ENERJİ SEKTÖRÜNDE SİBER GÜVENLİK YETKİNLİK MODELİ YÖNETMELİĞİ
Resmi Gazete Tarihi: 6 Haziran 2023 · Mevzuat No: 40224
Hukuk Asistanı ile Kararları Analiz Edin
Bu karara ve binlerce benzer karara sorunuzu sorun. Kaynak atıflı detaylı yanıtlar alın.
---|---|---
Elektrik Dağıtım | Seviye 2 | Yükümlü kuruluşa özel
Doğal Gaz Dağıtım | Seviye 1 | Yükümlü kuruluşa özel
(Ek satır:RG-28/1/2024-32443)Elektrik Üretim | Seviye 1 | Yükümlü kuruluşa özel
(Ek satır:RG-28/1/2024-32443)Rafineri | Seviye 3 | Yükümlü kuruluşa özel
(Ek satır:RG-8/9/2024-32656) Doğal Gaz Depolama | Seviye 1 | Yükümlü kuruluşa özel
(Ek satır:RG-8/9/2024-32656) Doğal Gaz ve Ham Petrol İletim | Seviye 3 | Yükümlü kuruluşa özel
(Ek satır:RG-8/9/2024-32656) Elektrik İletim | Seviye 3 | Yükümlü kuruluşa özel
| |
Kritiklik Derecesi | Açıklama | Asgari Seviye
---|---|---
A Sınıfı | İlgili sektörde kritiklik derecesi en yüksek olan yükümlü kuruluşların sınıfını ifade eder. | Seviye 3
B Sınıfı | İlgili sektörde kritiklik derecesi orta olan yükümlü kuruluşların sınıfını ifade eder. | Seviye 2
C Sınıfı | İlgili sektörde kritiklik derecesi beklenen seviyede olan yükümlü kuruluşların sınıfını ifade eder. | Seviye 1
Birinci fıkrada yer alan tablolardaki sınıflandırma, sektörün asgari yetkinlik seviyesi ve sektörde yer alan yükümlü kuruluşların kritiklik derecesinden oluşur. Asgari seviye parametresi, sektörel olarak belirlenmekte olup yükümlü kuruluşlar bu seviyeye uyumlu hareket eder. Kritiklik derecesi ise Kurumca çeşitli parametreler kullanılarak belirlenmekte olup belirlenen kritiklik derecelerine göre uygulanan asgari kontrol maddelerine yeni kontroller eklenebilir.
Sektörlerin kritiklik derecelendirmesinde kullanılan parametreler, Kurum tarafından üç yıllık periyotlarda güncellenebilir, bu periyotların sonunda yapılan değerlendirmelerde yükümlü kuruluşların kritiklik dereceleri değişebilir.
ÜÇÜNCÜ BÖLÜM
Uygulama
Madde 9
(1) Yetkinlik modeli uygulama yükümlülüğü, Kurum tarafından kritiklik dereceleri belirlenip yükümlü kuruluşlara tebliğ edildiğinde başlar.
Yükümlü kuruluşlar, kritiklik dereceleri ve sektörleri özelinde hazırlanmış olan yetkinlik modeli asgari seviye kontrolleri kapsamında yükümlülüklerini gerçekleştirir.
Yükümlü kuruluşlar, hedeflenen tamamlama süresinde uygulamakla yükümlü oldukları kontrolleri değerlendirirken aşağıda yer alan uyum sınıflandırmasını kullanır.
Tam uyum: Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin modelde yazıldığı şekilde karşılanması durumudur.
Kısmen uyum: Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin tam olarak karşılanamadığı, geçici ya da iyileştirici önlemlerin uygulandığı durumdur.
Uyumsuz: Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin hiçbir şekilde karşılanamadığı durumdur.
