Enerji sektöründe siber güvenlik denetim kuralları yenilendi

Resmi Gazete’de yayımlanan düzenleme ile denetçi firmalar ve denetçi personelde aranacak nitelikler güncellendi. Yeni yetkinlik şartları ve geçiş süreci 2026’ya kadar tamamlanacak.

Enerji sektöründe siber güvenlik standartlarını güçlendirmeye yönelik yönetmelik değişikliği Resmi Gazete’de yayımlanarak yürürlüğe girdi. Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği’nde yapılan değişiklikler, denetçi firmaların ve personellerinin taşıması gereken sertifika, deneyim ve yetkinlik şartlarını yeniden tanımlıyor.

DENETÇİ PERSONEL İÇİN YENİ KRİTERLER BELİRLENDİ

Yönetmeliğin 11. maddesi tamamen yenilenerek denetim ekiplerinde bulunması gereken personel sayısı, unvan koşulları ve yetkinlik standartları ayrıntılı şekilde düzenlendi. Buna göre denetim ekipleri en az iki kişiden oluşacak ve ekipte bir başdenetçinin bulunması zorunlu olacak. Başdenetçilerin ISO/IEC 27001’in güncel versiyonuna uygun bir başdenetçi sertifikasına veya geçerli bir CISA belgesine sahip olması gerekecek.

Denetçilerin bilgi sistemleri denetimi, yönetimi, geliştirilmesi veya güvenliği alanlarında asgari beş ila yedi yıllık mesleki deneyimi belgelemeleri şart koşuldu. Ayrıca Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimlerinde başarı sağlayan personelin bu belgeyi geçerli şekilde koruması gerekecek. Türkiye Cumhuriyeti vatandaşlığı, adli sicil temizliği ve kamu haklarından mahrum olmama da zorunlu kriterler arasında yer aldı.

FİRMALAR İÇİN ISO 27001 ZORUNLULUĞU GETİRİLDİ

Denetçi firmaların, faaliyetlerinin kapsamına uygun bir ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi’ni işletmesi ve bu sistemi IAF üyesi bir akreditasyon kuruluşunca belgelendirmesi zorunlu hale getirildi. Ayrıca firmaların son beş yıl içinde en az beş bilgi güvenliği denetimi gerçekleştirmiş olması ve bünyesindeki başdenetçi ile denetçilerin tam zamanlı çalıştığını belgelemesi gerekecek.

Yeni düzenleme, çıkar ilişkilerini önlemek amacıyla bazı sınırlamalar da getiriyor. Aynı holding çatısında bulunan veya Türk Ticaret Kanunu kapsamında hâkim-bağlı şirket ilişkisi bulunan firmaların birbirini denetlemesine izin verilmeyecek. Bir yatırımcının ortak olduğu denetim firması ise yine aynı yatırımcının yatırım yaptığı yükümlü kuruluşu denetleyemeyecek.

GEÇİŞ SÜRECİ 2026’DA TAMAMLANACAK

Yönetmeliğe eklenen geçici madde ile denetim firmalarına 1 Mart 2026’ya kadar geçiş süreci tanındı. Bu tarihe kadar firmalar, ya güncellenen 11. madde koşullarını sağlayacak ya da mevcut Bilgi ve İletişim Güvenliği Denetim Rehberi kriterlerine ek olarak EKS eğitimlerinde başarı şartını karşılayacak.

Değişiklikler yayım tarihi itibarıyla yürürlüğe girdi ve hükümler Enerji Piyasası Düzenleme Kurumu Başkanı tarafından uygulanacak.