|
ENERJİ SEKTÖRÜNDE SİBER
GÜVENLİK
YETKİNLİK MODELİ
YÖNETMELİĞİ
BİRİNCİ BÖLÜM
Başlangıç Hükümleri
Amaç
MADDE 1- (1)
Bu Yönetmeliğin amacı; enerji sektöründe kullanılan endüstriyel kontrol
sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere
göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya
ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve
olgunluğuna ilişkin usul ve esasları düzenlemektir.
Kapsam
MADDE 2- (Değişik:RG-28/1/2024-32443)
(1) Bu Yönetmelik;
elektrik iletim lisansı sahibi, elektrik dağıtım lisansı sahibi, kabulü
yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir
elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim
lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım
lisansı sahibi, doğal gaz depolama lisansı sahibi (LNG, yer altı), ham
petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişilerin
endüstriyel kontrol sistemlerinin güvenliğinin ve güvenilirliğinin
sağlanmasına ilişkin uygulanacak hükümleri kapsar.
(2) Kabulü
yapılmış, Black-Start özelliğine sahip olup ulusal şebekeye katkı
verebilecek olan elektrik üretim tesisi sahibi tüzel kişiler, bu Yönetmelik
kapsamındadır.
(3) Kabulü
yapılmış, TEİAŞ SCADA/EMS Sistemi ile seri tabanlı iletişim yöntemlerini
kullanmadan haberleşmekte olan elektrik üretim tesisi sahibi tüzel kişiler,
bu Yönetmelik kapsamındadır.
(4) OSB dağıtım
lisansı sahipleri ile OSB üretim lisansı sahipleri kapsam dışındadır.
Dayanak
MADDE 3- (1)
Bu Yönetmelik; 20/2/2001 tarihli ve 4628 sayılı Enerji Piyasası Düzenleme
Kurumunun Teşkilat ve Görevleri Hakkında Kanunun 5 inci, 5/A ve 5/B
maddelerine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4- (1)
Bu Yönetmelikte geçen;
a) Başkan: Enerji
Piyasası Düzenleme Kurumu Başkanını,
b) Bilgi ve
İletişim Güvenliği Rehberi: Cumhurbaşkanlığı Dijital Dönüşüm Ofisi
tarafından yayımlanan ve bünyesinde bilgi işlem birimi barındıran veya
bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan,
Devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı
hizmeti veren işletmeler tarafından uyulması gereken bilgi ve iletişim
güvenliği tedbirlerini içeren rehberi,
c) Bilgi ve
İletişim Güvenliği Denetim Rehberi: Cumhurbaşkanlığı Dijital Dönüşüm Ofisi
tarafından hazırlanan ve Bilgi ve İletişim Güvenliği Rehberi çalışmalarının
denetim usul ve esaslarını tanımlayan rehberi,
ç) Endüstriyel
kontrol sistemi (EKS): Enerjinin üretilmesi, enerji sağlayan ham petrol,
taş kömürü ve benzeri hammaddelerin işlenip tüketime hazır hale
getirilmesi, enerjinin iletim veya dağıtım katmanları aracılığı ile
aktarılması gibi süreçlerin bir veya birden fazla merkezden izlenmesini,
bazen de yönetilmesini sağlayan, kendisi ve/veya bileşenleri bilinen
işletim sistemleri üzerinde çalışan ya da bilinen zafiyetleri bulunan özel
işletim sistemine sahip yönetim ve kontrol sistemlerini (Veri Tabanlı
Kontrol ve Gözetleme Sistemi “SCADA”, Dağıtılmış Kontrol Sistemi “DKS”,
Gelişmiş Süreç Kontrol Sistemi “APC”, Programlanabilir Mantık Kontrolcüsü
“PLC”, Uzak Terminal Ünitesi “RTU” ve benzeri),
d) İlgili
