Genel

Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik

Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik, 05 Mayıs 2026 Tarihli ve 33244 Sayılı Resmî Gazete'de yayımlandı.

05.05.2026 - 00:00 Okunma Süresi: 18 Dk

Nükleer Düzenleme Kurumundan:

NÜKLEER TESİSLERDE SİBER GÜVENLİĞE İLİŞKİN YÖNETMELİK

BİRİNCİ BÖLÜM

Başlangıç Hükümleri

Amaç

MADDE 1- (1) Bu Yönetmeliğin amacı, nükleer tesislere yönelik düzenleyici kontrole tabi faaliyetlerin yürütülmesi sırasında siber güvenliğin sağlanmasına ilişkin usul ve esasları belirlemektir.

Kapsam

MADDE 2- (1) Bu Yönetmelik, nükleer tesislerin siber güvenliğini kapsar.

Dayanak

MADDE 3- (1) Bu Yönetmelik, 95 sayılı Nükleer Düzenleme Kurumunun Teşkilat ve Görevleri Hakkında Cumhurbaşkanlığı Kararnamesinin 4 üncü maddesinin birinci fıkrasının (b) bendine ve 5 inci maddesinin birinci fıkrasının (b) bendine dayanılarak hazırlanmıştır.

Tanımlar

MADDE 4- (1) Bu Yönetmelikte geçen;

a) Dereceli yaklaşım: Dijital varlıkların siber güvenliğinin sağlanmasına yönelik teknik, fiziksel ve idari önlemlerin; güvenlik, emniyet ve nükleer güvence işlevlerine ilişkin risklerin büyüklüğüyle orantılı olarak planlanması, uygulanması ve yönetilmesini,

b) Derinliğine savunma: Siber güvenliği zafiyete uğratacak herhangi bir teşebbüse karşı hiyerarşik yapıda, birbirini destekleyen ve çeşitli uygulamalardan oluşan fiziksel, teknik ve idari kontrollerin birbiriyle uyumlu, katmanlı ve bütüncül bir yapıda uygulanmasını,

c) Dijital varlık: Siber uzayda yer alan veri ve bilgiler ile bunları oluşturmak, depolamak, işlemek, kontrol etmek veya aktarmak için kullanılan donanım, yazılım, sistem ve aktif veya pasif durumda bulunan tüm diğer bileşenleri,

ç) Düzenleyici Belgeler Listesi (DBL): Nükleer tesise ilişkin faaliyetlerin gerçekleştirilmesine yönelik radyasyondan korunma, güvenlik, emniyet ve nükleer güvenceye ilişkin gerekleri içeren düzenleyici belgelerin listesini,

d) Kritik dijital varlık: Gizliliğinin, bütünlüğünün veya erişilebilirliğinin tehlikeye girmesi hâlinde güvenlik, emniyet ve nükleer güvence işlevlerini doğrudan veya dolaylı olarak olumsuz etkileyebilecek dijital varlıkları,

e) Kuruluş: Bir nükleer tesis kurmak, işletmek veya işletmeden çıkarmak için Kuruma niyet bildiriminde bulunan, onay almak veya yetkilendirilmek üzere başvuran ya da yetkilendirilen ve düzenleyici kontrol kapsamında bulunan Türkiye Cumhuriyeti mevzuatına göre kurulmuş tüzel kişiyi,

f) Kurum: Nükleer Düzenleme Kurumunu,

g) Siber güvenlik: Güvenlik, emniyet ve nükleer güvenceye ilişkin sistemlerdeki dijital varlıkların saldırılardan korunmasını, bu varlıkların gizliliğinin, bütünlüğünün ve erişilebilirliğinin sağlanmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye alınmasını ve yaşanabilecek bir siber olay sonrasında etkilenen dijital varlıkların işlevlerini yerine getirebilecek duruma geri döndürülmesini kapsayan faaliyetler bütününü,

ğ) Siber güvenlik bölgesi: Siber güvenlik önlemlerinin yönetimine, etkileşimine ve uygulanmasına yönelik ortak bir siber güvenlik seviyesine atanan, ortak fiziksel veya mantıksal sınırlara sahip ve gerekirse ek gerekler uygulanarak düzenlenmiş sistemler grubunu,

h) Siber güvenlik mimarisi: Tesiste güvenlik, emniyet ve nükleer güvenceyle doğrudan veya dolaylı alakaya sahip işlevleri yerine getiren ve tesis düzeyinde belirlenen siber güvenlik seviyelerine atanmış dijital varlıkların siber güvenliğini sağlamak amacıyla; derinliğine savunma ilkesi doğrultusunda önlemlerin tanımlanmasını, uygulanmasını, izlenmesini ve sürekli iyileştirilmesini kapsayan bütünleşik yapı ve süreçler bütününü,

