Nükleer Düzenleme Kurumu (NDK), nükleer tesislerin dijital altyapılarını siber tehditlere karşı koruma altına alacak kapsamlı bir yönetmelik yayımladı. Resmi Gazete’de yürürlüğe giren yeni düzenleme ile nükleer tesislerde "dereceli yaklaşım" ve "derinliğine savunma" dönemi başlıyor.
ASIL SORUMLULUK İŞLETMECİ KURULUŞTA
Yayımlanan "Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik" uyarınca, bir nükleer tesisin siber güvenliğinden birinci derecede sorumlu taraf; tesisi kuran, işleten veya işletmeden çıkarma işlemlerini yürüten kuruluş olacak. Bu sorumluluk, tesisin ve sahasının düzenleyici kontrolden tamamen çıkarılmasına kadar devam edecek. Kuruluşlar, dijital varlıkların korunması, olası saldırıların önlenmesi, tespiti ve saldırı sonrası sistemlerin kurtarılması süreçlerini bizzat yönetecek.
SİBER GÜVENLİK YÖNETİCİSİ ATANACAK
Yönetmelik, nükleer tesislerin organizasyon şemasında kritik bir değişikliği zorunlu kılıyor. Buna göre, her tesiste tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici atanacak ve bu görev tanımı resmi organizasyon yapısına dahil edilecek.
"DERECELİ YAKLAŞIM" VE "DERİNLİĞİNE SAVUNMA" İLKELERİ
Siber güvenlik önlemlerinin belirlenmesinde iki temel ilke esas alınacak:
DERECELİ YAKLAŞIM: Dijital varlıkların emniyet ve nükleer güvence üzerindeki etkisine göre risk bazlı bir koruma sağlanacak.
DERİNLİĞİNE SAVUNMA: Olası sızmalara karşı katmanlı bir savunma yapısı oluşturulacak.
Kuruluşlar, tesisteki tüm dijital varlıkları tanımlayarak bir envanter oluşturacak. Bu envanterde varlığın tipi, konumu, yedekleme bilgileri ve kritiklik derecesi gibi detaylar yer alacak.
SİBER GÜVENLİK PLANI VE RİSK DEĞERLENDİRMESİ
Tesisler, hazırlayacakları siber güvenlik planlarını NDK onayına sunacak. Bu planlar yılda en az bir kez gözden geçirilecek; tehdit ortamı veya organizasyon yapısı değiştiğinde ise ivedilikle güncellenecek. Risk değerlendirme süreçleri ise tesis tipine göre farklılık gösterecek:
Reaktör içeren tesislerde: Yılda en az bir kez.
Diğer nükleer tesislerde: En az üç yılda bir planlı değerlendirme yapılacak.
Felaket Kurtarma ve Yedekleme Sistemleri
Olası bir siber saldırı, arıza veya felaket durumunda sistem sürekliliğini sağlamak amacıyla, ana sistemlerden etkilenmeyecek bir mesafede "Felaket Kurtarma Merkezi" kurulması zorunlu hale getirildi. Kritik dijital varlıkların kaybına karşı sürekli yedekleme mekanizmaları devrede olacak.
BİLDİRİM VE RAPORLAMA SÜRECİ
Güvenliği veya nükleer güvenceyi tehdit eden her türlü siber olay, NDK’ye ve Siber Güvenlik Başkanlığına bildirilecek. Olayın tespitinden itibaren beş iş günü içinde kapsamlı bir rapor sunulması gerekecek. Bu raporda olayın nedenleri, müdahale yöntemleri ve alınacak önleyici faaliyetler detaylandırılacak.
EĞİTİM VE TATBİKAT ZORUNLULUĞU
Yönetmelik, personel farkındalığını da kapsama alıyor. Tüm tesis çalışanları yılda en az bir kez siber güvenlik eğitiminden geçecek. Ayrıca, müdahale planlarının yeterliliğini ölçmek adına yılda en az bir kez siber olay tatbikatı yapılacak. Bu tatbikatlar, iki yılda bir fiziki güvenlik senaryolarıyla birleştirilerek "hibrit" modelde gerçekleştirilecek.
DENETİM VE UYUM SÜRECİ
Tüm faaliyetler NDK’nin denetimine tabi olacak ve aykırı durumlarda idari yaptırımlar uygulanacak. Mevcut tesisler veya başvuru aşamasındaki kuruluşlar, uyum eylem planlarını altı ay içinde kuruma sunmakla yükümlü olacak. Bu süre, geçerli bir gerekçe sunulması halinde bir yıla kadar uzatılabilecek.