mevzuat: Enerji piyasasına ilişkin kanun, yönetmelik, tebliğ, genelge,
lisans ve Kurul kararlarını,
e) Kanun:
20/2/2001 tarihli ve 4628 sayılı Enerji Piyasası Düzenleme Kurumunun
Teşkilat ve Görevleri Hakkında Kanunu,
f) Kritik
Altyapılar Ulusal Test Yatağı Merkezi: Sakarya Üniversitesi bünyesinde
kurulan kritik enerji altyapılarının modellenmesi ve güvenliği ile ilgili
koruyucu ve önleyici çözümlerin araştırılması ve geliştirilmesi amacıyla
kurulan merkezi,
g) Kurul: Enerji
Piyasası Düzenleme Kurulunu,
ğ) Kurum: Enerji
Piyasası Düzenleme Kurumunu,
h) Yükümlü
kuruluş: 2 nci maddede tanımlanan sorumlu tüzel kişileri,
ı) (Ek:RG-28/1/2024-32443) Black-Start: Bir
elektrik santralinin veya bir elektrik şebekesinin bir bölümünün, tamamen
veya kısmen kapandığında, harici elektrik güç iletim şebekesinin desteği
olmadan yeniden başlatılmasını,
i) (Ek:RG-28/1/2024-32443)EMS: Enerji yönetim
sistemini,
j) (Ek:RG-28/1/2024-32443) Seri tabanlı
iletişim: Veri aktarımında bir iletişim kanalı veya bilgisayar veriyolu
üzerinden sırayla, her seferinde bir bit veri gönderme işlemini,
k) (Ek:RG-25/11/2025-33088)
CISA: Sertifikalı Bilgi Sistemleri Denetçisini,
l) (Ek:RG-25/11/2025-33088)
IAF: Uluslararası Akreditasyon Forumunu,
ifade eder.
(2) Bu
Yönetmelikte geçen ve birinci fıkrada yer almayan tanım ve kısaltmalar için
ilgili mevzuatta yer alan tanım ve kısaltmalar geçerlidir.
İKİNCİ BÖLÜM
İlişkili Düzenlemeler,
Yetkinlik Modeli Ana Kontrolleri, Yetkinlik Seviyeleri,
Sektörel Kritiklik
Derecesi Belirleme
İlişkili
düzenlemeler
MADDE 5- (1)
Yetkinlik modeli, aşağıda listelenen düzenleme ve uyumluluk
gereksinimlerini adresler:
a) Bilgi ve
İletişim Güvenliği Rehberi: Yükümlü kuruluşlar, bilgi sistemleri altyapı
uyumluluğu için Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından
hazırlanan bu rehberi referans alır.
b) Enerji
Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz
ve Test Usul ve Esasları: Yetkinlik modeli, bu Kurul kararına uyumluluk
usul ve esaslarını kapsar.
c) TS ISO/IEC
27001: Yetkinlik modeli kapsamında TS ISO/IEC 27001 uyumluluğunun devamı
sağlanır. Modele kapsayıcı ve EKS odaklı yeni kontroller eklenmiştir.
ç) TS EN ISO/IEC
27019: Yetkinlik modeli kapsamına EKS odaklı yeni kontroller eklenmiştir.
d) Enerji
sektöründe EKS güvenlik kontrolleri: Yetkinlik modeli kapsamında bu
dokümanda yer alan kontroller kapsamlı olarak ele alınır.
Yetkinlik
modeli ana kontrol başlıkları
MADDE 6- (1)
Yetkinlik modeli, enerji alt sektörleri özelinde farklılık göstermekle
birlikte aşağıda listelenen başlıklardan oluşur:
a) Endüstriyel ağ
güvenliği; endüstriyel altyapılar için yerel ağ güvenliği, geniş alan ağı
güvenliği, iletişim güvenliği, protokol güvenliği, kablosuz ağ güvenliği,
entegrasyon güvenliği kontrollerini içerir.
b) Endüstriyel
istemci ve sunucu güvenliği; endüstriyel altyapıda yer alan tüm istemci ve
sunuculara ilişkin mantıksal ve fiziksel güvenlik kontrollerini içerir.
c) Endüstriyel
tehdit ve zafiyet yönetimi; endüstriyel altyapılarda uygulanan tehdit ve
zafiyet yönetimi kontrollerini içerir.
