Enerji Günlüğü - Nükleer Düzenleme Kurumu (NDK), nükleer tesislerin dijital altyapısını koruma altına alan Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik’i yayımladı. 5 Mayıs 2026 tarihli Resmî Gazete’de yayımlanan düzenleme, tesislerin kurulumundan işletmeden çıkarılmasına kadar geçen süreçte siber güvenliğin sağlanmasına yönelik kuralları kapsıyor.
GENEL İLKELER VE SORUMLULUKLAR
Yönetmelik uyarınca nükleer tesislerde siber güvenliği sağlama sorumluluğu ana kuruluşta bulunuyor. Düzenleyici kontrollerde dereceli yaklaşım, önlemlerin belirlenmesinde ise derinliğine savunma ilkesi uygulanıyor. Kuruluşlar, siber saldırıların önlenmesi ve etkilerinin azaltılması için gerekli mekanizmaları kuruyor. Ayrıca dijital varlıkların yönetiminden sorumlu bir yönetici atanması zorunlu tutuluyor.
RİSK YÖNETİMİ VE DENETİM
İşletmeci kuruluşlar, reaktör içeren tesisler için yılda en az 1, diğer tesisler için ise en az 3 yılda bir planlı risk değerlendirmesi yürütecek.. Kritik dijital varlıklarda değişiklik olması veya yeni zafiyetlerin belirlenmesi durumunda bu süreç ivedilikle tekrarlanıyor. Siber güvenliğe yönelik tüm kayıtlar en az 2 yıl boyunca muhafaza edilecek.
SİBER OLAYLARA MÜDAHALE
Kuruluşlar, olası tehditlere karşı siber olaylara müdahale planı hazırlayacak. Güvenliği etkileyen siber olayların 5 iş günü içerisinde NDK’ya raporlanması gerekiyor. Yeterliliği test etmek amacıyla her yıl en az 1 siber olay tatbikatı yapılıyor. Bu tatbikatlar, 2 yılda bir fiziksel emniyet senaryolarıyla birleştirilerek hibrit şekilde gerçekleştirililecek.
PERSONEL VE TEDARİK SÜRECİ
Tesis personeline yönelik siber güvenlik eğitim ve farkındalık programları yılda en az 1 kez uygulanacak. Tedarik zinciri yönetiminde ise mal ve hizmet sağlayanların NDK tarafından belirlenen güvenlik gereklerine uyumu takip edilecek. Yönetmeliğin yürürlük tarihinden önce yetkilendirilen kuruluşlar, uyum eylem planlarını 6 ay içinde Kuruma sunacak.