ı) Siber güvenlik planı: Biçim ve içeriği Kurum tarafından belirlenen nükleer tesiste siber güvenliğin sağlanmasına yönelik faaliyetleri açıklayan belgeyi,

i) Siber güvenlik seviyesi: Güvenlik, emniyet, nükleer güvence veya bunlara ilişkin kritik bilgilerin yönetimiyle ilgili işlevlere yönelik siber güvenlik gereklerini karşılamak için gerekli olan koruma seviyesini,

j) Siber olay: Dijital varlıkların gizliliğinin, bütünlüğünün veya erişilebilirliğinin ihlal edilmesini,

k) Siber olaylara müdahale planı: Siber güvenlik planının; siber olaylara karşı hazırlık ile siber olayların tanımlanması, müdahale edilmesi ve siber olayların etkilediği dijital varlıkların kurtarılması faaliyetlerine yönelik talimatları içeren kısmını,

l) Siber saldırı: Dijital varlıkların gizliliğini, bütünlüğünü veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın herhangi bir yerindeki kişi veya bilişim sistemlerine yönelik olarak kasıtlı yapılan işlemleri,

m) Siber uzay: Doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortamı,

n) Tedarikçi: Güvenlik, emniyet ve nükleer güvenceye etki edebilecek yapı, sistem ve ekipmanlara ilişkin bir faaliyeti Kuruluş adına yürüten, organize eden ya da yaptıran veya Kuruluşa güvenlik, emniyet ve nükleer güvenceye etki edebilecek yapı, sistem ve ekipmanlara ilişkin bağımsız gözetim hizmeti dışında hizmet veya mal sağlayan kişiyi,

o) Tedarik zinciri: Kuruluşun güvenlik, emniyet ve nükleer güvenceye etki edebilecek yapı, sistem ve ekipmana ilişkin ihtiyaç duyduğu mal veya hizmetlerin sağlanması sürecinde yer alan teknoloji, faaliyet, kaynak ve kişilerden oluşan bütünü,

ö) TET Belgesi: Fiziksel koruma sisteminin tasarımına ve değerlendirilmesine temel teşkil eden, nükleer tesisleri ve nükleer maddeleri hedef alan hırsızlıkla, sabotajla, yetkisiz erişimle ve diğer kötü niyetli girişimlerle sonuçlanabilecek tehdidi içeren “Gizli” gizlilik derecesini haiz belgeyi,

p) Zafiyet: Dijital varlıkların potansiyel bir siber tehdit tarafından istismar edilebilecek zayıflık ve siber güvenlik açıklarını,

ifade eder.

İKİNCİ BÖLÜM

Genel İlkeler ve Kuruluşun Yükümlülükleri

Genel ilkeler

MADDE 5- (1) Nükleer tesislerin siber güvenliğinin sağlanmasında asıl sorumluluk Kuruluşa aittir.

(2) Nükleer tesislerin siber güvenliğinin sağlanmasına ilişkin Kurum tarafından yürütülen düzenleyici kontrol faaliyetlerinde dereceli yaklaşım esas alınır.

(3) Nükleer tesislerde siber güvenlik önlemlerinin belirlenmesinde ve uygulanmasında derinliğine savunma ilkesi esas alınır.

(4) Siber güvenlik önlemleri güvenlik, emniyet ve nükleer güvenceye yönelik sistemlerin işleyişini performans, verimlilik, güvenilirlik veya işletme açısından engellemeyecek ve destekleyecek şekilde bütüncül olarak uygulanır.

(5) Bilgi güvenliği yönetim sistemi kapsamındaki kritik dijital varlıklara ve bilgilere erişim, bilmesi gereken ilkesine göre sınırlandırılır. Kritik dijital varlıklara ve ilgili bilgilere yönelik gerçekleştirilecek faaliyetler, ilgili kişilerin görev tanımları ve yetkileri doğrultusunda yürütülür.