ç) Endüstriyel
siber güvenlik risk yönetimi; endüstriyel altyapının dinamiklerine uygun
endüstriyel siber güvenlik risk yönetimi kontrollerini içerir.
d) Endüstriyel
varlık, değişim ve konfigürasyon yönetimi; endüstriyel altyapılarda bulunan
varlıkların yönetimi, bileşenlerin değişim ve konfigürasyon yönetimi
kontrollerini içerir.
e) Endüstriyel
kimlik ve erişim yönetimi; endüstriyel altyapıda bulunan bileşenler için
kimlik ve erişim yönetimi kontrollerini içerir.
f) Endüstriyel
olay yönetimi ve süreklilik; endüstriyel siber güvenlik olay yönetimi,
süreklilik, yedekleme ve yedeklilik kontrollerini içerir.
g) Akıllı cihaz
güvenliği; sayaç ve nesnelerin interneti teknolojisinin kullanıldığı
endüstriyel altyapılar için güvenlik kontrollerini içerir.
ğ) Endüstriyel
operasyon güvenliği; endüstriyel operasyon güvenliğine yönelik kontrolleri
içerir.
h) İnsan
kaynakları güvenliği; kritik enerji altyapılarında çalışan tüm personel
için istihdam öncesi, sırası ve sonrasında uygulanması gereken kontrolleri
içerir.
ı) Fiziksel
güvenlik; endüstriyel altyapıların sektörlerine uygun, dağıtık veya tekil
yapıdaki fiziksel ortamların güvenlik kontrollerini içerir.
i) Tedarikçi
yönetimi; endüstriyel altyapılar için teknoloji, insan ve altyapı
tedarikçilerine ilişkin siber güvenlik kontrollerini içerir.
j) PLC güvenliği;
PLC güvenliğine ilişkin güvenlik kontrollerini içerir.
(2) Her bir ana
kontrol başlığı kendi içerisinde alt kontrol başlıklarına bölünerek ele
alınır.
Yetkinlik
seviyeleri
MADDE 7- (1)
Yetkinlik modeli kapsamında üç temel yetkinlik seviyesi bulunmakta olup
yükümlü kuruluşların sahip olmaları gereken yetkinlik seviyesi, Kurum
tarafından belirlenen sektörel kritiklik dereceleri ile tespit edilir. Her
bir seviye için açıklamalar aşağıdaki şekildedir:
a) Seviye 1:
Giriş seviyesi kontroller, bu seviyede yer alır. İlgili kontrollerin hali
hazırda uygulandığı ya da kolayca uygulanabileceği değerlendirilen maddeler
bu seviyede toplanır. Bu seviyede yer alan maddeleri, hedeflenen tamamlama
süresinde uygulamak zorunludur.
b) Seviye 2:
İkinci aşama kontroller, bu seviyede yer alır. İlgili kontrollerin
uygulanabilmesi için yükümlü kuruluş sistemlerinde veya süreçlerinde
değişiklik yapılmasını gerektiren maddeler bu seviyede toplanır. Bu
seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak
zorunludur.
c) Seviye 3:
Üçüncü seviye kontroller, bu seviyede yer alır. Bu seviyede yer alan
kontroller yeni bir projelendirme ya da uzun soluklu değişim gerektirir. Bu
seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak
zorunludur.
ç) Ek kontrol:
Zorluk derecesi yüksek ya da uygulanması faydalı olabileceği
değerlendirilen kontroller, bu seviyede toplanmış olup uygulanması zorunlu
değildir.
