2026 Nükleer Tesislerde Siber Güvenlik Yönetmeliği Yayımlandı: Kritik Varlıklar Nasıl Korunacak?

can

can

Yönetici
Yönetici
Katılım
20 Ara 2023
Mesajlar
813
Tepkime puanı
13
Nükleer Tesislerde Siber Güvenlik Yönetmeliği Yayımlandı: Santraller Dijital Saldırılara Karşı Nasıl Korunacak?

Değerli forum üyeleri, enerji sektörü profesyonelleri ve siber güvenlik uzmanları;

Ülkemizin enerji altyapısında stratejik bir konuma sahip olan nükleer tesislerin dijital tehditlere karşı korunması amacıyla Nükleer Düzenleme Kurumu (NDK) tarafından hazırlanan "Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik", 5 Mayıs 2026 tarihli Resmî Gazete'de yayımlanarak yürürlüğe girdi.

Nükleer santrallerin ve araştırma reaktörlerinin "siber uzayda" nasıl korunacağını, "Derinliğine Savunma" prensiplerini ve kurumların yükümlülüklerini sizler için madde madde özetledik.


🛡️ 1. Temel İlke: "Derinliğine Savunma" ve "Dereceli Yaklaşım"​


Yönetmelik, nükleer tesislerin siber güvenliğinde asıl sorumluluğu tamamen tesisi işleten Kuruluşa (Örn: Akkuyu NGS) veriyor. Bu koruma iki temel ilkeye dayanıyor:
  • Derinliğine Savunma: Siber güvenliği sağlamak için tek bir güvenlik duvarına güvenilmeyecek. Fiziksel, teknik ve idari kontroller; birbiri ardına sıralı (katmanlı) ve hiyerarşik bir yapıda uygulanacak. Bir güvenlik önlemi aşılsa bile diğeri devreye girecek.
  • Dereceli Yaklaşım: Tesislerdeki tüm dijital varlıklar (yazılımlar, bilgisayarlar vb.) aynı seviyede korunmayacak. "Kritik Dijital Varlıklar" (nükleer emniyeti doğrudan etkileyen sistemler) en üst seviyede korunurken, idari sistemler farklı seviyelerde korunacak.

📝 2. "Siber Güvenlik Planı" Zorunluluğu (Madde 7)​


Nükleer tesis kurmak veya işletmek isteyen kuruluşlar, NDK'ya yetki başvurusu yaparken mutlaka kapsamlı bir "Siber Güvenlik Planı" sunmak zorunda.
  • Bu plan, yılda en az bir kez gözden geçirilecek.
  • Tehdit algısı değiştiğinde veya yeni bir sistem kurulduğunda plan derhal güncellenecek.

🚨 3. Siber Olaylara Müdahale ve Tatbikatlar (Madde 13)​


Olası bir siber saldırı (hacker saldırısı, fidye yazılımı vb.) durumunda saniyeler bile çok değerlidir. Bu nedenle;
  • Anında Bildirim: Kuruluş, nükleer güvenliği veya emniyeti tehdit eden her türlü siber olayı derhâl Nükleer Düzenleme Kurumu'na ve Ulusal Siber Güvenlik Başkanlığı'na bildirmek zorundadır.
  • 5 Günlük Rapor Şartı: Olayın tespit edilmesinden sonra en geç 5 iş günü içinde detaylı bir analiz raporu NDK'ya sunulacaktır.
  • Yıllık Tatbikatlar: Kuruluş, siber olaylara müdahale planını test etmek için yılda en az bir kez kritik varlıkları hedef alan bir senaryoyla "siber olay tatbikatı" (Kırmızı Takım/Mavi Takım) yapacaktır.
  • Felaket Kurtarma Merkezi (FKM): Ana sistemlerin bulunduğu alandan fiziksel olarak uzakta, saldırı anında sistemin çökmesini engelleyecek ve iletişimi sürdürecek bir "Felaket Kurtarma Merkezi" kurulması zorunludur.

