Nükleer Tesislerde Siber Güvenlik Yönetmeliği Yürürlüğe Girdi: Kritik Dijital Varlıklar İçin Yeni Standartlar Belirlendi

Nükleer Tesislerde Siber Güvenlik Yönetmeliği Resmi Gazete'de Yayımlandı

Nükleer Düzenleme Kurumu (NDK), nükleer tesislerde siber güvenliği sağlamak amacıyla yeni usul ve esasları belirleyen yönetmeliği yürürlüğe koydu. Bu yönetmelikle birlikte nükleer tesislerde dijital varlıkların korunması, siber saldırıların önlenmesi ve müdahale süreçlerine ilişkin kurallar netleşti.

Siber Güvenlikten Sorumlu Yönetici ve Organizasyon Yapısı

Yönetmeliğe göre, nükleer tesislerdeki tüm dijital varlıkların siber güvenliğinden sorumlu özel bir yönetici atanacak ve bu görev organizasyon yapısı içine entegre edilecek. Böylece tesisin dijital altyapısında görev dağılımı ve sorumluluklar açık şekilde tanımlanmış olacak.

Dereceli Yaklaşım ve Derinliğine Savunma İlkeleri

Yönetmelik, nükleer tesislerde uygulanacak siber güvenlik önlemlerinde "dereceli yaklaşım" ve "derinliğine savunma" prensiplerini esas alıyor. Bu ilkeler kapsamında dijital varlıkların güvenlik, emniyet ve nükleer güvence üzerindeki etkisi dikkate alınarak risk bazlı katmanlı koruma yöntemleri geliştirilecek.

Dijital Varlık Envanteri ve Kritiklik Derecelendirmesi

Kurumlar, sahip oldukları tüm dijital varlıkları belirleyecek, her birinin güvenlik ve emniyet işlevlerini analiz edecek ve kritiklik dereceleri atanacak. Kritik olarak tanımlanan varlıklar için güncel ve detaylı envanter tutulması zorunlu olacak; bu envanterde varlığın adı, tipi, yeri, yedekleme bilgisi ve sorumlusu yer alacak.

Siber Güvenlik Planları ve Risk Değerlendirmeleri

Her kuruluş, kapsamlı bir siber güvenlik planı oluşturup NDK'ye sunacak ve planı yılda en az bir kere gözden geçirecek. Nükleer reaktör içeren tesislerde her yıl, diğer nükleer tesislerde ise en az üç yılda bir planlı risk değerlendirmesi yapılması şart koşuluyor. Ayrıca kritik dijital varlıklarda meydana gelen değişiklikler veya yeni tehditlerin ortaya çıkması durumunda ilave değerlendirmeler ivedilikle gerçekleştirilecek.

Kritik Dijital Varlıkların Korunması ve Felaket Kurtarma Merkezi

Kritik dijital varlıkların olası kayıp veya hasarlara karşı korunması için yedekleme mekanizmaları kurulacak ve felaket senaryolarında kritik sistemlere zarar gelmemesi için ana sistemlerden bağımsız bir felaket kurtarma merkezi oluşturulacak. Bu, sürekliliğin sağlanması için hayati bir önlem olarak değerlendiriliyor.

Siber Olayların Bildirimi ve Raporlama Süreçleri

Siber güvenliği tehdit eden olaylar ile bu olayların nedenleri, etkileri ve müdahale faaliyetleri NDK ve Siber Güvenlik Başkanlığına bildirilecek. Olayın tespitini takip eden beş iş günü içinde kapsamlı bir rapor sunulması zorunlu hale getirildi. Raporlarda ayrıca olaylardan çıkarılan dersler ve alınan önleyici tedbirler detaylandırılacak.

Siber Olay Tatbikatları ve Personel Eğitimi

Kuruluşlar, kritik dijital varlıkları kapsayan siber olay müdahale tatbikatlarını yılda en az bir kez gerçekleştirecek. Bu tatbikatlar güvenlik ve emniyete yönelik senaryolarla hibrit biçimde en az iki yılda bir uygulanacak. Ayrıca tüm tesis personeline yılda en az bir defa zorunlu siber güvenlik eğitimleri verilecek ve personelin erişim yetkileri uzmanlık seviyesine göre sınırlandırılacak.

NDK Denetimleri ve Uyum Süreçleri

Yönetmelik kapsamında yapılan tüm faaliyetler NDK’nın denetimine tabi olacak ve mevzuata aykırı durumlarda idari yaptırımlar uygulanacak. Daha önce yetkilendirilmiş veya yetkilendirilecek kuruluşların, uyum eylem planlarını altı ay içinde kuruma sunması gerekecek, bu süre uygun görülürse bir yıla kadar uzatılabilecek.

Sonuç olarak, Nükleer Düzenleme Kurumu tarafından hazırlanan bu yeni yönetmelik, nükleer tesislerde dijital altyapının güvenliğini artırırken, riskleri minimize ederek kritik varlıkların korunmasını sağlayacak profesyonel bir çerçeve oluşturmuştur.