(2) Her bir
seviyede yer alan kontrollerin uygulanması için hedeflenen tamamlama
süresi; enerji alt sektörlerine göre farklılık göstermekte olup bu
Yönetmelik eklerinde yer alan sektörel yetkinlik modeli dokümanlarında
açıklanır.
(3) Üç yıllık periyotlarda,
Kurum tarafından yapılacak güncellemeler ile kontrol maddeleri ve kontrol
maddeleri için tespit edilen yetkinlik seviyeleri değiştirilebilir.
Sektörel
kritiklik derecesi belirleme
MADDE 8- (1)
Yükümlü kuruluşların zorunlu olarak gerçekleştirmeleri gereken kontrol
maddeleri belirlenirken aşağıdaki tablolarda yer alan sınıflandırma
kullanılır:
|
Sektör
|
Asgari Seviye
|
Kritiklik Derecesi
|
|
Elektrik Dağıtım
|
Seviye 2
|
Yükümlü kuruluşa özel
|
|
Doğal Gaz Dağıtım
|
Seviye 1
|
Yükümlü kuruluşa özel
|
|
(Ek
satır:RG-28/1/2024-32443) Elektrik Üretim
|
Seviye 1
|
Yükümlü kuruluşa özel
|
|
(Ek
satır:RG-28/1/2024-32443) Rafineri
|
Seviye 3
|
Yükümlü kuruluşa özel
|
|
(Ek satır:RG-8/9/2024-32656) Doğal Gaz Depolama
|
Seviye 1
|
Yükümlü kuruluşa özel
|
|
(Ek satır:RG-8/9/2024-32656) Doğal Gaz ve Ham
Petrol İletim
|
Seviye 3
|
Yükümlü kuruluşa özel
|
|
(Ek satır:RG-8/9/2024-32656) Elektrik İletim
|
Seviye 3
|
Yükümlü kuruluşa özel
|
|
|
|
|
Kritiklik Derecesi
|
Açıklama
|
Asgari Seviye
|
|
A Sınıfı
|
İlgili sektörde
kritiklik derecesi en yüksek olan yükümlü kuruluşların sınıfını ifade
eder.
|
Seviye 3
|
|
B Sınıfı
|
İlgili sektörde
kritiklik derecesi orta olan yükümlü kuruluşların sınıfını ifade eder.
|
Seviye 2
|
|
C Sınıfı
|
İlgili sektörde
kritiklik derecesi beklenen seviyede olan yükümlü kuruluşların sınıfını
ifade eder.
|
Seviye 1
|
(2) Birinci
fıkrada yer alan tablolardaki sınıflandırma, sektörün asgari yetkinlik
seviyesi ve sektörde yer alan yükümlü kuruluşların kritiklik derecesinden
oluşur. Asgari seviye parametresi, sektörel olarak belirlenmekte olup
yükümlü kuruluşlar bu seviyeye uyumlu hareket eder. Kritiklik derecesi ise
Kurumca çeşitli parametreler kullanılarak belirlenmekte olup belirlenen
kritiklik derecelerine göre uygulanan asgari kontrol maddelerine yeni
kontroller eklenebilir.
(3) Sektörlerin
kritiklik derecelendirmesinde kullanılan parametreler, Kurum tarafından üç
yıllık periyotlarda güncellenebilir, bu periyotların sonunda yapılan
değerlendirmelerde yükümlü kuruluşların kritiklik dereceleri değişebilir.
ÜÇÜNCÜ BÖLÜM
Yetkinlik Modeli Uygulama,
Uyumluluk ve Denetim
Uygulama
MADDE 9- (1)
Yetkinlik modeli uygulama yükümlülüğü, Kurum tarafından kritiklik
dereceleri belirlenip yükümlü kuruluşlara tebliğ edildiğinde başlar.
