ICT Media
Nükleer tesislerde dijital sistemlerin korunmasına yönelik yeni düzenleme Resmî Gazete’de yayımlandı. Yönetmelikle risk analizi, olay bildirimi, tatbikat, tedarik zinciri kontrolü ve personel eğitimi gibi süreçler zorunlu hale getirildi.
Nükleer tesislerde dijital sistemlerin korunmasına ilişkin yeni esaslar belirlendi. Nükleer Düzenleme Kurumu tarafından hazırlanan “Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik”, 5 Mayıs 2026 tarihli Resmî Gazete’de yayımlanarak yürürlüğe girdi. Düzenleme, nükleer tesislerde kullanılan veri, yazılım, donanım, kontrol sistemleri ve ağ bileşenlerinin saldırılara karşı korunmasını amaçlıyor. Yönetmelik; olası tehditlerin önlenmesi, olayların tespit edilmesi, müdahale süreçlerinin işletilmesi ve etkilenen sistemlerin yeniden çalışır hale getirilmesine yönelik kuralları kapsıyor.
Yeni düzenlemeye göre tesislerde dijital güvenliğin sağlanmasından öncelikle işletmeci kuruluşlar sorumlu olacak. Bu kapsamda kuruluşlar, dijital sistemlerden sorumlu bir yönetici görevlendirecek ve bilgi güvenliği yönetim sistemini güncel ulusal ve uluslararası standartlara uygun şekilde kuracak. Tesislerde kullanılan tüm dijital varlıklar belirlenecek, kritik öneme sahip olanlar için güncel envanter tutulacak. Bu varlıkların adı, tipi, konumu, yedekleme bilgisi, kritiklik derecesi ve sorumlu kişisi kayıt altına alınacak.
Yönetmelikle risk yönetimi süreci de zorunlu hale getirildi. Reaktör içeren tesislerde yılda en az bir kez, diğer tesislerde ise en az üç yılda bir planlı risk değerlendirmesi yapılacak. Kritik sistemlerde değişiklik olması, yeni tehditlerin ortaya çıkması veya güvenlik açıklarının tespit edilmesi halinde ek değerlendirme süreci işletilecek. Kuruluşlar, sistemlere yönelik tüm erişim, işlem ve olay kayıtlarını tutacak. Bu kayıtlar en az iki yıl saklanacak ve yetkisiz erişime karşı korunacak. Kritik sistemlerin kaybı veya zarar görmesi ihtimaline karşı düzenli yedekleme yapılacak.
Düzenleme, olay müdahale süreçlerine de yeni yükümlülükler getiriyor. Güvenlik, emniyet veya nükleer güvenceyi etkileyen ya da etkileme ihtimali bulunan olaylar, Nükleer Düzenleme Kurumuna ve Siber Güvenlik Başkanlığına anında bildirilecek. Olayın tespitinden sonra beş iş günü içinde Kuruma rapor sunulacak. Kuruluşlar yılda en az bir kez kritik dijital sistemleri kapsayan tatbikat yapacak. En az iki yılda bir ise bu tatbikatlar güvenlik ve emniyet senaryolarıyla birlikte hibrit şekilde gerçekleştirilecek.
Tedarik süreci de yönetmelik kapsamına alındı. Siber güvenliği etkileyebilecek mal ve hizmetlerde tedarikçilerin güvenilirliği doğrulanacak, gerekli kontroller yapılacak ve tedarik zinciri riskleri yönetilecek. Ayrıca tesis personeline yılda en az bir kez farkındalık eğitimi verilecek. Siber güvenlikten sorumlu personele ise özel eğitim programları uygulanacak.
Yönetmelik hükümlerine aykırı hareket edilmesi halinde ilgili mevzuat kapsamında idari yaptırım uygulanabilecek. Düzenleme, yayımı tarihinde yürürlüğe girdi.
