyor.
Yönetmeliğe göre, nükleer tesislerin siber güvenlik sorumluluğu tesisi kuran, işleten veya işletmeden çıkaran kuruluşa ait olacak. Bu kuruluşlar, tesisin düzenleyici kontrolden çıkarılmasına kadar tüm dijital varlıkların siber saldırılara karşı korunması, saldırıların önlenmesi, tespit edilmesi ve müdahale edilmesi faaliyetlerini yürütecek.
Kuruluşlar, nükleer tesisteki tüm dijital varlıkların siber güvenliğinden sorumlu olacak bir yönetici atayacak. Yönetmelikte, siber güvenlik önlemlerinin belirlenmesi ve uygulanmasında ‘dereceli yaklaşım’ ve ‘derinliğine savunma’ ilkeleri esas alınacak. Bu prensiplerle, dijital varlıkların güvenlik, emniyet ve nükleer güvence üzerindeki etkisine göre risk bazlı ve katmanlı bir koruma yapısı oluşturulacak.
Tüm dijital varlıklar tanımlanacak, işlevleri belirlenecek ve kritiklik derecesi atanacak. Kritik dijital varlıklar için güncel bir envanter tutulacak. Bu envanterde varlığın adı, tipi, yeri, yedekleme bilgisi, kritiklik derecesi ve sorumlusu gibi detaylar yer alacak.
Yılda en az bir kez planlı siber güvenlik risk değerlendirmesi yapılacak. Kritik dijital varlıklarda değişiklik olması, tehdit bilgilerinin değişmesi veya yeni zafiyetlerin tespit edilmesi halinde ek risk değerlendirmeleri ivedilikle gerçekleştirilecek. Kritik dijital varlıkların kaybı veya zarar görmesi ihtimaline karşı yedekleme mekanizmaları kurulacak ve felaket kurtarma merkezleri oluşturulacak.
Siber olaylara ilişkin bildirim süreci de yönetmelikle düzenlendi. Güvenlik, emniyet veya nükleer güvenceye zarar veren veya verme ihtimali bulunan siber olaylar ve tehditler NDK’ye ve Siber Güvenlik Başkanlığına bildirilecek. Olay tespitini izleyen beş iş günü içinde nedenleri, etkileri, müdahale faaliyetleri ve çıkarılan dersleri içeren bir rapor sunulacak.
Kuruluşlar, siber olaylara müdahale planının yeterliliğini test etmek amacıyla yılda en az bir kez kritik dijital varlıkları kapsayan senaryolarla siber olay tatbikatı yapacak. Personelin siber güvenlik farkındalığını artırmak için tüm tesisteki personele yılda en az bir kez eğitim ve farkındalık programı uygulanacak. Siber güvenlik personeline yönelik özel eğitimler verilecek ve personelin erişim yetkileri görev tanımına göre sınırlandırılacak.
Yönetmelik kapsamındaki faaliyetler NDK denetimine tabi olacak ve mevzuata aykırılık tespit edilmesi halinde idari yaptırımlar uygulanacak. Yönetmeliğin yürürlüğe girdiği tarihten önce yetkilendirilen veya başvuruda bulunan kuruluşlar, uyum eylem planlarını altı ay içinde NDK’ye sunacak.
Yorum Yap