Nükleer Düzenleme Kurumu (NDK), nükleer tesislerde siber güvenliğin sağlanmasına ilişkin usul ve esasları belirledi. NDK'nin "Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmeliği", Resmi Gazete'de yayımlanarak yürürlüğe girdi. Nükleer tesislerde siber güvenliğin sağlanmasında asıl sorumluluk, tesisi kuran, işleten veya işletmeden çıkaran kuruluşa ait olacak. Kuruluşlar, nükleer tesis ve sahanın düzenleyici kontrolden çıkarılmasına kadar dijital varlıkların siber saldırılara karşı korunması, saldırıların önlenmesi, tespit edilmesi, müdahale edilmesi ve saldırılardan etkilenen dijital varlıkların kurtarılması için gerekli faaliyetleri yürütecek. Düzenlemeye göre nükleer tesisteki tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici atanacak ve bu görevi organizasyon yapısına dahil edilecek. Yönetmelikle, nükleer tesislerde siber güvenlik önlemlerinin belirlenmesi ve uygulanmasında "dereceli yaklaşım" ve "derinliğine savunma" ilkeleri esas alınacak. Böylece dijital varlıkların güvenlik, emniyet ve nükleer güvence üzerindeki etkisine göre risk bazlı ve katmanlı bir koruma yapısı oluşturulacak. Kuruluşlar, tüm dijital varlıkları tanımlayacak, bunların güvenlik, emniyet ve nükleer güvenceye ilişkin işlevlerini belirleyecek ve her dijital varlık için kritiklik derecesi atayacak. Kritik dijital varlıklar için güncel envanter tutulacak. Bu envanterde varlığın adı, tipi, yeri, yedekleme bilgisi, kritiklik derecesi ve sorumlusu yer alacak. Siber güvenlik planı hazırlanacak Ayrıca, siber güvenlik planı hazırlanarak NDK'ye sunulacak. Plan yılda en az bir kez gözden geçirilecek. Riskin değişmesi, ilgili belgelerin güncellenmesi, organizasyon yapısında değişiklik yapılması veya tehdit esaslı tasarım belgesinin güncellenmesi halinde plan yenilenecek. Yönetmelik kapsamında reaktör içeren tesislerde yılda en az bir kez, diğer nükleer tesislerde ise en az üç yılda bir planlı siber güvenlik risk değerlendirmesi yapılacak. Kritik dijital varlıklarda değişiklik olması, tehdit bilgilerinin değişmesi veya yeni zafiyetlerin tespit edilmesi halinde ilave risk değerlendirmesi ivedilikle gerçekleştirilecek. Kritik dijital varlıkların kaybı veya zarar görmesi ihtimaline karşı yedekleme mekanizmaları kurulacak. Felaket, arıza veya siber saldırı durumunda kritik dijital varlıkların ve elektronik haberleşme hizmetlerinin sürekliliğini sağlamak amacıyla, ana sistemlerden etkilenmeyecek uzaklıkta felaket kurtarma merkezi oluşturulacak. [news_id:862592]
