Afin d'assurer la maîtrise du système de sécurité nucléaire, l'opérateur programme et met en œuvre un contrôle interne et une surveillance. A cette fin, il détermine :

- les dispositions de sécurité nucléaire à surveiller et contrôler ;
- les méthodes de surveillance et de contrôle interne pour assurer la conformité aux exigences spécifiées, à la mise en place des dispositions et tout au long de l'activité. Ces méthodes peuvent inclure des exercices de sécurité, des tests d'efficacité ou des essais périodiques ;
- la périodicité des actions de surveillance et de contrôles ;
- les critères permettant de définir un contrôle satisfaisant.

Les tests d'efficacité sont aussi complets que possible et sont réalisés dans les conditions les plus proches de celles dans lesquelles les dispositions sont conçues pour être mises en œuvre.
Sauf justification particulière, les personnes réalisant un contrôle interne ou une surveillance sont différentes des personnes ayant accompli les actions.

L'opérateur teste périodiquement l'efficacité du système de sécurité nucléaire, par sous-ensemble pertinent, par fonction de sécurité et dans son ensemble, par rapport aux exigences spécifiées.
En particulier, l'opérateur organise des exercices comportant des mises en situation in situ et le test des dispositions de la gestion de crise sécuritaire, au moins tous les deux ans.
Ces exercices font l'objet de rapports qui récapitulent les constats effectués, les enseignements tirés ainsi que les axes d'amélioration devant être mis en œuvre.

L'opérateur réalise des audits internes afin d'évaluer le respect constant des exigences spécifiées et la bonne mise en œuvre du système de management de la sécurité nucléaire.
Les audits internes sont effectués par des personnes indépendantes de celles chargées de la conception, de la mise en œuvre et du contrôle interne des dispositions relatives à la sécurité nucléaire auditées. L'impossibilité de satisfaire à l'indépendance des personnes effectuant les audits internes est justifiée et des dispositions sont mises en place afin de se rapprocher au mieux de cet objectif d'indépendance.
La périodicité de ces audits internes est définie par l'opérateur, au regard des enjeux de sécurité nucléaire.

L'opérateur procède, au niveau de sa direction et à des intervalles planifiés, à la revue du système de management afin de s'assurer qu'il est toujours pertinent, adapté, efficace et en cohérence avec sa politique de sécurité nucléaire.

L'opérateur identifie et traite les non-conformités de manière à :

- détecter les situations, les défaillances ou les vulnérabilités susceptibles de conduire au non-respect des exigences spécifiées ;
- déterminer les actions nécessaires pour revenir à une situation conforme et les délais optimaux de mise en œuvre de celles-ci, et mettre en place, dans l'attente les dispositions compensatoires appropriées ;
- déterminer les actions pour réduire les vulnérabilités et pour éviter le renouvellement des défaillances en spécifiant un délai de mise en œuvre associé ;
- mettre en œuvre ces actions dans les délais spécifiés, assurer leur suivi et vérifier leur efficacité.

Il tient à jour la liste des non-conformités et l'état d'avancement de leur traitement.
Lorsque des vulnérabilités affectent significativement l'efficacité du système de sécurité nucléaire, l'opérateur engage la remise en état et prend des dispositions compensatoires, dans les meilleurs délais.
Pour les situations de non-conformité ou de vulnérabilité qui peuvent être fréquentes et ne peuvent pas être évitées, des dispositions compensatoires sont prévues et justifiées dans la démonstration de sécurité nucléaire.

L'opérateur prend des dispositions pour améliorer en continu la pertinence, l'adéquation et l'efficacité de son système de management vis-à-vis de la sécurité nucléaire.
A cet effet, il prend en compte régulièrement, et au moins une fois par an :

- les résultats de l'évaluation de l'efficacité du système de sécurité nucléaire, qui comprend notamment les résultats des audits internes et des revues périodiques du système de management de la sécurité nucléaire ;
- l'analyse des non-conformités ;
- l'analyse des faits suspects ;
- l'analyse des événements importants pour la sécurité nucléaire ;
- le retour d'expérience ;
- la détection de vulnérabilités de son système de sécurité nucléaire.

En cas d'identification de vulnérabilités importantes de son système de sécurité nucléaire, l'opérateur met en œuvre les dispositions prévues à l'article 36.