Nükleer Düzenleme Kurumu (NDK) tarafından hazırlanan “Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik” Resmi Gazete’de yayımlanarak yürürlüğe girdi. Yönetmelikle birlikte nükleer tesislerde siber güvenliğin sağlanmasına ilişkin sorumluluklar netleştirilirken, tesisleri işleten kuruluşlara dijital varlıkların korunmasından risk yönetimine, olay bildirimi ve düzenli denetimlere kadar geniş kapsamlı yükümlülükler getirildi.
Nükleer tesisler için siber güvenlik planı hazırlanacak
Ayrıca, siber güvenlik planı hazırlanarak NDK'ye sunulacak. Plan yılda en az bir kez gözden geçirilecek. Riskin değişmesi, ilgili belgelerin güncellenmesi, organizasyon yapısında değişiklik yapılması veya tehdit esaslı tasarım belgesinin güncellenmesi halinde plan yenilenecek.
Yönetmelik kapsamında reaktör içeren tesislerde yılda en az bir kez, diğer nükleer tesislerde ise en az üç yılda bir planlı siber güvenlik risk değerlendirmesi yapılacak. Kritik dijital varlıklarda değişiklik olması, tehdit bilgilerinin değişmesi veya yeni zafiyetlerin tespit edilmesi halinde ilave risk değerlendirmesi ivedilikle gerçekleştirilecek.
Kritik dijital varlıkların kaybı veya zarar görmesi ihtimaline karşı yedekleme mekanizmaları kurulacak. Felaket, arıza veya siber saldırı durumunda kritik dijital varlıkların ve elektronik haberleşme hizmetlerinin sürekliliğini sağlamak amacıyla, ana sistemlerden etkilenmeyecek uzaklıkta felaket kurtarma merkezi oluşturulacak.
Siber olaylara ilişkin bildirim süreci de düzenlendi. Güvenlik, emniyet veya nükleer güvenceye zarar veren ya da zarar verme ihtimali bulunan siber olaylar ve tehditler NDK'ye ve Siber Güvenlik Başkanlığına bildirilecek. Olayın tespit edilmesini izleyen beş iş günü içinde kuruma rapor sunulacak.
Söz konusu raporda, siber olayın nedenleri ve etkileri, yürütülen müdahale faaliyetleri, olaydan çıkarılan dersler ile düzeltici ve önleyici faaliyetler yer alacak.
Kuruluşlar, siber olaylara müdahale planının yeterliliğini test etmek için yılda en az bir kez kritik dijital varlıkları kapsayan senaryoyla siber olay tatbikatı yapacak. Bu tatbikatlar en az iki yılda bir güvenlik ve emniyete yönelik senaryolarla birleştirilerek hibrit şekilde gerçekleştirilecek.
Personele siber güvenlik eğitimi ve farkındalık programı
Personel yönetimi kapsamında ise tüm tesis personeline yılda en az bir kez siber güvenlik eğitim ve farkındalık programı uygulanacak. Siber güvenlik personeline özel eğitim programları yürütülecek ve personelin erişim yetkileri görev tanımı ile uzmanlık seviyesine göre sınırlandırılacak.
Kuruluşlar, siber güvenlik uygulamasına ilişkin bilgileri takip eden yılın şubat ayı sonuna kadar raporlayacak. Siber güvenlik testleri, iç denetimler, eğitim programları, zafiyetlerin giderilmesine yönelik faaliyetler ve gelecek yıl planlanan çalışmalar bu raporda yer alacak.
Yönetmelik kapsamındaki faaliyetler NDK denetimine tabi olacak. İlgili mevzuata, yetki koşullarına, kurum kararlarına veya talimatlarına aykırılık tespit edilmesi halinde idari yaptırım uygulanacak.
Yönetmeliğin yürürlüğe girdiği tarihten önce yetkilendirilen veya yetkilendirilmek üzere NDK'ye başvuran kuruluşlar, uyum eylem planlarını altı ay içinde kuruma sunacak. Bu süre, gerekçenin uygun bulunması halinde bir yıla kadar uzatılabilecek.
0 Yorum
Henüz yorum yapılmamış. İlk yorumu siz yapın!
Bir Yorum Bırakın