Konu: Nükleer tesislerde siber güvenliğin sağlanmasına ilişkin usul ve esasları belirlemek amacıyla hazırlanan Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik

Nükleer Düzenleme Kurumu (Kurum) tarafından hazırlanan Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik, Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Yönetmelik, nükleer tesislerin siber güvenliğinin sağlanmasına yönelik düzenleme ve denetim çerçevesini oluşturmakta olup aşağıda temel düzenlemeler bilgilerinize sunulmaktadır.

1. Yönetmeliğin amacı ve kapsamı

Yönetmeliğin amacı, nükleer tesislere yönelik düzenleyici kontrole tabi faaliyetlerin yürütülmesi sırasında siber güvenliğin sağlanmasına ilişkin usul ve esasları belirlemektir. Yönetmelik, 95 sayılı Cumhurbaşkanlığı Kararnamesi’nin 4 ve 5’inci maddelerine dayanılarak hazırlanmış olup nükleer tesislerin siber güvenliğini kapsamaktadır.

2. Temel tanımlar

Yönetmeliğin 4’üncü maddesinde öne çıkan temel kavramlar şu şekilde tanımlanmıştır:

  • Dijital Varlık: Siber uzayda yer alan veri ve bilgiler ile bunları oluşturmak, depolamak, işlemek, kontrol etmek veya aktarmak için kullanılan donanım, yazılım, sistem ve aktif veya pasif durumda bulunan tüm diğer bileşenler.
  • Kritik Dijital Varlık: Gizliliğinin, bütünlüğünün veya erişilebilirliğinin tehlikeye girmesi hâlinde güvenlik, emniyet ve nükleer güvence işlevlerini doğrudan veya dolaylı olarak olumsuz etkileyebilecek dijital varlıklar.
  • Siber Güvenlik: Güvenlik, emniyet ve nükleer güvenceye ilişkin sistemlerdeki dijital varlıkların saldırılardan korunmasını, bu varlıkların gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye alınmasını ve yaşanabilecek bir siber olay sonrasında etkilenen dijital varlıkların işlevlerini yerine getirebilecek duruma geri döndürülmesini kapsayan faaliyetler bütünü.
  • Dereceli Yaklaşım: Dijital varlıkların siber güvenliğinin sağlanmasına yönelik teknik, fiziksel ve idari önlemlerin; güvenlik, emniyet ve nükleer güvence işlevlerine ilişkin risklerin büyüklüğüyle orantılı olarak planlanması, uygulanması ve yönetilmesi.
  • Derinliğine Savunma: Siber güvenliği zafiyete uğratacak herhangi bir teşebbüse karşı hiyerarşik yapıda, birbirini destekleyen ve çeşitli uygulamalardan oluşan fiziksel, teknik ve idari kontrollerin birbiriyle uyumlu, katmanlı ve bütüncül bir yapıda uygulanması.
  • Siber Olay: Dijital varlıkların gizliliğinin, bütünlüğünün veya erişilebilirliğinin ihlal edilmesi.
  • Kuruluş: Bir nükleer tesis kurmak, işletmek veya işletmeden çıkarmak için Kurum’a niyet bildiriminde bulunan, onay almak veya yetkilendirilmek üzere başvuran ya da yetkilendirilen ve düzenleyici kontrol kapsamında bulunan Türkiye Cumhuriyeti mevzuatına göre kurulmuş tüzel kişi.
  • TET Belgesi: Fiziksel koruma sisteminin tasarımına ve değerlendirilmesine temel teşkil eden, nükleer tesisleri ve nükleer maddeleri hedef alan hırsızlıkla, sabotajla, yetkisiz erişimle ve diğer kötü niyetli girişimlerle sonuçlanabilecek tehdidi içeren “Gizli” gizlilik derecesini haiz belge.

3. Genel ilkeler

Yönetmeliğin 5’inci maddesi uyarınca aşağıdaki genel ilkeler benimsenmiştir:

  • Nükleer tesislerin siber güvenliğinin sağlanmasında asıl sorumluluk Kuruluşa aittir.
  • Düzenleme kontrol faaliyetlerinde dereceli yaklaşım esas alınır.
  • Siber güvenlik önlemlerinin belirlenmesinde ve uygulanmasında derinliğine savunma ilkesi esas alınır.
  • Siber güvenlik önlemleri güvenlik, emniyet ve nükleer güvenceye yönelik sistemlerin işleyişini engellemeyecek ve destekleyecek şekilde bütüncül olarak uygulanır.
  • Kritik dijital varlıklara ve bilgilere erişim, bilmesi gereken ilkesine göre sınırlandırılır.