Kuruluşun yükümlülükleri

MADDE 6- (1) Kuruluş, siber güvenliğin sağlanmasına ilişkin olarak;

a) Nükleer tesis ve sahanın düzenleyici kontrolden çıkarılmasına kadar nükleer tesisin ve dijital varlıkların siber saldırılara karşı korunmasını, siber saldırıların önlenmesini, tespit edilmesini, siber saldırılara müdahale edilmesini, siber saldırıların etkilerinin azaltılmasını ve siber saldırılardan etkilenen dijital varlıkların kurtarılmasını sağlayacak faaliyetleri yürütmekle,

b) Nükleer tesisteki tüm dijital varlıkların siber güvenliğinden sorumlu bir yönetici atamakla ve bunu organizasyon yapısına dâhil etmekle,

c) Siber güvenlik politikasını içeren bilgi güvenliği yönetim sistemini güncel ulusal ve uluslararası standartlara uygun olarak kurmak, uygulamak, sürdürmek ve değerlendirmekle,

ç) Bütün dijital varlıklarda siber güvenlik önlemlerini dijital varlığın güvenlik, emniyet ve nükleer güvenceye etkisini ve olası sonuçları göz önünde bulundurup dereceli yaklaşımı ve derinliğine savunmayı esas alarak uygulamakla,

d) Siber güvenlik mimarisini, derinliğine savunmayı esas alarak dijital varlıkların siber saldırılara karşı korunmasına yönelik gerekleri sağlayacak şekilde oluşturmakla,

e) Siber güvenlik önlemlerini dijital varlıkları içeren sistemlerin tasarımı aşamasında nükleer tesisin tasarımına mümkün olan en üst düzeyde dâhil etmekle,

f) Siber olaylara hazırlanmak, siber olayları tespit etmek, siber olaylara etkin bir şekilde müdahale etmek, siber olayların etkilerini azaltmak, siber olaylardan etkilenen dijital varlıkları kurtarmak, ilgili kurum veya kuruluşları siber olaylar hakkında en kısa sürede bilgilendirmek ve Kuruma rapor sunmak için siber olaylara müdahale planını oluşturmak, uygulamak ve geliştirmekle,

g) Siber güvenliğin sağlanmasına yönelik faaliyetleri gerçekleştirmek için gerekli personel yeterliğini ve yetkinliğini sağlamakla,

ğ) Siber güvenliğe ilişkin testler ve dış tetkikleri ilgili mevzuat uyarınca sertifikasyona sahip, yetkilendirilmiş veya belgelendirilmiş kuruluşlara yaptırmakla,

yükümlüdür.

ÜÇÜNCÜ BÖLÜM

Siber Güvenliğin Planlanması, Uygulanması ve Yönetimi

Siber güvenlik planı

MADDE 7- (1) Kuruluş, siber güvenlik planını;

a) Nükleer santrallerde saha hazırlama izni başvurusunda sunulacak olan inşaat emniyet planı kapsamında ve inşaat izni başvurusundan itibaren dereceli yaklaşım esas alınarak her yetkilendirme başvurusunda,

b) Araştırma reaktörlerinde saha hazırlama izni başvurusunda sunulacak olan inşaat emniyet planı kapsamında ve inşaat izni başvurusunda sunulacak olan nükleer emniyet planı kapsamında,

c) (a) ve (b) bentleri kapsamı dışında kalan diğer nükleer tesislerde 17/3/2023 tarihli ve 32135 sayılı Resmî Gazete’de yayımlanan Nükleer Tesislere İlişkin Yetkilendirmeler Yönetmeliğinde yer alan ilgili yetkilendirme başvurularında sunulacak olan emniyet planları kapsamında,

Kuruma sunar.

(2) Kuruluş, siber güvenliğin uygulanmasına esas teşkil eden mevzuat ve standartlar ile DBL’de belirtilen belgeleri siber güvenlik planında belirtir.

(3) Kuruluş, siber güvenlik planının yılda en az bir kez gözden geçirilmesini ve aşağıdaki durumlardan birinin gerçekleşmesi durumunda güncellenmesini sağlar:

a) Riskin değişmesi.

b) DBL’de yer alan, nükleer tesislerde siber güvenliği ilgilendirebilecek belgelerin değişmesi.

c) Kuruluşun siber güvenliğinden sorumlu veya bağlı olduğu üst birimleri içeren organizasyon yapısının değişmesi.

ç) TET Belgesinin güncellenmesi.

