EPDK’nin Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik Yayımlandı ⏬👇

EPDK tarafından Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği’nde yapılan değişiklikler, Resmi Gazete’de yayımlandı. Yapılan düzenlemelere göre, enerji sektöründe siber güvenlik yetkinlik modeli denetimlerini gerçekleştirecek firmalar ve personeller için yeni nitelikler belirlendi.

Siber Güvenlik Yetkinlik Modeli Denetimlerinde Yeni Nitelikler

ISO 27001 Başdenetçi veya CISA Sertifikası Gerekliliği: Denetçi personelde artık geçerli ISO 27001 Başdenetçi sertifikası ya da CISA sertifikasının bulunması zorunlu hale getirildi.

Mesleki Tecrübe Şartı: Başdenetçilerin en az 7 yıl, denetçilerin ise en az 5 yıl bilgi sistemleri denetimi, yönetimi, geliştirilmesi veya güvenliği alanında tam zamanlı mesleki tecrübeye sahip olması gerekecek.

Eğitim Şartı: Denetim ekibinde en az bir kişinin, Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimini tamamlayıp başarı sertifikası alması gerekecek.

Denetçi Firmaların Şartları: Denetçi firmaların son 5 yıl içerisinde ISO/IEC 27001 veya benzeri ulusal ya da uluslararası bilgi güvenliği standartları ve düzenlemeleri kapsamında en az 5 bilgi güvenliği denetimi yapmış olmaları gerekecek.

Personel İstihdamı: Firmalar, bünyelerindeki başdenetçi ile denetçilerin tam zamanlı istihdam edildiğini belgelemekle yükümlü olacak. Aynı yatırımcının hissedarı olduğu denetim firması, yatırım yaptığı yükümlü kuruluşu denetleyemeyecek.

Uyum Süreci ve Son Tarih

Denetçi firmalara, yeni kurallara uyum sağlamaları için 1 Mart 2026’ya kadar süre tanınacak. Bu tarihe kadar firma yetkilendirmelerinde, eski Bilgi ve İletişim Güvenliği Denetim Rehberi kriterlerine ek olarak personelde EKS eğitimi başarı sertifikasının bulunması ya da yeni yönetmelikteki tüm niteliklerin sağlanması yeterli olacak.