4. Kuruluşun yükümlülükleri

Yönetmeliğin 6’ncı maddesi, Kuruluşa siber güvenliğin sağlanmasına ilişkin kapsamlı yükümlülükler yüklemektedir. Bu yükümlülükler şu şekilde özetlenebilir:

  1. Nükleer tesisin ve dijital varlıkların siber saldırılara karşı korunması, saldırıların önlenmesi, tespit edilmesi, müdahale edilmesi ve etkilerin azaltılması,
  2. Tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici atanması ve organizasyon yapısına dâhil edilmesi,
  3. Bilgi güvenliği yönetim sisteminin güncel ulusal ve uluslararası standartlara uygun olarak kurulması, uygulanması, sürdürülmesi ve değerlendirilmesi,
  4. Siber güvenlik mimarisinin derinliğine savunma ilkesine uygun oluşturulması,
  5. Siber güvenlik önlemlerinin tesis tasarım aşamasında mümkün olan en üst düzeyde dâhil edilmesi,
  6. Siber olaylara müdahale planının oluşturulması, uygulanması ve geliştirilmesi,
  7. Siber güvenliğe ilişkin testlerin ve dış tetkiklerin sertifikasyona sahip kuruluşlara yaptırılması,
  8. Siber güvenliğin sağlanmasına yönelik faaliyetler için gerekli personel yeterliliğinin ve yetkinliğinin sağlanması.

5. Siber güvenlik planı

Yönetmeliğin 7’nci maddesi uyarınca Kuruluş, siber güvenlik planını ilgili yetkilendirme başvurularında Kurum’a sunmakla yükümlüdür. Nükleer santrallerde saha hazırlama izni başvurusunda inşaat emniyet planı kapsamında ve sonraki her yetkilendirme başvurusunda dereceli yaklaşım esas alınarak sunulacaktır.

Siber güvenlik planı yılda en az bir kez gözden geçirilecek olup riskin değişmesi, düzenleyici belgeler listesindeki belgelerin değişmesi, organizasyon yapısının değişmesi veya TET Belgesi’nin güncellenmesi durumunda güncellenecektir. Siber güvenlik planında yapılması öngörülen değişiklikler ve bunların gerekçeleri Kurum’a sunulacak; Kurum tarafından uygun bulunması hâlinde Kuruluş tarafından uygulanacaktır.

6. Dijital varlıkların yönetimi ve risk yönetimi

Yönetmeliğin 8’inci maddesi uyarınca Kuruluş, nükleer tesisteki tüm dijital varlıkları tanımlamak, gizlilik, bütünlük ve erişilebilirlik açısından kritiklik dereceleri atamak ve uygun siber güvenlik seviyelerini belirlemekle yükümlüdür. Kritik dijital varlıkların güncel envanteri tutulacak olup envanter asgari olarak varlığın adı, tipi, yeri, yedekleme bilgisi, kritiklik derecesi ve varlık sorumlusu bilgilerini içerecektir.

9’uncu madde ile siber güvenlik risk yönetimi süreci düzenlenmektedir. Buna göre reaktör içeren tesislerde yılda en az bir, diğer tesislerde en az üç yılda bir planlı risk değerlendirmesi yapılacaktır. Kritik dijital varlıklarda değişiklik, tehdit bilgilerinde değişiklik veya yeni zafiyetlerin tanımlanması durumunda ivedilikle ilave risk değerlendirmesi yapılması gerekmektedir.

Zafiyet yönetimi faaliyetleri kapsamında Kuruluş; zafiyetlerin belirlenmesi, değerlendirilmesi, derecelendirilmesi ve ortadan kaldırılması için uygun araç ve teknikler kullanacak, yazılım ve donanım üreticilerinden ve uluslararası veri tabanlarından gelen zafiyet bildirimlerini düzenli olarak izleyecektir.

7. Siber güvenlik önlemlerinin uygulanması ve konfigürasyon yönetimi

10’uncu madde uyarınca Kuruluş, sistemlerin kritikliklerine göre siber güvenlik seviyeleri oluşturacak, her bir dijital varlığı uygun seviyeye atayacak ve siber güvenlik bölgelerini belirleyerek tesisin siber güvenlik mimarisini oluşturacaktır. Siber güvenlik önlemlerinin birbirini desteklemesi ve birinin etkisiz hâle gelmesi durumunda diğerlerinin işlevini etkilememesi esastır.

Tüm erişimler, işlemler ve sistem olayları eksiksiz şekilde kayıt altına alınacak ve bu kayıtlar en az iki yıl muhafaza edilecektir. Kritik dijital varlıklar için yedekleme mekanizmaları kurulacak ve yedeklerin gizliliği, bütünlüğü ve erişilebilirliği korunacaktır.

11’inci madde kapsamında konfigürasyon yönetimi düzenlenmiş olup kritik dijital varlıklarda yapılacak her türlü değişikliğin öncesinde etki değerlendirmesi, doğrulama ve belgeleme yapılması zorunlu kılınmıştır. Konfigürasyon yönetimine ilişkin faaliyetler yılda en az bir kez gözden geçirilecektir.

8. Tedarik zinciri yönetimi

12’nci madde uyarınca Kuruluş, tedarikçilerin uyması zorunlu olan siber güvenlik gereklerini belirleyecek ve tedarik zincirine yönelik etkin bir risk yönetimi geliştirecek, uygulayacak ve sürdürecektir. Tedarik zincirindeki tüm tedarikçilerin, malların ve hizmetlerin güvenilirliği doğrulanacak ve siber güvenlik önlemlerinin uygulandığı tedarikçi gözetimi yoluyla teyit edilecektir.