(4) Kuruluş, siber güvenlik planının gözden geçirilmesi sonucunda yapılması öngörülen değişiklikler ile bunların gerekçelerini Kuruma sunar. Sunulan değişikliklerin Kurum tarafından uygun bulunması hâlinde Kuruluş değişiklikleri uygular. Siber güvenlik planında yapılan değişikliklerin Kurum tarafından uygun bulunması, Kuruluşun siber güvenliğin sağlanmasına ilişkin sorumluluklarını azaltmaz veya ortadan kaldırmaz.

Dijital varlıkların yönetimi

MADDE 8- (1) Kuruluş, nükleer tesisteki tüm dijital varlıkları tanımlar ve bunların olası arayüzleri de dâhil olmak üzere güvenlik, emniyet ve nükleer güvenceye ilişkin işlevlerini belirler.

(2) Kuruluş; gizlilik, bütünlük ve erişilebilirlik açısından her bir dijital varlık için güvenlik, emniyet ve nükleer güvence üzerindeki en kötü olası sonuçları belirleyerek kritiklik derecelerini atar.

(3) Kuruluş, her bir dijital varlık için uygun siber güvenlik seviyesini belirler.

(4) Kuruluş, sorumlularını dokümante ederek kritik dijital varlıkların ve bunların işlevlerini destekleyen diğer dijital varlıkların güncel envanterini tutar. Kritik dijital varlıkların envanteri asgari olarak; varlığın adı, tipi, yeri, yedekleme bilgisi, kritiklik derecesi ve varlık sorumlusu bilgilerini içerir.

Siber güvenlik risk yönetimi

MADDE 9- (1) Kuruluş, riskleri yönetmek için siber güvenlik risk yönetimi sürecini yönetir, uygular ve sürdürür.

(2) Kuruluş, reaktör içeren tesisler için yılda en az bir, diğer tesisler için en az üç yılda bir olacak şekilde planlı risk değerlendirmeleri gerçekleştirir. Aşağıdaki durumlardan birinin gerçekleşmesi durumunda Kuruluş tarafından ivedilikle ilave risk değerlendirmeleri yapılır:

a) Kritik dijital varlıklarda değişiklik olması.

b) Tehdit bilgilerinde değişiklik olması.

c) Yeni zafiyetlerin tanımlanması.

(3) Siber güvenlik risk yönetimi; siber güvenlik testleri, iç denetimler, değerlendirmeler ve benzeri doğrulama faaliyetlerinden elde edilen çıktılar kullanılarak Kuruluş tarafından bütünleşik bir şekilde yürütülür.

(4) Kuruluş, siber güvenlik risk analizi ve değerlendirmesi sonucu ortaya çıkan riskleri gidermek için her bir riske uygun olarak gerekli teknik, idari ve fiziksel önlemleri planlar ve uygular.

(5) Kuruluş; dijital varlıkların zafiyetlerinin belirlenmesi, değerlendirilmesi, derecelendirilmesi, etkilerinin azaltılması veya ortadan kaldırılması ve gözetimiyle ilgili zafiyet yönetimi faaliyetlerini gerçekleştirir.

(6) Kuruluş, zafiyet yönetimi faaliyetleri kapsamında zafiyet analizi için uygun araç ve teknikleri kullanır. Zafiyet analizi için kullanılan araç ve teknikler güvenlik, emniyet ve nükleer güvence işlevlerinin yerine getirilmesini engellemez.

(7) Kuruluş, siber güvenlik zafiyetlerine ilişkin bilgileri sürekli olarak güncel tutar; ilgili yazılım ve donanım üreticileri, ulusal ve uluslararası ilgili veri tabanları ve ulusal veya uluslararası kurum ve kuruluşlardan edinilen bildirimler doğrultusunda yeni zafiyetleri düzenli olarak izler, değerlendirir ve gerekli önlemleri alır.

(8) Kuruluş, sistemlerin işleyişine yönelik zararı daha yüksek olabilecek zafiyetlerin azaltılmasına ve ortadan kaldırılmasına öncelik verir.

(9) Zafiyetleri bilinen dijital varlıklara ilişkin siber güvenlik önlemlerinin uygulanmasında değişiklik olması durumunda, bu zafiyetler yeniden değerlendirilir ve derecelendirilir.

