NDK'nin "Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmeliği", yayımlanarak yürürlüğe girdi.

Buna göre, nükleer tesislerde siber güvenliğin sağlanması temel sorumluluk olarak, tesisi kuran, işleten veya işletmeden çıkaran kuruluşa veriliyor.

Kuruluşlar, nükleer tesis ve sahanın düzenleyici kontrolden çıkarılmasına dek dijital varlıkların siber saldırılara karşı korunması, engellenmesi, tespit edilmesi, müdahale edilmesi ve etkilenen varlıkların kurtarılması için gereken etkinlikleri yerine getirecek.

Bu çerçevede, nükleer tesisteki tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici atanacak ve bu rol organizasyon yapısına entegre edilecek.

Yönetmelikle, nükleer tesislerde siber güvenlik önlemlerinin tanımlanması ve uygulanmasında "dereceli yaklaşım" ile "derinliğine savunma" ilkeleri temel alınacak. Böylece, dijital varlıkların güvenlik, emniyet ve nükleer güvence üzerindeki etkisine dayalı risk odaklı ve katmanlı bir koruma sistemi kurulacak.

Kuruluşlar, tüm dijital varlıkları belirleyecek, bunların güvenlik, emniyet ve nükleer güvenceye ilişkin işlevlerini saptayacak ve her varlık için kritiklik seviyesi atayacak. Kritik dijital varlıklar için güncel bir envanter tutulacak. Bu envanterde varlığın adı, türü, konumu, yedekleme bilgisi, kritiklik seviyesi ve sorumlusu bulunacak.

Ek olarak, siber güvenlik planı hazırlanarak ilgili kuruma sunulacak. Plan en az yılda bir kez incelenecek. Riskin değişmesi, ilgili belgelerin güncellenmesi, organizasyon yapısında değişiklik veya tehdit esaslı tasarım belgesinin güncellenmesi durumunda plan yenilenecek.

Yönetmelik kapsamında reaktör içeren tesislerde en az yılda bir kez, diğer nükleer tesislerde ise en az üç yılda bir planlı siber güvenlik risk değerlendirmesi gerçekleştirilecek. Kritik dijital varlıklarda değişiklik, tehdit bilgilerinin değişmesi veya yeni zafiyetlerin belirlenmesi halinde ek risk değerlendirmesi ivedilikle yapılacak.

Kritik dijital varlıkların kaybı veya hasar görmesi olasılığına karşı yedekleme mekanizmaları oluşturulacak. Felaket, arıza veya siber saldırı durumlarında kritik dijital varlıkların ve elektronik haberleşme hizmetlerinin kesintisizliğini sağlamak için, ana sistemlerden etkilenmeyecek mesafede felaket kurtarma merkezi kurulacak.

Siber olaylara ilişkin bildirim süreci tanımlandı. Güvenlik, emniyet veya nükleer güvenceye zarar veren veya verebilecek siber olaylar ve tehditler ilgili kurumlara bildirilecek. Olayın tespit edilmesini takip eden beş iş günü içinde rapor sunulacak.

Raporda, siber olayın sebepleri ve sonuçları, yürütülen müdahale çalışmaları, olaydan alınan dersler ile düzeltici ve önleyici eylemler yer alacak.

Kuruluşlar, siber olaylara müdahale planının etkinliğini test etmek amacıyla yılda en az bir kez kritik dijital varlıkları içeren senaryolarla siber olay tatbikatı düzenleyecek. Bu tatbikatlar en az iki yılda bir güvenlik ve emniyete yönelik senaryolarla birleştirilerek hibrit biçimde yapılacak.

Personel yönetimi alanında ise tüm tesis çalışanlarına yılda en az bir kez siber güvenlik eğitimi ve farkındalık programı verilecek. Siber güvenlik personeline özel eğitim programları uygulanacak ve personelin erişim yetkileri görev tanımına ve uzmanlık düzeyine göre kısıtlanacak.

Kuruluşlar, siber güvenlik uygulamalarına ilişkin bilgileri takip eden yılın şubat ayı sonuna kadar raporlayacak. Siber güvenlik testleri, iç denetimler, eğitim programları, zafiyetlerin giderilmesi için yapılan çalışmalar ve bir sonraki yıl planlanan etkinlikler bu raporda olacak.

Yönetmelik kapsamındaki etkinlikler ilgili kurumun denetimine tabi olacak. İlgili kurallara, yetki şartlarına, kurum kararlarına veya talimatlarına uymama durumunda idari yaptırım uygulanacak.

Yönetmeliğin yürürlüğe girdiği tarihten önce yetkilendirilen veya yetkilendirilmek için başvuran kuruluşlar, uyum eylem planlarını altı ay içinde ilgili kuruma iletecek. Bu süre, gerekçenin uygun görülmesi halinde bir yıla kadar uzatılabilecek.