EPDK'nin Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmeliği, Resmi Gazete'de yayımlandı.
Buna göre, enerji sektöründe siber güvenlik yetkinlik modeli denetimlerini gerçekleştirecek firma ve personelin nitelikleri yenilendi.
Denetçi personelde geçerli ISO 27001 Başdenetçi sertifikası ya da CISA sertifikası bulunması zorunlu hale getirildi. Başdenetçilerin en az 7 yıl, denetçilerin ise en az 5 yıl bilgi sistemleri denetimi, yönetimi, geliştirilmesi veya güvenliği alanında tam zamanlı mesleki tecrübeye sahip olması gerekecek.
Denetim ekibinde Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimini tamamlayıp başarı sertifikası alan en az bir kişi bulunması gerekecek.
Denetçi firmaların, son 5 yıl içerisinde ISO/IEC 27001 veya benzeri ulusal ya da uluslararası bilgi güvenliği standartları ve düzenlemeleri kapsamında en az 5 bilgi güvenliği denetimi yapmış olması gerekecek.
Firmalar, bünyelerindeki başdenetçi ile denetçilerin tam zamanlı istihdam edildiğini belgelemekle yükümlü olacak.
Bir yatırımcının hissedarı olduğu denetim firması, aynı yatırımcının yatırım yaptığı yükümlü kuruluşu denetleyemeyecek.
Denetçi firmalara yeni kurallara uyum sağlamaları için 1 Mart 2026'ya kadar süre tanınacak. Bu tarihe kadar firma yetkilendirmelerinde, eski Bilgi ve İletişim Güvenliği Denetim Rehberi kriterlerine ek olarak personelde EKS eğitimi başarı sertifikasının bulunması ya da yeni yönetmelikteki tüm niteliklerin sağlanması yeterli olacak.