(2) Yükümlü
kuruluşlar, kritiklik dereceleri ve sektörleri özelinde hazırlanmış olan
yetkinlik modeli asgari seviye kontrolleri kapsamında yükümlülüklerini
gerçekleştirir.
(3) Yükümlü
kuruluşlar, hedeflenen tamamlama süresinde uygulamakla yükümlü oldukları
kontrolleri değerlendirirken aşağıda yer alan uyum sınıflandırmasını
kullanır.
a) Tam uyum:
Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her
bir kontrol maddesine ilişkin gereksinimin modelde yazıldığı şekilde
karşılanması durumudur.
b) Kısmen uyum: Yetkinlik
modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir
kontrol maddesine ilişkin gereksinimin tam olarak karşılanamadığı, geçici
ya da iyileştirici önlemlerin uygulandığı durumdur.
c) Uyumsuz:
Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her
bir kontrol maddesine ilişkin gereksinimin hiçbir şekilde karşılanamadığı
durumdur.
ç) Kapsam
dışı: Yetkinlik modeli kapsamında yer alan alt kontrol başlıklarında
birbirine alternatif olabilecek teknoloji veya yöntem bulunması durumunda
yükümlü kuruluşta mevcut bulunan teknoloji ve yönteme uygun kontrollerin
uygulanması, diğer alternatif teknoloji ve yöntemlere ilişkin kontrol
maddelerinin kapsam dışı bırakılması durumudur.
(4) Yükümlü
kuruluşlar, yükümlü oldukları kontrol maddelerine hedeflenen tamamlama
süresi sonunda tam uyumlu olmak zorundadır.
(5) Kontrollerin
uygulanmasında hedeflenen tamamlama süresi, aşağıda adları belirtilen
sektörler özelinde hazırlanan ve (Değişik
ibare:RG-8/9/2024-32656) Ek-1,
Ek-1a, Ek-2, Ek-2a, Ek-3, Ek-3a Ek-4, Ek-5, Ek-6 ile Ek-7’de yer
alan yetkinlik modeli dokümanlarında açıklanır:
a) Elektrik
Dağıtım Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
b) Doğal Gaz
Dağıtım Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
c) (Ek:RG-28/1/2024-32443) Elektrik Üretim
Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
ç) (Ek:RG-28/1/2024-32443) Rafineri Sektörü
Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
d) (Ek:RG-8/9/2024-32656)
Doğal Gaz Depolama Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol
Maddeleri.
e) (Ek:RG-8/9/2024-32656)
Doğal Gaz ve Ham Petrol İletim Sektörü Siber Güvenlik Yetkinlik Modeli
Teknik Kontrol Maddeleri.
f) (Ek:RG-8/9/2024-32656)
Elektrik İletim Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol
Maddeleri.
Uyumluluk ve
denetim
MADDE
10- (1) Yükümlü kuruluşların yetkinlik modeline uyumluluğu üç
aşamada gerçekleştirilir. Bu aşamalar şunlardır:
a) Öz
denetim/fark analizi: Öz denetimler, yükümlü kuruluşların ilgili kontrol
maddelerini kendi iç kaynakları ile denetlemesi sürecidir. Bu aşama, bir
fark analizi olarak değerlendirilir. Bu sürecin, yükümlülüklerin
başlamasından itibaren üç ay içerisinde tamamlanması gerekir.
b) Sektörel
denetim: Sektörel denetimler, Kurumun bu Yönetmelik kapsamında belirlediği
şartlara uyan firma ve personeli tarafından gerçekleştirilen çalışmalardır.
Bu çalışmalar, bağımsız denetim olarak değerlendirilir.
c) Kurum
denetimleri: Kurumun; öz kaynakları ile denetçi firmaları ve yükümlü
kuruluşları denetlediği çalışmalardır. Bu çalışmalar çapraz denetim ya da
kontrol denetimi olarak değerlendirilir. Kurum, bu denetimleri süreç
içerisinde her zaman yapabilir.
