5 Mayıs 2026 tarihinde Resmi Gazete’de yayımlanan “Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik”, Nükleer Düzenleme Kurumu (NDK) tarafından yürürlüğe girdi. Bu düzenleme ile nükleer tesislerin siber güvenliğinin sağlanmasından ana sorumlu, tesisi kuran, işleten veya işletmeden çıkaran kuruluşlar olarak belirlendi. Kuruluşlar, dijital varlıkların siber tehditlere karşı korunması, saldırıların önlenmesi, tespit edilmesi ve müdahale edilmesi gibi konularda gerekli faaliyetleri yürütme yükümlülüğüne sahip olacaklar.
Yönetmelik çerçevesinde, nükleer tesislerdeki tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici atanacak ve bu görev, organizasyon yapısına entegre edilecektir. Siber güvenlik önlemleri belirlenirken “dereceli yaklaşım” ve “derinliğine savunma” ilkeleri esas alınacak, böylece dijital varlıkların güvenliği, emniyeti ve nükleer güvence üzerindeki etkilerine göre risk bazlı ve katmanlı bir koruma yapısı oluşturulacaktır.
Kuruluşlar, tüm dijital varlıklarını tanımlayarak, bu varlıkların güvenlik, emniyet ve nükleer güvence işlevlerini belirleyecek ve her bir varlığa kritiklik derecesi atayacaklardır. Kritik dijital varlıklar için sürekli güncel bir envanter oluşturulacak; bu envanterde varlığın adı, tipi, yeri, yedekleme bilgisi, kritiklik derecesi ve sorumlusuna dair bilgiler yer alacaktır.
Ayrıca, her kuruluş NDK’ya sunulacak bir siber güvenlik planı hazırlayacak ve bu plan en az yılda bir kez gözden geçirilecektir. Planın güncellenmesi, risklerin değişmesi, ilgili belgelerin revizyonu veya tehdit esaslı tasarım belgelerinin güncellenmesi gibi durumlarda yapılacaktır. Reaktör içeren tesisler için yılda en az bir kez, diğer nükleer tesisler içinse en az üç yılda bir siber güvenlik risk değerlendirmesi gerçekleştirilecektir. Kritik dijital varlıklarda meydana gelen değişiklikler, yeni zafiyetlerin tespiti veya tehdit bilgilerinin güncellenmesi durumunda ek risk değerlendirmeleri de yapılacaktır.
Kritik dijital varlıkların kaybı veya zarar görmesi ihtimaline karşı yedekleme mekanizmaları kurulacak ve felaket, arıza veya siber saldırı durumunda kritik dijital varlıkların sürekliliğini sağlamak için uzakta bir felaket kurtarma merkezi oluşturulacaktır.
Siber olaylara ilişkin bildirim süreçleri de düzenlenmiştir. Güvenlik, emniyet veya nükleer güvenceye zarar verebilecek siber olaylar ve tehditler NDK’ya ve Siber Güvenlik Başkanlığına bildirilecektir. Olayların tespit edilmesini takip eden beş iş günü içinde kuruma rapor sunulacak ve bu raporda siber olayın nedenleri, etkileri, müdahale faaliyetleri ile alınan dersler ve düzeltici önlemler yer alacaktır.
Kuruluşlar, siber olaylara müdahale planlarının yeterliliğini test etmek amacıyla yılda en az bir kez kritik dijital varlıkları içeren senaryolarla siber olay tatbikatı yapacaklardır. Bu tatbikatlar, en az iki yılda bir güvenlik ve emniyet senaryolarıyla birleştirilerek hibrit formatta gerçekleştirilecektir.
Personel yönetimi kapsamında, tüm tesis personeline yılda en az bir kez siber güvenlik eğitimi verilecek ve farkındalık programları uygulanacaktır. Siber güvenlik personeline özel eğitim programları düzenlenecek ve erişim yetkileri, görev tanımı ile uzmanlık seviyesine göre sınırlı tutulacaktır. Kuruluşlar, siber güvenlik uygulamalarıyla ilgili bilgileri takip eden yılın şubat ayı sonuna kadar raporlayacak; siber güvenlik testleri, iç denetimler, eğitim programları, zafiyetlerin giderilmesi gibi faaliyetler bu raporda yer alacaktır. NDK, yönetmelik kapsamındaki faaliyetleri denetleyecektir.