Duyurular

Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği’nde Denetçi Firma ve Personel Niteliklerine İlişkin Değişiklik Yapılmıştır

Enerji Piyasası Düzenleme Kurumu (“EPDK”) tarafından hazırlanan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik (“Yönetmelik”) 25.11.2025 tarihli ve 33088 sayılı Resmî Gazete’de yayımlanmıştır.

Yönetmelik’te özetle aşağıdaki hususlara değinilmiştir:

  • Enerji sektöründeki siber güvenlik denetim süreçlerinde görev alacak denetçi firma ve personelin nitelikleri yeniden tanımlanmış; denetim standartları ve geçiş sürecine ilişkin usul ve esaslar belirlenmiştir.
  • Uluslararası geçerliliği haiz sertifikasyon ve akreditasyon kuruluşlarına atıfta bulunulmuştur. Bu kapsamda CISA (Sertifikalı Bilgi Sistemleri Denetçisi) ve IAF (Uluslararası Akreditasyon Forumu) tanımları mevzuat metnine dahil edilmiştir.
  • Denetim ekibinin yapısı ve personelde aranacak asgari nitelikler hükme bağlanmıştır.
  • Denetim hizmetini sunacak tüzel kişilikler için kalite standartları yükseltilmiş ve çıkar çatışmalarını önleyici tedbirler alınmıştır:
    • Akreditasyon Zorunluluğu: Denetçi firmanın, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standardını işlettiğinin ve bu durumun IAF üyesi bir akreditasyon kuruluşu tarafından belgelendirildiğinin ispatlanması gerektiği belirtilmiştir.
    • Denetim Tecrübesi: Son beş yıl içerisinde ilgili standartlar kapsamında en az beş adet bilgi güvenliği denetiminin gerçekleştirilmiş olması şartı aranmıştır.
    • Tam Zamanlı İstihdam: Başdenetçi ve denetçi kadrosundaki personelin firma bünyesinde tam zamanlı çalıştığı ve başka bir firmada kısmi zamanlı istihdam edilmediği belgelendirilmelidir.
    • Bağımsızlık İlkesi: Denetçi firma ile yükümlü kuruluş arasında, 6102 sayılı Türk Ticaret Kanunu’nun 195. maddesi kapsamında hâkim-bağlı şirket ilişkisinin bulunması veya aynı yatırımcının her iki tarafta hissedar olması durumunda denetim yapılamayacağı hükme bağlanmıştır.
  • Sektör paydaşlarının yeni düzenlemelere uyum sağlaması adına 1 Mart 2026 tarihine kadar geçerli olacak bir geçiş süreci öngörülmüştür. Bu tarihe kadar yapılacak yetkilendirmelerde; firmaların ya yeni 11. madde kriterlerini sağlaması ya da Bilgi ve İletişim Güvenliği Denetim Rehberi’nde belirtilen kriterlere ek olarak EKS başarı sertifikasına sahip personel bulundurması yeterli kabul edilecektir.

Yönetmelik, Resmi Gazete’de yayımlandığı tarih itibariyle yürürlüğe girmiştir.

Yönetmelik’in tam metnine buradan ulaşabilirsiniz.

 

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr

 

İnternet sitemizde bulunan her türlü bilgi ve belge Avukatlık Kanunu ve ilgili diğer mevzuat ile Türkiye Barolar Birliği’nin Avukatlık Meslek Kuralları dikkate alınarak Zümbül Hukuk ve Danışmanlık tarafından yalnızca genel bilgilendirme amacıyla hazırlanmış olup, bu yayınlarda kesinlikle reklam ve/veya ticari amaç güdülmemiştir. İnternet sitemizdeki her türlü bilgi ve belge genel geçer nitelikte olup hiçbir suretle bu yayınların eksiksiz, doğru, güncel ve güvenilir olduğu garanti ve taahhüt edilmemektedir. İnternet sitemizde yer verilen yayınlardaki bilgilerle ilgili olarak bir avukata/uzmana danışmadan söz konusu bilgi ve belgelere dayanılarak hareket edilmemelidir. İnternet sitemizdeki yayınlarda yer verilen linkler kamuya açık kaynaklardan elde edilerek yalnızca ziyaretçilerin diğer bilgi ve belgelere ulaşmasını kolaylaştırmak amacıyla bulunmaktadır. Bu linkler hiçbir şekilde link verilen kişi, kurum ve kuruluşları tavsiye ve/veya onay anlamına gelmemektedir. İnternet sitemizdeki yayınlar hiçbir şekilde hukuki danışmanlık sunulması veya internet sitemize herhangi bir suretle ulaşan ziyaretçiler ile avukat-müvekkil ilişkisi oluşturulduğu anlamına gelmemektedir. İnternet sitemizdeki tüm içerikler Zümbül Hukuk ve Danışmanlık mülkiyetindedir ve hiçbir içerik yazılı izin alınmaksızın kopyalanamaz, çoğaltılamaz ve atıf yapılmadan kullanılamaz.