Enerji Piyasası Düzenleme Kurumu (EPDK), elektrik, doğalgaz ve petrol gibi kritik enerji altyapılarını siber tehditlere karşı korumak amacıyla yapılan bağımsız denetimleri yürütecek firma ve personel için yeni bir yetkinlik modelini yürürlüğe koydu. Yayımlanan yönetmelik değişikliği, denetçi firmalara uluslararası akreditasyon, denetçilere ise ağır mesleki tecrübe ve sertifika şartları getirerek sektördeki denetim kalitesini artırmayı hedefliyor.
DENETÇİLER İÇİN AĞIR ŞARTLAR: 7 YIL TECRÜBE VE CISA SERTİFİKASI
Yeni düzenlemeyle, enerji şirketlerini denetleyecek başdenetçilerde aranacak kriterler kökten değişti. Buna göre, bir başdenetçide en az yedi yıllık tam zamanlı mesleki tecrübenin yanı sıra, geçerli bir uluslararası "CISA" (Sertifikalı Bilgi Sistemleri Denetçisi) sertifikası veya ISO/IEC 27001 Başdenetçi sertifikası bulunması zorunlu hale getirildi. Ayrıca tüm denetçi personelin Türkiye Cumhuriyeti vatandaşı olması, adli sicil kaydının bulunmaması ve Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen özel siber güvenlik eğitimlerinden başarı sertifikası alması gerekiyor.
DENETÇİ FİRMALARA ULUSLARARASI AKREDİTASYON ZORUNLULUĞU
Siber güvenlik denetimi yapacak firmalar için de ciddi şartlar getirildi. Denetçi firmaların, kendi bünyesinde ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardını uygulaması ve bu uygunluğun, Uluslararası Akreditasyon Forumu (IAF) üyesi bir kuruluş tarafından akredite edilmiş bir belgelendirme kurumu tarafından onaylanmış olması şartı aranacak. Firmanın son beş yılda en az beş bilgi güvenliği denetimi yapmış olması ve tüm denetçi kadrosunu tam zamanlı çalıştırıyor olması da diğer önemli kriterler arasında yer alıyor.
BAĞIMSIZLIK VURGUSU: HOLDİNG İÇİ DENETİM YASAKLANDI
Yönetmelik değişikliği, denetimlerin tarafsızlığını güvence altına almak amacıyla önemli bir düzenlemeye daha yer verdi. Buna göre, bir denetçi firma ile denetlenecek enerji şirketi aynı holding çatısı altındaysa veya aralarında hakim-bağlı şirket ilişkisi bulunuyorsa, denetim yapılması yasaklandı. Aynı yatırımcının hissedarı olduğu bir denetim firmasının, o yatırımcının yatırım yaptığı bir enerji şirketini denetlemesi de engellendi.
GEÇİŞ SÜRECİ 1 MART 2026'YA KADAR SÜRECEK
Getirilen yeni ağır şartlara uyum için firmalara bir geçiş süreci tanındı. 1 Mart 2026 tarihine kadar, denetçi firmalar mevcut kriterlere göre yetkilendirilmeye devam edebilecek. Bu tarihten sonra ise faaliyet göstermek isteyen tüm firma ve denetçilerin yeni yönetmelikte belirtilen tüm şartları eksiksiz sağlaması gerekecek. Bu hamle, Türkiye'nin kritik enerji altyapılarının siber saldırılara karşı dayanıklılığını artırmada önemli bir adım olarak değerlendiriliyor.