Kapsam dışı: Yetkinlik modeli kapsamında yer alan alt kontrol başlıklarında birbirine alternatif olabilecek teknoloji veya yöntem bulunması durumunda yükümlü kuruluşta mevcut bulunan teknoloji ve yönteme uygun kontrollerin uygulanması, diğer alternatif teknoloji ve yöntemlere ilişkin kontrol maddelerinin kapsam dışı bırakılması durumudur.
Yükümlü kuruluşlar, yükümlü oldukları kontrol maddelerine hedeflenen tamamlama süresi sonunda tam uyumlu olmak zorundadır.
Kontrollerin uygulanmasında hedeflenen tamamlama süresi, aşağıda adları belirtilen sektörler özelinde hazırlanan ve (Değişik ibare:RG-8/9/2024-32656)_Ek-1, Ek-1a, Ek-2, Ek-2a, Ek-3, Ek-3a Ek-4, Ek-5, Ek-6 ile Ek-7’de_ yer alan yetkinlik modeli dokümanlarında açıklanır:
Elektrik Dağıtım Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
Doğal Gaz Dağıtım Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
(Ek:RG-28/1/2024-32443) Elektrik Üretim Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
(Ek:RG-28/1/2024-32443) Rafineri Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
(Ek:RG-8/9/2024-32656) Doğal Gaz Depolama Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
(Ek:RG-8/9/2024-32656) Doğal Gaz ve Ham Petrol İletim Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
(Ek:RG-8/9/2024-32656) Elektrik İletim Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
Uyumluluk ve denetim
Madde 10
(1) Yükümlü kuruluşların yetkinlik modeline uyumluluğu üç aşamada gerçekleştirilir. Bu aşamalar şunlardır:
Öz denetim/fark analizi: Öz denetimler, yükümlü kuruluşların ilgili kontrol maddelerini kendi iç kaynakları ile denetlemesi sürecidir. Bu aşama, bir fark analizi olarak değerlendirilir. Bu sürecin, yükümlülüklerin başlamasından itibaren üç ay içerisinde tamamlanması gerekir.
Sektörel denetim: Sektörel denetimler, Kurumun bu Yönetmelik kapsamında belirlediği şartlara uyan firma ve personeli tarafından gerçekleştirilen çalışmalardır. Bu çalışmalar, bağımsız denetim olarak değerlendirilir.
Kurum denetimleri: Kurumun; öz kaynakları ile denetçi firmaları ve yükümlü kuruluşları denetlediği çalışmalardır. Bu çalışmalar çapraz denetim ya da kontrol denetimi olarak değerlendirilir. Kurum, bu denetimleri süreç içerisinde her zaman yapabilir.
Yükümlü kuruluşlar, öz denetim/fark analizini tamamladıktan sonra en geç bir ay içerisinde Kuruma raporlarını Enerji Piyasası Bildirim Sistemi aracılığı ile iletir.
Yükümlü kuruluşlar, her bir yetkinlik seviyesinde yer alan kontroller için; tanımlanan uygulama süreleri sonunda (Ek ibare:RG-28/1/2024-32443) _en geç bir ay içerisinde_ Kuruma ilerleme raporlarını enerji piyasası bildirim sistemi aracılığı ile iletir.
(Değişik:RG-8/9/2024-32656) Yükümlü kuruluşlar, sektörel denetimleri, yetkinlik modeline uygun seviye süreçlerini tamamlamalarından itibaren on iki ay içerisinde yetkilendirilmiş denetim firmalarına yaptırarak, denetim raporlarını en geç bir ay içerisinde Kuruma Enerji Piyasası Bildirim Sistemi aracılığı ile iletir.
Yükümlü kuruluşlar, belirlenen asgari yetkinlik seviyesine ulaşmalarının ardından bu Yönetmelik eklerinde sektörler özelinde hazırlanan yetkinlik modeli dokümanlarında yer alan hedeflenen tamamlama süresi periyotlarında, sektörel denetimlerini tekrarlamak zorundadır.
