Nükleer Tesislerde Siber Güvenlik Dönemi

Türkiye’nin nükleer enerji alanındaki adımları, dijital güvenlik duvarlarıyla tahkim ediliyor. Nükleer Düzenleme Kurumu (NDK) tarafından hazırlanan ve nükleer tesislerde siber güvenliğin sağlanmasına yönelik usul ve esasları belirleyen yeni yönetmelik, Resmi Gazete’de yayımlanarak resmen yürürlüğe girdi. Bu düzenleme ile nükleer tesislerin dijital altyapıları, olası siber tehditlere karşı en üst düzeyde koruma altına alınıyor.

Sorumluluk İşletmeci Kuruluşta

Yeni yasal düzenleme, nükleer tesislerin siber güvenliğinde asıl sorumluluğu tesisin kurulumundan işletilmesine, hatta işletmeden çıkarılmasına kadar olan tüm süreçlerde ilgili kuruluşa yüklüyor. Tesisler düzenleyici kontrolden tamamen çıkarılana dek, dijital varlıkların siber saldırılardan korunması, bu saldırıların önceden tespit edilerek engellenmesi ve olası bir ihlal durumunda sistemlerin hızla kurtarılmasına yönelik tüm faaliyetler ilgili kuruluşlarca yürütülecek. Bu süreçlerin sağlıklı işlemesi için organizasyon yapısı içerisinde doğrudan siber güvenlikten sorumlu bir yönetici atanması zorunlu hale getirildi.

Katmanlı Savunma ve Dereceli Yaklaşım

Yönetmelik, siber güvenlik önlemlerinin uygulanmasında “dereceli yaklaşım” ve “derinliğine savunma” ilkelerini temel alıyor. Bu stratejiyle, tesis bünyesindeki dijital varlıkların nükleer emniyet ve güvenlik üzerindeki etkisi analiz edilerek her birine kritiklik derecesi atanacak. Belirlenen kritik varlıklar için varlığın tipinden yedeğine kadar tüm detayları içeren güncel envanterler tutulacak. Risk odaklı bu yapı, saldırganların aşması gereken çok katmanlı bir savunma hattı oluşturulmasını amaçlıyor.

Siber Güvenlik Planı ve Risk Analizi

Düzenleme kapsamında kuruluşlar, kapsamlı bir siber güvenlik planı hazırlayarak NDK’ye sunmakla yükümlü olacak. Yılda en az bir kez gözden geçirilecek olan bu plan; risk profilindeki değişimler, organizasyonel güncellemeler veya yeni tehdit senaryoları durumunda derhal yenilenecek. Ayrıca, reaktör içeren tesislerde her yıl, diğer tesislerde ise üç yılda bir periyodik risk değerlendirmeleri yapılacak. Olası bir sistem kaybına karşı, ana merkezden etkilenmeyecek mesafede “felaket kurtarma merkezleri” kurulması ve yedekleme mekanizmalarının işletilmesi de şart koşuluyor.

Olay Bildirimi ve Hibrit Tatbikatlar

Dijital güvenliği tehdit eden her türlü olay, NDK ve Siber Güvenlik Başkanlığına ivedilikle bildirilecek. Olayın tespitinden sonraki beş iş günü içinde sunulacak detaylı raporlarda; saldırının nedenleri, alınan önlemler ve çıkarılan dersler yer alacak. Sistemlerin dayanıklılığını ölçmek amacıyla her yıl siber olay tatbikatları düzenlenecek; bu tatbikatlar iki yılda bir fiziki güvenlik senaryolarıyla birleştirilerek hibrit bir yapıya kavuşturulacak.

Sürekli Eğitim ve Denetim Mekanizması

Güvenlik zincirinin en önemli halkası olan insan faktörü de unutulmadı. Tüm personel için yılda en az bir kez siber güvenlik farkındalık eğitimleri düzenlenecek, uzman personel ise seviyelerine göre sınırlandırılmış erişim yetkileriyle çalışacak. NDK, tüm bu süreçleri denetleme yetkisine sahip olacak ve mevzuata aykırı durumlarda idari yaptırım uygulayacak. Hali hazırda faaliyet gösteren veya başvuru sürecinde olan kuruluşlar, yeni yönetmeliğe uyum eylem planlarını altı ay içinde kuruma sunmak zorunda olacak.