25 Kasım 2025 Tarihli Resmi Gazete
Sayı: 33088
Enerji Piyasası Düzenleme Kurumundan:
ÖZET:
Bu düzenleme, enerji sektöründe siber güvenlik denetimi yapacak firmaların ve denetçilerin kriterlerini netleştiriyor ve bazı yeni zorunluluklar getiriyor.
1) Yeni Tanımlar
- CISA (Sertifikalı Bilgi Sistemleri Denetçisi) ve
- IAF (Uluslararası Akreditasyon Forumu) tanımlara eklendi.
2) Denetçi Personel Şartları Güncellendi
Denetçi/başdenetçi olmak için:
- 4 yıllık lisans mezunu olmak
- ISO/IEC 27001 başdenetçi veya CISA sertifikasına sahip olmak
- Başdenetçi: 7 yıl deneyim
- Denetçi: 5 yıl deneyim
- EKS (Kritik Altyapılar Test Yatağı) eğitim sertifikası
- TC vatandaşı olmak, adli sicilinin temiz olması
(EKS sertifikasının ekipte en az 1 kişide olması yeterli.)
3) Denetçi Firma Şartları
- ISO/IEC 27001 bilgi güvenliği yönetim sistemi sertifikası (IAF akreditasyonlu)
- Son 5 yılda en az 5 bilgi güvenliği denetimi yapmış olmak
- Denetçi personelin firmada tam zamanlı çalıştığını belgelemek
- Personelin başka firmalarda kısmi zamanlı denetçi olmaması
4) Çıkar Çatışması Yasakları
- Aynı holding/grup şirketleri birbirini denetleyemez
- Aynı yatırımcının ortak olduğu firmalar arasında denetim yapılamaz
5) Geçiş Süreci (1 Mart 2026’ya kadar)
Firmalar aşağıdaki koşullardan biriyle yetkilendirilebilir:
- Mevcut denetim rehberine uygun ekip + EKS eğitim sertifikası
veya
- Yeni yönetmelikteki tüm nitelikleri sağlamak
Kısaca, yönetmelik denetçi firmaların ve personelin yetkinlik şartlarını sıkılaştırıyor, çıkar çatışmalarını engelliyor ve uyum için geçiş süreci tanımlıyor.
MADDE 1- 6/6/2023 tarihli ve 32213 sayılı Resmî Gazete’de yayımlanan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliğinin 4 üncü maddesinin birinci fıkrasına aşağıdaki bentler eklenmiştir.
“k) CISA: Sertifikalı Bilgi Sistemleri Denetçisini,
l) IAF: Uluslararası Akreditasyon Forumunu,”
MADDE 2- Aynı Yönetmeliğin 11 inci maddesi başlığıyla beraber aşağıdaki şekilde değiştirilmiştir.
“Denetçi firma ve personelinde aranacak nitelikler
MADDE 11- (1) Denetim ekibinde en az biri başdenetçi olmak üzere iki kişi bulunur. Ekipte birden fazla başdenetçi olması durumunda başdenetçilerden biri koordinatör olarak görevlendirilir. Denetimin kapsamı ve denetlenen sistemlerin karmaşıklığına bağlı olarak denetim ekibindeki denetçi sayısı artırılabilir.
(2) Denetçi firmanın başdenetçi ve denetçi ünvanlı personelinde aranacak nitelikler aşağıda belirtilmiştir:
a) Üniversitelerin veya denkliği Yükseköğretim Kurulu tarafından kabul edilen yurt dışındaki yüksek öğretim kurumlarının en az dört yıllık lisans programlarını tamamlamış olmak.
b) ISO/IEC 27001 standardının güncel versiyonu doğrultusunda geçerli bir başdenetçi sertifikasına veya geçerliliğini koruyan bir CISA sertifikasına sahip olmak.
c) Bilgi sistemleri denetimi, yönetimi, geliştirilmesi veya güvenliği konularından herhangi birinde ya da birkaçında başdenetçi için en az yedi yıllık, denetçi için en az beş yıllık tam zamanlı mesleki tecrübeye sahip olduğunu resmî hizmet dökümleri, iş deneyim belgeleri veya kurum onaylı referans yazıları ile belgelendirmek.
