Dijital Varlıklar Siber Saldırılara Karşı Sıkı Koruma Altına Alınıyor
Nükleer Düzenleme Kurumu (NDK), nükleer tesislerin siber güvenliğine yönelik kapsamlı bir yönetmelik yayımlayarak yürürlüğe koydu. Resmi Gazete’de yer alan yeni düzenlemeye göre, nükleer tesislerin dijital varlıklarının siber saldırılara karşı korunması, önlenmesi, tespit edilmesi ve bunlara müdahale edilmesi konularındaki nihai sorumluluk tesis kuran, işleten veya işletmeden çıkaran kuruluşlara ait olacak.
Yönetmelik, nükleer tesislerde faaliyet gösteren kuruluşların, tesislerin düzenleyici kontrolden çıkarılmasına kadar geçen süreçte dijital varlıklarını siber tehditlere karşı güvence altına almasını zorunlu kılıyor. Bu kapsamda, her tesis bünyesinde dijital varlıkların siber güvenliğinden sorumlu olacak bir yönetici atanması ve bu pozisyonun organizasyon yapısına entegre edilmesi gerekecek. Uygulamada “dereceli yaklaşım” ve “derinliğine savunma” ilkelerinin benimsenmesiyle, dijital varlıkların güvenlik, emniyet ve nükleer güvence üzerindeki etkilerine göre katmanlı bir risk bazlı koruma mekanizması oluşturulacak.
Kuruluşlar, tüm dijital varlıklarını detaylı bir şekilde tanımlayacak, işlevlerini belirleyecek ve kritiklik derecelerine göre sınıflandıracak. Kritik dijital varlıklar için düzenli olarak güncellenen bir envanter tutulacak. Bu envanterde varlığın adı, tipi, konumu, yedekleme bilgileri, kritiklik derecesi ve sorumlusu gibi bilgiler yer alacak. Ayrıca, hazırlanan siber güvenlik planı en az yılda bir kez NDK’ye sunulacak ve gözden geçirilecek. Plan, risk değişimleri, organizasyonel güncellemeler veya tehdit bazlı tasarım belgelerindeki değişiklikler halinde yenilenecek.
Yönetmelik, reaktörlü tesislerde yılda en az bir kez, diğer nükleer tesislerde ise en az üç yılda bir planlı siber güvenlik risk değerlendirmesi yapılmasını öngörüyor. Kritik dijital varlıklardaki değişiklikler, tehdit bilgilerindeki güncellemeler veya yeni zafiyetlerin tespiti gibi durumlarda ek risk değerlendirmeleri acilen gerçekleştirilecek. Kritik dijital varlıkların kaybı veya zarar görmesi ihtimaline karşı yedekleme mekanizmaları kurulacak ve ana sistemlerden bağımsız bir felaket kurtarma merkezi oluşturulacak.
Siber olayların bildirim süreci de detaylandırıldı. Güvenlik, emniyet veya nükleer güvenceyi tehdit eden veya etme potansiyeli bulunan siber olaylar ve tehditler, tespit edildikten sonraki beş iş günü içinde NDK ve Siber Güvenlik Başkanlığı’na raporlanacak. Raporlarda olayın nedenleri, etkileri, müdahale faaliyetleri ve alınan dersler detaylı bir şekilde sunulacak.
Kuruluşlar, siber olaylara müdahale planlarının etkinliğini test etmek amacıyla yılda en az bir kez kritik dijital varlıkları kapsayan siber olay tatbikatları düzenleyecek. Bu tatbikatlar, en az iki yılda bir güvenlik ve emniyete yönelik senaryolarla birleştirilerek hibrit bir yapıda gerçekleştirilecek. Personel yönetimi kapsamında ise tüm çalışanlara yılda en az bir kez siber güvenlik eğitim ve farkındalık programı uygulanacak. Siber güvenlik personeline özel eğitimler verilecek ve personel erişim yetkileri görev ve uzmanlık seviyelerine göre sınırlandırılacak.
Kuruluşlar, siber güvenlik uygulamalarına ilişkin bilgileri takip eden yılın şubat ayı sonuna kadar raporlayacak. Bu raporlar, siber güvenlik testleri, iç denetimler, eğitim programları, zafiyet giderme faaliyetleri ve gelecek yılın planlarını içerecek. Yönetmelik kapsamındaki tüm faaliyetler NDK denetimine tabi olacak ve mevzuata aykırılık halinde idari yaptırımlar uygulanacak. Yönetmelik yürürlüğe girdiği tarihten önce yetkilendirilmiş veya başvuruda bulunmuş kuruluşlar, uyum eylem planlarını altı ay içinde NDK’ye sunmak zorunda olacak; bu süre, gerekçeli durumlarda bir yıla kadar uzatılabilecek.
Finans Hattı Yorum:
Yeni yayınlanan Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik, enerji sektöründe faaliyet gösteren kritik altyapıların dijital güvenliğini üst seviyeye taşıyarak hem operasyonel kesintileri önlemeyi hem de ulusal güvenliği pekiştirmeyi hedeflemektedir. Bu düzenleme, siber tehditlerin artış gösterdiği küresel ortamda proaktif bir adım niteliğindedir. Yönetmelik, şirketlere getirdiği ek maliyetler ve operasyonel yükümlülükler açısından başlangıçta bazı zorluklar yaratabilir. Ancak uzun vadede, potansiyel siber saldırıların neden olabileceği çok daha büyük ekonomik ve güvenlik kayıplarının önüne geçilmesi bakımından kritik öneme sahiptir. Özellikle siber olaylara müdahale ve felaket kurtarma planlarının hazırlanması, şirketlerin dijital dayanıklılığını artıracaktır.
Piyasa genelinde bu tür sıkı düzenlemelere yönelik algı genellikle karışıktır. Bir yandan, sektördeki belirsizlikleri azaltması ve standardize edilmiş güvenlik seviyeleri oluşturması açısından olumlu karşılanabilir. Diğer yandan, uyum süreci ve ek yatırım gereksinimleri, kısa vadede şirketlerin karlılık marjlarını etkileyebilir ve yatırımcılar nezdinde temkinli bir bekleyişe yol açabilir. Ancak siber güvenlik konusundaki hassasiyetin artması, bu alana yatırım yapan teknoloji ve güvenlik firmaları için de yeni fırsatlar yaratabilir.
Yatırımcılar ve sektör analistleri, önümüzdeki dönemde ilgili şirketlerin uyum eylem planlarının nasıl şekilleneceğini, bu planların finansal etkilerini ve NDK’nın denetim süreçlerinin ne kadar etkin olacağını yakından takip edecektir. Özellikle nükleer tesis işletmecilerinin, siber güvenlik yöneticisi atama, dijital varlık envanteri çıkarma ve düzenli risk değerlendirmeleri gibi yükümlülüklerini yerine getirirken yaşayacakları tecrübeler, sektördeki genel siber güvenlik pratiklerinin evrimini gösterecektir. Kritik dijital varlıkların korunması ve siber olaylara müdahale kabiliyeti, gelecekteki operasyonel riskler açısından anahtar göstergeler olacaktır.