(2) Yükümlü
kuruluşlar, öz denetim/fark analizini tamamladıktan sonra en geç bir ay
içerisinde Kuruma raporlarını Enerji Piyasası Bildirim Sistemi aracılığı
ile iletir.
(3) Yükümlü
kuruluşlar, her bir yetkinlik seviyesinde yer alan kontroller için;
tanımlanan uygulama süreleri sonunda (Ek
ibare:RG-28/1/2024-32443) en geç bir ay içerisinde Kuruma
ilerleme raporlarını enerji piyasası bildirim sistemi aracılığı ile iletir.
(4) (Değişik:RG-8/9/2024-32656)
Yükümlü kuruluşlar, sektörel denetimleri,
yetkinlik modeline uygun seviye süreçlerini tamamlamalarından itibaren on
iki ay içerisinde yetkilendirilmiş denetim firmalarına yaptırarak, denetim
raporlarını en geç bir ay içerisinde Kuruma Enerji Piyasası Bildirim
Sistemi aracılığı ile iletir.
(5) Yükümlü
kuruluşlar, belirlenen asgari yetkinlik seviyesine ulaşmalarının ardından
bu Yönetmelik eklerinde sektörler özelinde hazırlanan yetkinlik modeli
dokümanlarında yer alan hedeflenen tamamlama süresi periyotlarında,
sektörel denetimlerini tekrarlamak zorundadır.
(6) (Değişik:RG-8/9/2024-32656)
Yükümlü kuruluşlar, yetkinlik seviyelerinde
yer alan kontroller için danışmanlık hizmeti almaları durumunda yapılacak
ilk sektörel denetimi, danışmanlık hizmeti aldıkları firma ile
gerçekleştiremez. Öz denetim/fark analizi çalışmaları danışmanlık hizmeti
kapsamında değerlendirilmez. Danışmanlık ve sektörel denetim hizmetleri,
alt yüklenici kullanmak suretiyle de gerçekleştirilemez.
(7) Sektörel
denetim, aynı firma ile üst üste en fazla üç kez gerçekleştirilebilir.
Denetçi firma
ve personelinde aranacak nitelikler
MADDE 11-
(Başlığı ile Birlikte Değişik:RG-25/11/2025-33088)
(1) Denetim
ekibinde en az biri başdenetçi olmak üzere iki kişi bulunur.
Ekipte birden fazla başdenetçi olması
durumunda başdenetçilerden biri koordinatör olarak
görevlendirilir. Denetimin kapsamı ve denetlenen sistemlerin karmaşıklığına
bağlı olarak denetim ekibindeki denetçi sayısı artırılabilir.
(2) Denetçi
firmanın başdenetçi ve denetçi ünvanlı personelinde
aranacak nitelikler aşağıda belirtilmiştir:
a)
Üniversitelerin veya denkliği Yükseköğretim Kurulu tarafından kabul edilen
yurt dışındaki yüksek öğretim kurumlarının en az dört yıllık lisans
programlarını tamamlamış olmak.
b) ISO/IEC 27001
standardının güncel versiyonu doğrultusunda geçerli
bir başdenetçi sertifikasına veya geçerliliğini koruyan bir CISA
sertifikasına sahip olmak.
c) Bilgi
sistemleri denetimi, yönetimi, geliştirilmesi veya güvenliği konularından
herhangi birinde ya da birkaçında başdenetçi için en az yedi
yıllık, denetçi için en az beş yıllık tam zamanlı mesleki tecrübeye sahip
olduğunu resmî hizmet dökümleri, iş deneyim belgeleri veya kurum onaylı
referans yazıları ile belgelendirmek.