9. Siber olaylara müdahale yönetimi

13’üncü madde ile siber olaylara müdahale süreci detaylı olarak düzenlenmiştir. Bu kapsamda öne çıkan yükümlülükler şunlardır:

  • Güvenlik, emniyet veya nükleer güvenceye zarar veren veya zarar verme olasılığı olan siber olayların ve siber tehditlerin derhâl Nükleer Düzenleme Kurumu’na ve Siber Güvenlik Başkanlığı’na bildirilmesi,
  • Siber olaya yönelik raporun olayın tespit edilmesini takip eden beş iş günü içerisinde Kurum’a sunulması (rapor; olayın nedenleri, etkileri, yürütülen müdahale faaliyetleri, çıkarılan dersler ile düzeltici ve önleyici faaliyetleri içerecektir),
  • Yılda en az bir kez kritik dijital varlıkları ele alan senaryoyla siber olay tatbikatı gerçekleştirilmesi; bu tatbikatların en az iki yılda bir güvenlik ve emniyete yönelik senaryolarla hibrit olarak uygulanması,
  • Felaket kurtarma merkezinin ana sistemlerin yer aldığı alandan etkilenmeyecek uzaklıkta kurulmasının sağlanması.

10. Personel yönetimi ve eğitim

14’üncü madde uyarınca Kuruluş, siber güvenlik planının uygulanması için gerekli yeterlik, yetkinlik ve güvenilirliği sağlayacak personel yönetimini geliştirecektir. Tesis personelinin tamamına yönelik siber güvenlik eğitim ve farkındalık programları ile siber güvenlik personeline yönelik özel eğitim programları yılda en az bir kez uygulanacaktır.

Ayrıca, personel yetkilerinin belgeye dayalı uzmanlık seviyelerine göre belirlenmesi ve her personele yalnızca görevini ilgilendiren sistemlere erişim hakkının verilmesi zorunlu kılınmıştır.

11. Yıllık rapor, testler ve tetkik

15’inci madde uyarınca Kuruluş, bir takvim yılı siber güvenlik performansına ilişkin raporu takip eden yılın şubat sonuna kadar Kurum’a sunacaktır. Rapor; siber güvenlik testleri ve denetimlerin sonuçlarını, eğitim programlarının sonuçlarını ve gelecek yıl için planlanan faaliyetleri kapsayacaktır.

16’ncı madde kapsamında tedarik edilen mal ve hizmetler üzerinde fabrika kabul testleri ve saha kabul testleri dahil doğrulama testleri uygulanacak; 17’nci madde kapsamında ise yılda en az bir kez siber güvenlik değerlendirmesi için iç veya dış tetkik yapılacak ve tespit edilen eksikliklere ilişkin düzeltici faaliyet planı on beş iş günü içinde Kurum’a sunulacaktır.

12. Denetim, yaptırım ve geçiş hükümleri

18 inci madde uyarınca Kuruluşun Yönetmelik kapsamındaki faaliyetleri Nükleer Düzenleme Kurumu’nun denetimine tabidir. Mevzuata veya yetki koşullarına aykırı hareket edilmesi hâlinde idari yaptırım uygulanacaktır.

Geçici 1’inci madde ile Yönetmeliğin yürürlüğe girdiği tarihten önce yetkilendirilen veya yetkilendirilmek üzere başvuruda bulunan Kuruluşun, bir takvim çerçevesinde Yönetmelik hükümlerine uyumu sağlayacak eylem planını altı ay içinde Kurum’a sunması öngörülmüştür. Gerekçelendirilmesi ve Kurum tarafından uygun bulunması hâlinde bu süre bir yıla kadar uzatılabilecektir.

13. Sonuç

Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik, nükleer tesislerin siber güvenliğinin sağlanmasına yönelik kapsamlı bir düzenleme getirmektedir. Yönetmelik; dijital varlıkların tanımlanması, sınıflandırılması ve korunması, risk yönetimi, siber olay müdahale süreçleri, tedarik zinciri güvenliği, personel eğitimi ve periyodik denetimler gibi konularda Kuruluşa önemli yükümlülükler yüklemektedir.

Düzenleme, özellikle enerji sektöründe faaliyet gösteren kuruluşlar ile nükleer tesislere mal ve hizmet sağlayan tedarikçiler açısından siber güvenlik uyum süreçlerinin gözden geçirilmesini ve gerekli aksiyonların alınmasını gerektirmektedir.

Nükleer tesislerde siber güvenliğe yönelik detaylı hukuki değerlendirme ve diğer tüm hukuki danışmanlık hizmetleri için bizimle iletişime geçebilirsiniz.

 

İletişim:

Av. Tuğçe Gültekin

Şirket Ortağı
tugce.gultekin@tr.ey.com
(212) 315 30 00