Siber güvenlik önlemlerinin uygulanması

MADDE 10- (1) Kuruluş, risk yönetimi kapsamında sistemlerin kritikliklerine göre siber güvenlik seviyeleri oluşturur, her bir dijital varlığı bağlı olduğu sistemin kritiklik derecesine uygun siber güvenlik seviyesine atar ve her seviyeye uygun siber güvenlik gereklerini uygular. Kritiklik derecelerine göre siber güvenlik seviyelerine yerleştirilen dijital varlıkları, işlevlerini göz önünde bulundurarak siber güvenlik bölgelerine ayırır ve bu doğrultuda tesiste siber güvenlik mimarisini oluşturur.

(2) Kuruluş, siber güvenlik bölgeleri içerisinde yer alan kritik dijital varlıklardan herhangi biri için belirlenen en yüksek siber güvenlik seviyesindeki önlemleri uygular.

(3) Siber güvenlik önlemleri birbirini destekleyecek ve birinin etkisiz hâle gelmesi durumunda diğerlerinin işlevini etkilemeyecek şekilde belirlenir.

(4) Kuruluş, tesis içinde veya dışında paylaşılan kritik dijital varlıkların korunması için gerekli siber güvenlik önlemlerini uygular.

(5) Kuruluş, dijital varlıklar için tüm erişimleri, işlemleri, hareketleri ve sistem olaylarını eksiksiz şekilde kayıt altına alır, söz konusu kayıtlara yetkisiz erişimi ve bu kayıtlarda değişiklik yapılmasını engeller ve tüm kayıtları en az iki yıl muhafaza eder.

(6) Kuruluş, kritik dijital varlıkların kaybı ve zarar görmesi durumlarına karşın yedekleme mekanizmalarını kurar, periyodik olarak yedekleme işlemlerini gerçekleştirir ve alınan yedeklerin gizliliğini, bütünlüğünü ve erişilebilirliğini koruyucu önlemleri uygular.

Konfigürasyon yönetimi

MADDE 11- (1) Kuruluş, her bir kritik dijital varlığı ve bu varlıklarla bağlantılı diğer dijital varlıkları kapsayacak şekilde konfigürasyon yönetimini geliştirir, uygular ve sürdürür.

(2) Kuruluş, kritik dijital varlıkların konfigürasyonunda yapılan değişikliklerin kritik dijital varlıkların işlevselliğine zarar vermemesini sağlar.

(3) Kuruluş, konfigürasyon yönetimine dijital varlıklara yönelik yedekleme ve kurtarma faaliyetlerini dâhil eder. Bununla birlikte Kuruluş yedek yapılandırmaları ve konfigürasyon geçmişini ilgili prosedürlerinde belirlediği süreler boyunca muhafaza eder.

(4) Kuruluş tarafından yönetilen dijital varlıkların mevcut konfigürasyonlarında yapılması planlanan herhangi bir değişikliğin uygulanmasından önce Kuruluş tarafından asgari olarak aşağıdaki eylemler gerçekleştirilir:

a) Kritik dijital varlıklarda yapılacak değişikliklerin etkisinin değerlendirmesi, doğrulanması ve belgelenmesi.

b) Kritik dijital varlıklar ve bu varlıklarla bağlantılı diğer dijital varlıklardaki değişikliklerin siber güvenliğin mevcut etkinliğini azaltmadığının, yeni bir güvenlik açığı oluşturmadığının veya siber güvenlik önlemlerinin uygulanmasında bir engel oluşturmadığının doğrulanması ve belgelenmesi, bu gereğin sağlanamadığı durumlarda telafi edici önlemlerin alınması.

c) Personel değişikliklerinin siber güvenlik önlemleri üzerindeki etkisinin değerlendirilmesi.

ç) Değişiklik taleplerinin belgelenmesi.

(5) Kuruluş, konfigürasyon yönetimine ilişkin faaliyetleri yılda en az bir kez gözden geçirir ve gerektiğinde günceller.

Tedarik zinciri yönetimi

MADDE 12- (1) Kuruluş, tedarikçilerin uyması zorunlu olan ve DBL’de yer alan siber güvenlik gereklerini belirler ve tedarikçiler tarafından bu gereklere uyulmasını sağlayacak tedbirleri alır.

(2) Kuruluş, siber güvenliği etkileyen mal ve hizmetlerin tedarikinin belirlenmesi, gözetimi ve yönetimi için tedarik zincirine yönelik etkin bir risk yönetimi geliştirir, uygular ve sürdürür.

