Enerji Piyasası Düzenleme Kurumu (EPDK), sektördeki siber güvenlik denetimlerinin kalitesini artırmak amacıyla 'Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği'nde kritik değişiklikler yaptı. Yapılan revizyonlar, denetçi firma ve personelin niteliklerini önemli ölçüde yükseltiyor.
Enerji sektörünün kritik altyapıları için büyük önem taşıyan siber güvenlik denetimlerine yönelik kurallar, Resmi Gazete'de yayımlanan EPDK Yönetmeliği ile yeniden belirlendi.
Denetçi ve Personel Niteliklerinde Artırılan Standartlar
Yeni yönetmelikle birlikte, enerji sektöründe denetim yapacak firma ve personelde aranacak şartlar sıkılaştırıldı:
Sertifikasyon Zorunluluğu: Denetçi personelin artık ISO 27001 Başdenetçi sertifikasına veya CISA sertifikasına sahip olması zorunlu hale getirildi.
Tecrübe Şartı:
Başdenetçiler için bilgi sistemleri denetimi, yönetimi veya güvenliği alanında en az 7 yıl tam zamanlı mesleki tecrübe şartı getirildi.
Denetçiler için bu süre en az 5 yıl olarak belirlendi.
EKS Eğitimi Şartı: Denetim ekibinde, Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS (Enerji Kritik Altyapıları Siber Güvenlik) eğitimini başarıyla tamamlamış en az bir kişinin bulunması zorunlu tutuldu.
Denetçi Firmalar İçin Yeni Kurallar
Firmaların yetkinliklerini ve bağımsızlıklarını güvence altına almak için de yeni maddeler eklendi:
Tecrübe Şartı: Denetçi firmaların, son 5 yıl içinde ISO/IEC 27001 veya benzeri uluslararası bilgi güvenliği standartları kapsamında en az 5 bilgi güvenliği denetimi yapmış olması gerekecek.
Tam Zamanlı İstihdam: Firmalar, bünyelerindeki başdenetçi ve denetçilerin tam zamanlı olarak istihdam edildiğini belgelemekle yükümlü olacak.
Bağımsızlık Prensibi: Bir yatırımcının hissedarı olduğu denetim firmasının, aynı yatırımcının yatırım yaptığı yükümlü kuruluşu denetleyemeyeceği yönünde net bir bağımsızlık kuralı getirildi.
Uyum Süreci ve Geçiş Dönemi
Denetçi firmalara, yeni ve yükseltilmiş kriterlere uyum sağlamaları için 1 Mart 2026 tarihine kadar süre tanındı. Bu tarihe kadar yapılacak yetkilendirmelerde, eski kriterlere ek olarak personelde EKS eğitimi başarı sertifikasının bulunması veya yeni yönetmelikteki tüm niteliklerin sağlanması yeterli olacak.
