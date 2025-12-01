25 Kasım 2025 tarih ve 33088 sayılı Resmi Gazete'de yayınlandığı1 üzere Enerji Piyasası Düzenleme Kurumu tarafından Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği'nde ("Yönetmelik") yapılan değişiklik ile sektörel siber güvenlik denetimleri kapsamında denetçi ve denetçi firma niteliklerine ilişkin önemli belirlemeler yapılırken, bu doğrultuda uluslararası standartlarla da uyum hedefleniyor. Nitekim belirlenen birtakım nitelikler, artık tanımlarda da yer bulan Sertifikalı Bilgi Sistemleri Denetçisi ("CISA") Sertifikası ve Uluslararası Akreditasyon Forumu'na ("IAF") ilişkin.

Yönetmelik değişikliği kapsamında, artık denetim ekibinde yer alan denetçi ve başdenetçilerin (i) en az dört yıllık bir lisans programı mezunu olmaları, (ii) ISO/IEC 27001 Bilgi Güvenliği Yönetim Standardı ("ISO 27001") Başdenetçi Sertifikası'na veya CISA Sertifikası'na sahip olmaları; ve (iii) baş denetçiler için en az yedi yıllık, denetçiler için en az beş yıllık tam zamanlı mesleki deneyim sahibi olmaları gerekecek. Yapılan değişiklikle birlikte enerji sektöründeki siber güvenlik denetimlerinde yer alacak denetçi firma için de bu yükümlülüğe ek olarak son beş yıl içinde en az beş adet bilgi güvenliği denetimi yapmış olma yükümlülüğü getiriliyor.

Bununla birlikte, denetim ekibinde görev alan başdenetçi ya da denetçi personelden en az birinde Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimleri sonrası denetim alanında başarı sertifikası ("EKS Sertifikası") bulunması zorunluluğu hala devam etmekte.

Ayrıca denetçi firma ve yükümlü kuruluşun aynı holding çatısı altında yer alan grup şirketleri olması ve/veya aralarında hâkim-bağlı şirket ilişkisi olması halinde denetimin bu firma tarafından yapılamayacağı düzenleniyor.

Son olarak bir yatırımcının hissedarı olduğu denetçi firmanın, aynı yatırımcının yatırım yapmış olduğu yükümlü kuruluşu denetlemesi de mümkün olmayacak.

Yönetmelik, her ne kadar yayımı tarihinde yürürlüğe girse de, yetkinlik modeli denetimleri kapsamında firma yetkilendirmeleri bakımından bir geçiş süreci öngörülüyor. Bu çerçevede 1 Mart 2026 tarihine kadar yapılacak yetkilendirmeler kapsamında; firmaların Yönetmeliğin 11. maddesinde yer alan ve yukarıda belirtilen kriterleri sağlamaları ya da Bilgi ve İletişim Güvenliği Denetim Rehberi'nde hizmet alımı ile oluşturulan denetim ekibi için belirlenen kriterlere2 ek olarak denetim personelinde EKS sertifikasının bulunması yeterli olacak.

Footnotes

1. Resmi Gazete, tarih: 25 Kasım 2025, sayı: 33088, https://www.resmigazete.gov.tr/eskiler/2025/11/20251125-3.htm .

2. Madde 3.1.1. Denetim Ekibinin Belirlenmesi, https://cbddo.gov.tr/SharedFolderServer/Projeler/File/BG_Denetim_Rehberi.pdf, s. 19 vd.