(3) Kuruluş, tedarik zincirindeki tüm tedarikçilerin, malların ve hizmetlerin güvenilirliğini doğrular. Doğrulama DBL’deki ilgili belgelerde yer alan yöntemlere göre gerçekleştirilir.

(4) Kuruluş, siber güvenlik önlemlerinin uygulandığını doğrulamak için tedarikçilere yönelik gözetimin yapılmasını ve siber güvenliği etkileyen mal ve hizmetlerin doğrulanmış olmasını sağlar.

Siber olaylara müdahale yönetimi

MADDE 13- (1) Kuruluş, siber olaylara müdahale sürecinde faaliyet gösterecek iç ve dış paydaşların görev ve sorumluluklarını içeren siber olaylara müdahale planını hazırlar.

(2) Kuruluş; güvenlik, emniyet veya nükleer güvenceye zarar veren veya zarar verme olasılığı olan siber olayları ve siber tehditleri derhâl Kuruma ve Siber Güvenlik Başkanlığına bildirir. Siber olayların bildirilme şekli ve bildirileceği adresler Kurum tarafından belirlenir.

(3) Kuruluş, Kurum ve Siber Güvenlik Başkanlığı ile koordinasyon ve iş birliği içinde siber olaylara müdahale planında belirtilen müdahale eylemlerini uygular.

(4) Kuruluş, siber olaya yönelik raporu olayın tespit edilmesini takip eden beş iş günü içerisinde Kuruma sunar. Rapor aşağıdaki hususları içerir:

a) Siber olayın nedenleri ve etkileri.

b) Yürütülen müdahale faaliyetleri.

c) Olaydan çıkarılan dersler.

ç) Düzeltici ve önleyici faaliyetler ve süreleri.

(5) Kuruluş; siber olaylara müdahale planının yeterliliğini test etmek ve doğrulamak için yılda en az bir kez kritik dijital varlıkları ele alan bir senaryoyla bir siber olay tatbikatı gerçekleştirir. Bu tatbikatlar en az iki yılda bir güvenlik ve emniyete yönelik senaryolarla birleştirilerek hibrit olarak gerçekleştirilir.

(6) Kuruluş; gerçekleştirilecek siber olay tatbikatının tarihini, kapsamını ve senaryosunu içeren bilgileri “Hizmete Özel” gizlilik derecesiyle tatbikat tarihinden en az on iş günü önce Kuruma bildirir.

(7) Kuruluş; siber olay tatbikatının sonucuna ilişkin raporu “Hizmete Özel” gizlilik derecesiyle en geç on beş iş günü içinde Kuruma sunar. Rapor aşağıdaki hususları içerir:

a) Tatbikat sırasında yürütülen faaliyetler.

b) Siber olay müdahalesinde yetersiz olarak değerlendirilen hususlar.

c) Düzeltici ve önleyici faaliyetler ve süreleri.

(8) Kuruluş; felaket, arıza veya siber saldırı durumunda kritik dijital varlıkların ve elektronik haberleşme hizmetlerinin sürekliliğini ve zamanında kurtarılmasını sağlamak amacıyla, ana sistemlerin yer aldığı alandan etkilenmeyecek uzaklıkta bir felaket kurtarma merkezi kurulmasını sağlar.

Personel yönetimi

MADDE 14- (1) Kuruluş, siber güvenlik planının uygulanması için gerekli yeterlik, yetkinlik ve güvenilirliğin sağlanmasına yönelik faaliyetleri içeren personel yönetimini geliştirir, uygular ve sürdürür.

(2) Kuruluş, tesis personelinin tamamına yönelik siber güvenlik eğitim ve farkındalık programları ile siber güvenlik personeline yönelik özel eğitim programlarını yılda en az bir kez uygulanacak şekilde yürütür.

(3) Kuruluş, siber güvenliğin emniyet kültürüne entegre edilerek geliştirilmesini ve tüm organizasyonunda siber güvenliğin uygulanmasını sağlar.

(4) Kuruluş, bir personelin işlemlerinde meydana gelen hataların başka bir personel tarafından tespit edilip düzeltilmesini temin etmek amacıyla tesis organizasyonunun çeşitli bölümlerine birbirini tamamlayıcı görevler ve sorumluluklar tahsis ederek etkin bir görev dağılımı sağlar.