ç) Kritik
Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimleri
sonrası denetim alanında başarı sertifikasına sahip olmak ve bu belgenin
geçerliliğini sağlamak.
d) Türkiye
Cumhuriyeti vatandaşı olmak ve kamu haklarından mahrum bulunmamak.
e) Adli sicil
kaydı ve adli sicil arşiv kaydının bulunmadığını belgelemek.
f) Herhangi bir
suçtan dolayı adli soruşturma veya kovuşturma altında olmadığına dair
yazılı beyanda bulunmak.
(3) İkinci
fıkranın (ç) bendinde aranan yetkinliğin, denetim ekibinde görev
alan başdenetçi veya denetçi personelden en az birinde bulunması
yeterlidir.
(4) Denetçi
firmada aranacak nitelikler aşağıda belirtilmiştir:
a) Firmanın
hizmet verdiği ana faaliyet alanı ile denetim faaliyetlerine ilişkin bilgi
varlıklarını kapsam dâhiline alan ISO/IEC 27001 Bilgi Güvenliği Yönetim
Sistemi (BGYS) standardını uygun bir şekilde işletmek, ISO/IEC 27001 BGYS
standardına uygun faaliyet gösterdiğini IAF üyesi bir akreditasyon kuruluşu
tarafından akredite edilmiş bir belgelendirme kurumuna ispat ederek
sistemlerini belgelendirmek ve söz konusu belgenin geçerliliğini sağlamak.
b) Son beş yıl
içerisinde, ISO/IEC 27001 veya benzeri ulusal ya da uluslararası bilgi
güvenliği standartları ve düzenlemeleri kapsamında en az beş adet bilgi
güvenliği denetimi yapmış olmak.
c) Firma
bünyesinde ikinci fıkrada nitelikleri belirtilen başdenetçi ve
denetçi ünvanlı personelin tam zamanlı çalıştığını belgelemek.
ç) Firmada
çalışan başdenetçi ve denetçi ünvanlı personelin başka
bir firmada kısmi zamanlı denetçi olarak istihdam edilmediğini belgelemek.
(5) Denetçi firma
ve yükümlü kuruluşun aynı holding çatısı altında yer alan grup şirketleri
olması ve/veya aralarında 13/1/2011 tarihli ve 6102 sayılı Türk Ticaret
Kanununun 195 inci maddesinde tanımlanan hakim-bağlı şirket ilişkisi
bulunması durumunda, denetçi firma yükümlü kuruluşu denetleyemez.
(6) Bir
yatırımcının hissedarı olduğu denetim firması, aynı yatırımcının yatırım
yaptığı yükümlü kuruluşu denetleyemez.
Denetçi
firmanın yetki başvurusu sırasında Kuruma sunması gereken bilgi ve belgeler
MADDE
12- (1) Yetkinlik modeli denetimi faaliyetinde bulunmak isteyen
firmaların, taleplerini başvuru dilekçesi ile Kuruma iletmeleri gerekir.
Kuruma verilecek başvuru dilekçesine 11 inci maddede belirtilen bilgi ve
belgeler eklenir.
Denetim yapma
yetkisinin verilmesi
MADDE
13- (1) Yetkinlik modeli denetimi yapmak üzere Kuruma başvuruda
bulunan firmalar, 12 nci maddede belirtilen bilgi ve belgeler çerçevesinde
Kurum tarafından değerlendirilir. Mesleki ve teknik açıdan
yeterliliklerinin tespitine yönelik olarak Kurum tarafından yapılacak
değerlendirme sonucunda denetim faaliyetlerini yürütebilecek yeterliliğe
sahip olduklarının tespit edilmesi halinde firmaya, denetim yapma yetki
sertifikası verilir ve bu firma yetkinlik modeli denetim kuruluşları
listesine eklenir.
(2) Yetki
başvurularının değerlendirilmesi sürecinde, Kurum tarafından gerekli
görülmesi halinde ilave bilgi ve belgeler talep edilebilir. Talep edilen
bilgi ve belgeler yetkinin verilmesine ilişkin değerlendirmelerde dikkate
alınır.