ç) Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimleri sonrası denetim alanında başarı sertifikasına sahip olmak ve bu belgenin geçerliliğini sağlamak.
d) Türkiye Cumhuriyeti vatandaşı olmak ve kamu haklarından mahrum bulunmamak.
e) Adli sicil kaydı ve adli sicil arşiv kaydının bulunmadığını belgelemek.
f) Herhangi bir suçtan dolayı adli soruşturma veya kovuşturma altında olmadığına dair yazılı beyanda bulunmak.
(3) İkinci fıkranın (ç) bendinde aranan yetkinliğin, denetim ekibinde görev alan başdenetçi veya denetçi personelden en az birinde bulunması yeterlidir.
(4) Denetçi firmada aranacak nitelikler aşağıda belirtilmiştir:
a) Firmanın hizmet verdiği ana faaliyet alanı ile denetim faaliyetlerine ilişkin bilgi varlıklarını kapsam dâhiline alan ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardını uygun bir şekilde işletmek, ISO/IEC 27001 BGYS standardına uygun faaliyet gösterdiğini IAF üyesi bir akreditasyon kuruluşu tarafından akredite edilmiş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgenin geçerliliğini sağlamak.
b) Son beş yıl içerisinde, ISO/IEC 27001 veya benzeri ulusal ya da uluslararası bilgi güvenliği standartları ve düzenlemeleri kapsamında en az beş adet bilgi güvenliği denetimi yapmış olmak.
c) Firma bünyesinde ikinci fıkrada nitelikleri belirtilen başdenetçi ve denetçi ünvanlı personelin tam zamanlı çalıştığını belgelemek.
ç) Firmada çalışan başdenetçi ve denetçi ünvanlı personelin başka bir firmada kısmi zamanlı denetçi olarak istihdam edilmediğini belgelemek.
(5) Denetçi firma ve yükümlü kuruluşun aynı holding çatısı altında yer alan grup şirketleri olması ve/veya aralarında 13/1/2011 tarihli ve 6102 sayılı Türk Ticaret Kanununun 195 inci maddesinde tanımlanan hakim-bağlı şirket ilişkisi bulunması durumunda, denetçi firma yükümlü kuruluşu denetleyemez.
(6) Bir yatırımcının hissedarı olduğu denetim firması, aynı yatırımcının yatırım yaptığı yükümlü kuruluşu denetleyemez.”
MADDE 3- Aynı Yönetmeliğe aşağıdaki geçici madde eklenmiştir.
“Geçiş süreci
GEÇİCİ MADDE 1- (1) 1/3/2026 tarihine kadar, yetkinlik modeli denetimleri kapsamında firma yetkilendirmelerinde aşağıdaki şartlardan birine sahip olunması yeterlidir:
a) Bilgi ve İletişim Güvenliği Denetim Rehberinde hizmet alımı ile oluşturulan denetim ekibi için belirlenen kriterlere ek olarak, yetkinlik modeli denetimlerini yapacak firma personelinde Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimleri sonrası başarı sertifikası olması.
b) Firmaların 11 inci maddedeki nitelikleri sağlaması.”
MADDE 4- Aynı Yönetmeliğin 13 üncü maddesinin dördüncü fıkrasında yer alan “unvanları,” ibaresi “ünvanları,” şeklinde değiştirilmiştir.
MADDE 5- Aynı Yönetmeliğin 14 üncü maddesinin beşinci fıkrasında yer alan “unvanları” ibaresi “ünvanları” şeklinde değiştirilmiştir.
MADDE 6- Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
MADDE 7- Bu Yönetmelik hükümlerini Enerji Piyasası Düzenleme Kurumu Başkanı yürütür.
