Enerji Günlüğü- Enerji Piyasası Düzenleme Kurumu (EPDK), enerji sektöründe gerçekleştirilecek siber güvenlik denetimlerinin standartlarını yükseltmek amacıyla yönetmelik değişikliğine gitti. 25 Kasım 2025 tarihli Resmî Gazete’de yayımlanarak yürürlüğe giren düzenleme, denetçi firma ve personelin yetkinliklerine ilişkin yeni kriterler getiriyor.

DENETİM EKİBİ VE TECRÜBE ŞARTI

Yönetmelik değişikliğine göre, siber güvenlik denetim ekipleri en az biri başdenetçi olmak üzere iki kişiden oluşacak. Denetim ekibinde yer alacak başdenetçilerin ilgili alanda en az yedi yıl, denetçilerin ise en az beş yıl tam zamanlı mesleki tecrübeye sahip olması gerekiyor. Ayrıca personelin Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen Endüstriyel Kontrol Sistemleri (EKS) eğitimleri sonrası başarı sertifikasına sahip olması şartı aranıyor.

FİRMALARDA AKREDİTASYON VE BAĞIMSIZLIK

Denetim hizmeti verecek firmaların, Uluslararası Akreditasyon Forumu (IAF) üyesi bir kuruluş tarafından akredite edilmiş ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi belgesine sahip olması şartı düzenlendi. Firmaların ayrıca son beş yıl içinde en az beş adet bilgi güvenliği denetimi yapmış olması gerekiyor. Yönetmelikle çıkar çatışmalarını önlemeye yönelik tedbirler de alındı. Buna göre, denetçi firma ile yükümlü kuruluşun aynı holding bünyesinde olması veya aralarında hakim-bağlı şirket ilişkisi bulunması durumunda denetim hizmeti verilemeyecek.

GEÇİŞ SÜRECİ 2026 MARTINA KADAR

Düzenlemeye eklenen geçici maddeyle, mevcut firmaların yeni kriterlere uyumu için bir geçiş süreci tanımlandı. Buna göre 1 Mart 2026 tarihine kadar yapılacak yetkilendirmelerde, firma personelinin EKS eğitim sertifikasına sahip olması veya firmanın yönetmelikte belirtilen diğer nitelikleri sağlaması yeterli kabul edilecek.