(5) Kuruluş, personelin yetkilerini belgeye dayalı uzmanlık seviyelerine göre belirleyip her personele yetkisi doğrultusunda sadece görevini ilgilendiren sistemlere erişim hakkını verir ve kontrolünü sağlar.

Yıllık rapor ve bilgi sağlama

MADDE 15- (1) Kuruluş, siber güvenlik planı uyarınca gerçekleştireceği siber güvenlik uygulamasının bir takvim yılı performansına ilişkin bilgileri, takip eden yılın şubat ayının sonuna kadar aşağıdaki hususları kapsayacak şekilde rapor hâlinde sunar:

a) Olası ve tespit edilmiş siber güvenlik zafiyetlerini azaltmak veya ortadan kaldırmak için uygulanacak ilave siber güvenlik önlemleri ile düzeltici ve önleyici faaliyetlerin listesi ve takvimi de dâhil olmak üzere siber güvenlik testleri, iç denetimler, değerlendirmeler gibi doğrulama faaliyetlerinin sonuçları.

b) Siber güvenlik eğitim ve farkındalık programlarının sonuçları, programların içeriği, eğitimi veren kişi ve kurum bilgisi.

c) Gelecek yıl için planlanan siber güvenlik eğitim ve farkındalık programları ile siber güvenlik test ve değerlendirme faaliyetleri ve siber olay tatbikatları.

(2) Kurumun raporlara ilişkin ilave bilgi ve belge talep etmesi durumunda Kuruluş, talep edilen bilgi ve belgeleri Kurum tarafından belirlenecek süre içerisinde Kuruma sunar.

Testler

MADDE 16- (1) Kuruluş, siber güvenlik gereklerinin karşılandığından emin olmak amacıyla tedarik edilen mal ve hizmetler üzerinde fabrika kabul testleri ve saha kabul testleri de dâhil olmak üzere doğrulama ve onaylama testlerini uygular ve sürdürür.

(2) Kuruluş, periyodik olarak siber güvenlik testlerini uygular.

İç ve dış tetkik

MADDE 17- (1) Kuruluş, yılda en az bir kez siber güvenlik değerlendirmesi için tetkik yapar veya yaptırır. Tetkike ilişkin tarih, kapsam ve içerik tetkikin gerçekleştirilmesinden önce Kuruluş tarafından Kuruma bildirilir.

(2) Kuruluş, tetkikler sonucunda tespit edilen eksiklikleri ve bunların giderilmesine yönelik düzeltici ve önleyici faaliyet planını tetkikin bitiminden sonra on beş iş günü içerisinde Kuruma sunar.

DÖRDÜNCÜ BÖLÜM

Çeşitli ve Son Hükümler

Denetim ve yaptırım

MADDE 18- (1) Kuruluşun bu Yönetmelik kapsamındaki faaliyetleri Kurumun denetimine tabidir. Denetime ilişkin hususlarda ilgili yönetmelikte yer alan hükümler uygulanır.

(2) İlgili mevzuat veya yetki koşullarına, Kurum kararlarına ve talimatlarına aykırı hareket edildiğinin tespit edilmesi hâlinde idari yaptırım uygulanır. İdari yaptırımlara ilişkin hususlarda ilgili yönetmelikte yer alan hükümler uygulanır.

Öngörülemeyen durumlar

MADDE 19- (1) Bu Yönetmeliğin uygulanmasında öngörülmeyen durumların oluşması hâlinde, sürecin nasıl ve hangi koşullarda devam edebileceğine Kurum tarafından karar verilir.

Geçiş hükümleri

GEÇİCİ MADDE 1- (1) Bu Yönetmeliğin yürürlüğe girdiği tarihten önce yetkilendirilen veya yetkilendirilmek üzere Kuruma başvuruda bulunan Kuruluş, bir takvim çerçevesinde bu Yönetmelik hükümlerine uyumu sağlayacak olan eylem planını bu Yönetmeliğin yürürlük tarihinden itibaren altı ay içerisinde Kuruma sunar ve Kurumun uygun görüşü sonrasında uygular. Kuruluş tarafından gerekçelendirilmesi ve gerekçenin Kurum tarafından uygun bulunması hâlinde bu süre bir yıla kadar uzatılabilir.

Yürürlük

MADDE 20- (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 21- (1) Bu Yönetmelik hükümlerini Nükleer Düzenleme Kurumu Başkanı yürütür.