Yeni Gelişmeler
Türkiye’de siber güvenlik alanında düzenleyici gelişmeler hız kesmeden devam ediyor.
Nükleer Düzenleme Kurumu, 5 Mayıs 2026 tarihli ve 33244 sayılı Resmî Gazete’de yayımlanan Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik (“Yönetmelik“) ile nükleer tesislere yönelik düzenleyici kontrole tabi faaliyetlerde siber güvenliğin sağlanmasına ilişkin usul ve esasları düzenledi.
25 Nisan 2026 tarihli ve 33234 sayılı Resmî Gazete’de yayımlanan 11220 ve 11221 sayılı Cumhurbaşkanı Kararları, Siber Güvenlik Başkanlığı’nın (“Başkanlık“) savunma, güvenlik ve istihbaratla ilişkili mal ve hizmet alımları ile dijital dönüşüm ve teknolojik gelişim kapsamında gerçekleştireceği mal ve hizmet alımlarına uygulanacak özel ihale usullerini belirledi.
Bu gelişmeler ile Siber Güvenlik Kurulu tarafından kritik altyapı sektörlerinin belirlenmesi ve Başkanlık’ın internet sitesinin faaliyete geçirilmesi birlikte değerlendirildiğinde, siber güvenlik alanındaki gelişmelerin hız kazandığını göstermektedir.
Nükleer Düzenleme Kurumu tarafından çıkarılan Yönetmelik’e buradan ulaşabilirsiniz.
11220 sayılı Cumhurbaşkanı Kararı’na buradan, 11221 sayılı Cumhurbaşkanı Kararı’na ise buradan ulaşabilirsiniz.
Kritik altyapı sektörleri hakkında detaylı bilgi için ilgili hukuk bültenimize buradan ulaşabilirsiniz.
Nükleer Tesislerde Siber Güvenliğe İlişkin Yönetmelik
Nükleer Düzenleme Kurumu tarafından çıkarılan Yönetmelik, nükleer tesislere yönelik düzenleyici kontrole tabi faaliyetler kapsamında siber güvenliğin sağlanmasına ilişkin usul ve esasları belirledi. Yönetmelik, bu çerçevede nükleer tesislerde siber güvenliğin planlanması, uygulanması ve yönetimine ilişkin süreçleri; dijital varlıkların yönetimi, siber risklerin tespiti ve azaltılması, tedarik zinciri güvenliği, siber olaylara müdahale, personel yönetimi ve yıllık rapor ve bilgi sağlama yükümlülükleri gibi başlıklar altında kapsamlı bir çerçeve ortaya koydu.
Yönetmelik kapsamında özetle aşağıdaki hususlarda düzenlemelere yer verildi:
- Siber güvenliğin planlanması ve buna ilişkin planların hazırlanması, gözden geçirilmesi ve güncellenmesi;
- Dijital varlıkların tanımlanması, kritiklik derecelerine göre sınıflandırılması ve korunmasına yönelik yükümlülükler;
- Siber güvenlik risklerinin yönetiminin yürütülmesi kapsamında risk değerlendirmeleri gerçekleştirilmesi, gerekli teknik, idari ve fiziksel önlemlerin uygulanması ve zafiyet yönetimi faaliyetlerinin gerçekleştirilmesi;
- Tedarik zinciri yönetimi kapsamında tedarikçilere uygulanacak siber güvenlik gerekliliklerinin belirlenmesi ve doğrulanması;
- Siber olaylara hazırlık, müdahale ve olay sonrası iyileştirme süreçlerinin oluşturulması;
- Test, yıllık personel eğitimleri, denetim ve raporlama faaliyetlerinin yürütülmesi.
Yönetmelik’e göre, güvenlik, emniyet veya nükleer güvenceyi etkileyen ya da etkileyebilecek siber olaylar, derhâl Nükleer Düzenleme Kurumu’na ve Başkanlık’a bildirilmelidir. Ayrıca, olayın tespitinden itibaren beş iş günü içinde olayın nedenleri ve etkileri ile yürütülen müdahale faaliyetleri ve önleyici aksiyonları içeren bir raporun Nükleer Düzenleme Kurumu’na sunulması gereklidir.
Geçiş süreci kapsamında, Yönetmelik öncesinde yetkilendirilen veya yetkilendirilmek üzere Nükleer Düzenleme Kurumu’na başvuruda bulunan kuruluşların altı ay içinde Yönetmelik hükümlerine uyum sağlamak üzere hazırladıkları eylem planını Nükleer Düzenleme Kurumu’na sunması gereklidir. Kuruluş tarafından gerekçelendirilmesi ve bu gerekçenin Nükleer Düzenleme Kurumu tarafından uygun bulunması hâlinde bu süre bir yıla kadar uzatılabilir.
Yönetmelik, siber güvenlik alanında Başkanlık tarafından yayınlanacak düzenlemelerinin yanı sıra sektörel düzenleyici kurumların da sektöre özgü düzenlemeler yapmaya başladığını gösterdi.
Siber Güvenlik Başkanlığı İçin Belirlenen Özel İhale Usulleri
11220 ve 11221 sayılı Cumhurbaşkanı Kararları (“Kararlar“), Başkanlık tarafından 4734 sayılı Kamu İhale Kanunu’nun 3. maddesi kapsamında istisna tutulan alımlara ilişkin özel usul ve esasları düzenledi.
11220 sayılı Karar, savunma, güvenlik veya istihbaratla ilişkili, gizlilik içinde yürütülmesi gereken ya da devletin temel güvenlik menfaatlerini ilgilendiren işler kapsamında Başkanlık tarafından yapılacak mal ve hizmet alımları ile yapım işlerine uygulanacak özel ihale rejimini düzenliyor.
11221 sayılı Karar ise dijital dönüşümün sağlanması ve teknolojik gelişimin desteklenmesi amacıyla Başkanlık tarafından gerçekleştirilecek mal ve hizmet alımlarına uygulanacak usulleri belirliyor.
İhale yöntemleri bakımından benzer bir çerçeve benimseyen Kararlar, pazarlık ve rekabetçi müzakere yöntemlerinin kullanılmasına ve belirli durumlarda doğrudan alım yapılmasına imkân tanıdı.
Sonuç
Son dönemde siber güvenlik alanında pek çok farklı gelişmenin gündeme geldiği değerlendirildiğinde, Türkiye’de siber güvenlik alanında düzenleyici çerçevenin hem merkezi otorite hem de sektörel düzenleyici kurumlar aracılığıyla fiilen uygulanmaya başlandığı görüldü. Yönetmelik ile nükleer tesislere ilişkin sektöre özgü yükümlülükler düzenlenirken, Başkanlık’a ilişkin ihale düzenlemeleri Başkanlık’ın operasyonel kapasitesinin güçlendirildiğine işaret ediyor.
Siber güvenlik alanındaki düzenleyici gelişmelerin ve uygulama pratiğinin önümüzdeki dönemde daha da somutlaşması bekleniyor. Dolayısıyla, siber uzayda faaliyet gösteren tüm aktörlerin bu gelişmeleri yakından takip etmeleri ve uyum süreçlerini bu doğrultuda gözden geçirmeleri önem arz ediyor.
