Nükleer tesislerde yeni dönem: Siber güvenlik yöneticisi zorunlu olacak

Nükleer Düzenleme Kurumu'nun "Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmeliği" 5 Mayıs 2026 tarihli Resmi Gazete'de yayımlanarak yürürlüğe girdi. Yeni düzenlemeyle nükleer tesislerde siber güvenliğin sağlanmasına yönelik usul ve esaslar belirlendi.

SİBER GÜVENLİKTEN SORUMLU YÖNETİCİ ZORUNLU

Yönetmelik kapsamında, nükleer tesislerdeki tüm dijital varlıkların güvenliğinden sorumlu bir yönetici atanacak ve bu görev organizasyon yapısına dahil edilecek.

Siber güvenliğin sağlanmasında asıl sorumluluk, tesisi kuran, işleten veya işletmeden çıkaran kuruluşlara ait olacak. Bu kuruluşlar, tesis ve sahanın düzenleyici kontrolden çıkarılmasına kadar dijital varlıkların korunması, saldırıların önlenmesi, tespit edilmesi ve müdahale edilmesine yönelik faaliyetleri yürütmekle yükümlü olacak.

RİSK BAZLI VE KATMANLI GÜVENLİK MODELİ

Siber güvenlik önlemlerinin belirlenmesi ve uygulanmasında "dereceli yaklaşım" ve "derinliğine savunma" ilkeleri esas alınacak. Böylece dijital varlıkların güvenlik, emniyet ve nükleer güvence üzerindeki etkisine göre risk bazlı ve katmanlı bir koruma yapısı oluşturulacak.

Kuruluşlar, tüm dijital varlıkları tanımlayacak, işlevlerini belirleyecek ve her biri için kritiklik derecesi atayacak. Kritik dijital varlıklar için güncel envanter tutulacak ve bu envanterde varlığın adı, tipi, yeri, yedekleme bilgisi, kritiklik derecesi ve sorumlusu yer alacak.

SİBER GÜVENLİK PLANI VE DENETİM SÜRECİ

Kuruluşlar tarafından hazırlanacak siber güvenlik planı Nükleer Düzenleme Kurumu'na sunulacak ve yılda en az bir kez gözden geçirilecek. Risklerin değişmesi, organizasyon yapısının güncellenmesi veya yeni tehditlerin ortaya çıkması halinde plan yenilenecek.

Reaktör içeren tesislerde yılda en az bir kez, diğer nükleer tesislerde ise en az üç yılda bir siber güvenlik risk değerlendirmesi yapılacak. Yeni zafiyetlerin tespit edilmesi durumunda ilave değerlendirmeler gecikmeksizin gerçekleştirilecek.

FELAKET KURTARMA VE YEDEKLEME ZORUNLULUĞU

Kritik dijital varlıkların zarar görmesi veya kaybı ihtimaline karşı yedekleme mekanizmaları kurulacak.

Felaket, arıza veya siber saldırı durumlarında sistemlerin sürekliliğini sağlamak amacıyla ana sistemlerden bağımsız felaket kurtarma merkezleri oluşturulacak.

SİBER OLAYLAR 5 GÜN İÇİNDE BİLDİRİLECEK

Siber olaylar ve tehditler Nükleer Düzenleme Kurumu ile Siber Güvenlik Başkanlığı'na bildirilecek. Olayın tespit edilmesinin ardından en geç 5 iş günü içinde detaylı rapor sunulacak.

Bu raporda olayın nedenleri, etkileri, müdahale süreçleri ve alınacak önlemler yer alacak.

TATBİKAT VE EĞİTİM ZORUNLU

Kuruluşlar, siber olaylara müdahale planlarının etkinliğini test etmek amacıyla yılda en az bir kez tatbikat düzenleyecek. Bu tatbikatlar iki yılda bir güvenlik ve emniyet senaryolarıyla birlikte hibrit şekilde gerçekleştirilecek.

Tüm tesis personeline yılda en az bir kez siber güvenlik eğitimi verilecek, personelin erişim yetkileri görev tanımına ve uzmanlık seviyesine göre sınırlandırılacak.

YAPTIRIM VE UYUM SÜRECİ

Yönetmelik kapsamındaki faaliyetler Nükleer Düzenleme Kurumu denetimine tabi olacak. Mevzuata aykırı durumların tespit edilmesi halinde idari yaptırımlar uygulanacak.

Daha önce yetkilendirilen veya başvuruda bulunan kuruluşlar, uyum eylem planlarını 6 ay içinde kuruma sunacak. Bu süre, gerekli görülmesi halinde 1 yıla kadar uzatılabilecek.