(3) Bu Yönetmelik
kapsamında denetim yapma yetkisinin alınmasını sağlayan unsurların
devamlılığı esastır. Kurum gerekli gördüğü durumlarda bu unsurların
varlığını her zaman kontrol edebilir.
(4) Bu Yönetmelik
kapsamında denetim yapma yetkisi verilen firmaların (Değişik
ibare:RG-25/11/2025-33088) ünvanları, Kurumun internet sitesinde
yayımlanır.
Denetim yapma
yetkisinin kaldırılması
MADDE
14- (1) Denetçi firma, (Değişik ibare:RG-28/1/2024-32443)
12 nci madde kapsamında sahip olması gereken nitelikleri gösterir
bilgi ve belgeleri altı aylık periyotlarda Kuruma resmî olarak iletmekle
yükümlüdür.
(2) Denetçi
firma, 12 nci madde kapsamında sahip olması gereken niteliklerin bir veya
birkaçını kaybetmesi durumunda en geç bir hafta içerisinde Kurumu resmî
olarak bilgilendirir. Söz konusu bilgilendirmenin süresi içinde
yapılmadığının tespiti durumunda ilgili firmanın denetim yapma yetkisi sona
erdirilir ve tespitin yapıldığı tarihten itibaren ilgili firma üç yıl süre
ile denetçi firma yetkisi alamaz.
(3) Denetçi
firmanın Kurum tarafından istenilen bilgi ve belgeleri, Kuruma vermemesi
halinde denetim yapma yetkisi sona erdirilir.
(4) Firma,
denetim yetkisinin sona erdirilmesinin ardından yeniden yetki talebinde
bulunursa 12 nci ve 13 üncü madde hükümleri uygulanır.
(5) Bu Yönetmelik
kapsamında denetim yapma yetkisi sona erdirilen firmaların (Değişik
ibare:RG-25/11/2025-33088) ünvanları Kurumun internet sitesinde
yayımlanır.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Düzenlemeler
MADDE
15- (1) Yükümlü kuruluşların EKS’lere yönelik risklerinin tespiti
için yaptırdıkları güvenlik analizi ve testlerinin usul ve esaslarını
belirlemeye Kurul yetkilidir.
(2) Enerji
sektöründe EKS güvenlik kontrolleri, Kurul tarafından belirlenip Kurum
internet sitesinde yayımlanır.
Yürürlükten
kaldırılan yönetmelik ve atıflar
MADDE
16- (1) 13/7/2017 tarihli ve 30123 sayılı Resmî Gazete’de
yayımlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde
Bilişim Güvenliği Yönetmeliği yürürlükten kaldırılmıştır.
(2) Mevzuatta,
birinci fıkra ile yürürlükten kaldırılan Enerji Sektöründe Kullanılan
Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğine yapılan
atıflar bu Yönetmeliğe yapılmış sayılır.
Geçiş süreci
GEÇİCİ MADDE
1- (Ek:RG-25/11/2025-33088)
(1) 1/3/2026 tarihine
kadar, yetkinlik modeli denetimleri kapsamında firma yetkilendirmelerinde
aşağıdaki şartlardan birine sahip olunması yeterlidir:
a) Bilgi ve
İletişim Güvenliği Denetim Rehberinde hizmet alımı ile oluşturulan denetim
ekibi için belirlenen kriterlere ek olarak, yetkinlik modeli
denetimlerini yapacak firma personelinde Kritik Altyapılar Ulusal Test
Yatağı Merkezi tarafından verilen EKS eğitimleri sonrası başarı sertifikası
olması.
b) Firmaların 11
inci maddedeki nitelikleri sağlaması.
Yürürlük
MADDE
17- (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE
18- (1) Bu Yönetmelik hükümlerini Enerji Piyasası Düzenleme Kurumu
Başkanı yürütür.
Ekleri
için tıklayınız
|