🔗 4. Tedarik Zinciri ve Taşeronların Denetimi (Madde 12)​


Siber saldırıların genellikle taşeron firmalar (tedarikçiler) üzerinden geldiği bilindiği için yönetmelik bu konuya özel bir madde ayırmış:
  • Kuruluş, nükleer tesise mal veya hizmet (yazılım, bakım, gözetim) sağlayan tüm tedarikçilerin siber güvenlik gereksinimlerine uymasını sağlamak zorundadır.
  • Tedarikçilerin ürünleri tesise girmeden önce, gizli bir arka kapı (backdoor) veya zafiyet barındırmadığından emin olmak için "Fabrika Kabul Testleri" ve "Saha Kabul Testleri" uygulanacaktır.

⏳ 5. Geçiş Süreci Nasıl Olacak?​


Halihazırda inşaatı devam eden veya yetkilendirilmiş kuruluşlar (örneğin yapımı süren reaktörler), bu yönetmeliğe uyum sağlamak için 6 ay içerisinde NDK'ya bir "eylem planı" sunmak zorundadır (Geçici Madde 1). Bu süre haklı bir gerekçe ile en fazla 1 yıla kadar uzatılabilecektir.


Siber Güvenlik Uzmanlarına ve Sektör Temsilcilerine Sorularımız

Kritik altyapıların siber güvenliği, ulusal güvenliğin doğrudan bir parçasıdır. Nükleer santraller gibi "Sıfır Hata" gerektiren tesislerde alınan bu önlemleri teknik açıdan değerlendirmek önem taşıyor.

  • Yıllık siber tatbikat zorunluluğunu ve fiziksel olarak ayrı bir "Felaket Kurtarma Merkezi" kurulması şartını, günümüzün siber tehditleri (Stuxnet benzeri saldırılar) karşısında yeterli buluyor musunuz?
  • Tedarik zincirinin ve alt yüklenicilerin siber güvenlik açısından denetlenmesi (Madde 12), pratikte ne gibi zorluklar yaratabilir?
  • Sizce nükleer bir tesisteki IT (Bilgi Teknolojileri) ağları ile OT (Operasyonel Teknolojiler/Endüstriyel Kontrol Sistemleri) ağlarının hava boşluğu (Air-gap) ile tamamen ayrılması kuralı Türkiye'deki tesislerde tam anlamıyla uygulanabilir mi?

Kritik altyapıların siber güvenliği üzerine çalışan üyelerimizin, yeni yönetmeliğe dair teknik analizlerini ve eleştirilerini yorumlarda bekliyoruz!
 
Cevap yazmak için giriş yap yada kayıt ol.

Şu anda bu konu'yu okuyan kullanıcılar

Toplam: 1 (Kullanıcı: 0, ziyaretçi: 1)
Benzer konular Forum Tarih
can 2026 Yeni Gıdalar Yönetmeliği Yayımlandı: Gıda Sektöründe "Yeni" Dönem Ve Kesin Yasaklar! Yönetmelikler 0 10
can 2026 Gemi Acenteleri Yönetmeliği Yayımlandı: Sermaye Şartları Ve Belge Ücretleri Yenilendi! Yönetmelikler 0 42
can 2026 Yeni Bitki Karantinası Yönetmeliği: İthalat Ve İhracatta Kurallar Değişti! Yönetmelikler 0 125
can 2026 Huzurevi Yönetmeliği Yayımlandı: Huzurevine Kabul Yaşı 70'E Çıkarıldı! Yönetmelikler 0 92
can 2026 Meb Uzman Ve Başöğretmenlik Başvuru Takvimi Ve Şartları Belli Oldu! Güncel Haberler 0 165
can 2026 Sivil Havacılık (Shy-22) Yönetmeliği Değişti: İç Hatlarda "Hizmet Hakkı Ücreti" Kaldırıldı! Yönetmelikler 0 96
can 2026 Geleneksel Ve Tamamlayıcı Tıp (Getat) Yönetmeliği Yayımlandı: Kurallar Sil Baştan! Yönetmelikler 0 99
can 2026 Asma Fidanı Ve Üretim Materyali Yönetmeliği: Bağcılıkta Yeni Sertifikasyon Ve Pazarlama Şartları Yönetmelikler 0 63

Benzer konular

Üst