Enerji denetimlerinde yeni dönem: Siber güvenlik yetkinlikleri artırıldı
Enerji Piyasası Düzenleme Kurumu, enerji sektöründeki siber güvenlik denetimlerinde kaliteyi artırmak amacıyla yetkinlik modelini baştan sona güncelledi.
Enerji Piyasası Düzenleme Kurumu (EPDK), enerji sektöründe siber güvenlik alanında uygulanan denetim süreçlerini güçlendirmek amacıyla önemli bir düzenlemeye imza attı. “Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik”, Resmî Gazete’de yayımlanarak yürürlüğe girdi. Yapılan değişiklikler, hem denetçi firmaların hem de bu firmalarda görev alacak personelin niteliklerini yükseltmeyi hedefliyor.
Yeni düzenlemeye göre, enerji sektöründe siber güvenlik yetkinlik modeli denetimlerini gerçekleştirecek personelin sahip olması gereken sertifikasyon şartları yenilendi. Denetçiler için ISO 27001 Başdenetçi sertifikası veya CISA sertifikası artık zorunlu hâle getirildi. Bunun yanında, başdenetçilerin en az 7 yıl, denetçilerin ise en az 5 yıl bilgi sistemleri denetimi, yönetimi, geliştirilmesi ya da güvenliği alanlarında tam zamanlı mesleki tecrübeye sahip olması gerekiyor. Böylece denetim süreçlerinde hem teknik bilgi hem de sektörel deneyimin artırılması amaçlanıyor.
Denetim ekiplerinde, Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen Endüstriyel Kontrol Sistemleri (EKS) eğitimini tamamlayarak başarı sertifikası almış en az bir uzmanın bulunması da zorunlu hâle getirildi. Bu şart, özellikle enerji sektöründeki kritik altyapıları hedef alan siber tehditlere karşı uzmanlık düzeyini yükseltmeyi hedefliyor.
Denetçi firmalar için de yeni kriterler getirildi. Firmaların son 5 yıl içinde ISO/IEC 27001 veya buna eşdeğer ulusal ya da uluslararası standartlar kapsamında en az 5 bilgi güvenliği denetimi yapmış olması gerekiyor. Ayrıca firmalar, bünyelerinde görev yapan başdenetçi ve denetçilerin tam zamanlı olarak istihdam edildiğini resmi olarak belgelemekle yükümlü olacak.
Yeni yönetmelikte çıkar çatışmalarını önlemeye yönelik bir düzenleme de yer aldı. Buna göre, bir yatırımcının hissedarı olduğu denetim firması, aynı yatırımcının yatırım yaptığı yükümlü kuruluş üzerinde denetim gerçekleştiremeyecek. Bu uygulamanın, denetimlerin tarafsızlığını ve bağımsızlığını artırması bekleniyor.
EPDK, denetçi firmalara uyum süreci tanıyarak yeni kurallara 1 Mart 2026’ya kadar geçiş yapılmasını öngördü. Bu süre içinde, firma yetkilendirmelerinde eski Bilgi ve İletişim Güvenliği Denetim Rehberi kriterlerine ek olarak personelin EKS eğitimi başarı sertifikasına sahip bulunması yeterli sayılacak. Ancak belirtilen tarihten sonra tüm niteliklerin yeni yönetmelik şartlarına uygun hâle getirilmesi zorunlu olacak.
Bakmadan Geçme
