EPDK açıkladı: Enerji’de siber güvenlik standartları yükseliyor

0

Enerji Piyasası Düzenleme Kurumu (EPDK), enerji sektörünün dijital güvenliğini güçlendirmek amacıyla hazırladığı Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliğini kapsamlı biçimde güncelledi. Resmî Gazete’de yayımlanan yeni düzenlemeyle, denetim süreçlerinin niteliğini artıracak birçok şart yeniden tanımlandı.

DENETÇİ NİTELİKLERİ YENİDEN TANIMLANDI

Yeni yönetmeliğe göre, enerji sektöründeki siber güvenlik denetimlerini yürütecek uzmanların taşıması gereken kriterler yükseltildi.

Denetçi personelin ISO 27001 Başdenetçi veya CISA sertifikasına sahip olması zorunlu hale getirildi. Başdenetçiler için en az 7 yıl, denetçiler için ise en az 5 yıl bilgi sistemleri alanında tam zamanlı profesyonel tecrübe şartı getirildi. Ayrıca denetim ekiplerinde, Kritik Altyapılar Ulusal Test Yatağı Merkezi’nin EKS eğitimini tamamlayıp başarı sertifikası alan en az bir uzmanın bulunması şart koşuldu.

DENETÇİ FİRMALARA TECRÜBE ŞARTI

Yeni kurallara göre denetim firmalarının: Son 5 yılda ISO/IEC 27001 veya benzeri bilgi güvenliği standartları kapsamında en az 5 denetim gerçekleştirmiş olması gerekecek. Bünyelerindeki başdenetçi ve denetçilerin tam zamanlı istihdam edildiğini belgelemeleri zorunlu olacak.

ÇIKAR ÇATIŞMASI ÖNLENECEK

Düzenleme, bağımsız denetimi güvence altına almak için önemli bir maddeyi de içeriyor. Bir yatırımcının ortak olduğu bir denetim firması, aynı yatırımcının pay sahibi olduğu enerji kuruluşunu denetleyemeyecek.

FİRMALARA UYUM İÇİN 2026’ya KADAR SÜRE

Denetçi firmalara yeni standartlara uyum için 1 Mart 2026 tarihine kadar süre tanındı. Bu döneme kadar yapılacak yetkilendirmelerde, personelin EKS eğitim sertifikasına sahip olması veya yeni yönetmelikteki tüm niteliklerin sağlanması yeterli kabul edilecek. EPDK’nın bu güncellemesi, enerji sektörünün kritik altyapılarını siber tehditlere karşı daha dirençli hale getirmeyi hedeflerken, denetim süreçlerinde uluslararası standartlara uyumu da güçlendirmiş oldu.