(Değişik:RG-8/9/2024-32656) Yükümlü kuruluşlar, yetkinlik seviyelerinde yer alan kontroller için danışmanlık hizmeti almaları durumunda yapılacak ilk sektörel denetimi, danışmanlık hizmeti aldıkları firma ile gerçekleştiremez. Öz denetim/fark analizi çalışmaları danışmanlık hizmeti kapsamında değerlendirilmez. Danışmanlık ve sektörel denetim hizmetleri, alt yüklenici kullanmak suretiyle de gerçekleştirilemez.
Sektörel denetim, aynı firma ile üst üste en fazla üç kez gerçekleştirilebilir.
Denetçi firma ve personelinde aranacak nitelikler
Madde 11
(Başlığı ile Birlikte Değişik:RG-25/11/2025-33088)
Denetim ekibinde en az biri başdenetçi olmak üzere iki kişi bulunur. Ekipte birden fazla başdenetçi olması durumunda başdenetçilerden biri koordinatör olarak görevlendirilir. Denetimin kapsamı ve denetlenen sistemlerin karmaşıklığına bağlı olarak denetim ekibindeki denetçi sayısı artırılabilir.
Denetçi firmanın başdenetçi ve denetçi ünvanlı personelinde aranacak nitelikler aşağıda belirtilmiştir:
Üniversitelerin veya denkliği Yükseköğretim Kurulu tarafından kabul edilen yurt dışındaki yüksek öğretim kurumlarının en az dört yıllık lisans programlarını tamamlamış olmak.
ISO/IEC 27001 standardının güncel versiyonu doğrultusunda geçerli bir başdenetçi sertifikasına veya geçerliliğini koruyan bir CISA sertifikasına sahip olmak.
Bilgi sistemleri denetimi, yönetimi, geliştirilmesi veya güvenliği konularından herhangi birinde ya da birkaçında başdenetçi için en az yedi yıllık, denetçi için en az beş yıllık tam zamanlı mesleki tecrübeye sahip olduğunu resmî hizmet dökümleri, iş deneyim belgeleri veya kurum onaylı referans yazıları ile belgelendirmek.
Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimleri sonrası denetim alanında başarı sertifikasına sahip olmak ve bu belgenin geçerliliğini sağlamak.
Türkiye Cumhuriyeti vatandaşı olmak ve kamu haklarından mahrum bulunmamak.
Adli sicil kaydı ve adli sicil arşiv kaydının bulunmadığını belgelemek.
Herhangi bir suçtan dolayı adli soruşturma veya kovuşturma altında olmadığına dair yazılı beyanda bulunmak.
İkinci fıkranın (ç) bendinde aranan yetkinliğin, denetim ekibinde görev alan başdenetçi veya denetçi personelden en az birinde bulunması yeterlidir.
Denetçi firmada aranacak nitelikler aşağıda belirtilmiştir:
Firmanın hizmet verdiği ana faaliyet alanı ile denetim faaliyetlerine ilişkin bilgi varlıklarını kapsam dâhiline alan ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardını uygun bir şekilde işletmek, ISO/IEC 27001 BGYS standardına uygun faaliyet gösterdiğini IAF üyesi bir akreditasyon kuruluşu tarafından akredite edilmiş bir belgelendirme kurumuna ispat ederek sistemlerini belgelendirmek ve söz konusu belgenin geçerliliğini sağlamak.
Son beş yıl içerisinde, ISO/IEC 27001 veya benzeri ulusal ya da uluslararası bilgi güvenliği standartları ve düzenlemeleri kapsamında en az beş adet bilgi güvenliği denetimi yapmış olmak.
Firma bünyesinde ikinci fıkrada nitelikleri belirtilen başdenetçi ve denetçi ünvanlı personelin tam zamanlı çalıştığını belgelemek.
Firmada çalışan başdenetçi ve denetçi ünvanlı personelin başka bir firmada kısmi zamanlı denetçi olarak istihdam edilmediğini belgelemek.
Denetçi firma ve yükümlü kuruluşun aynı holding çatısı altında yer alan grup şirketleri olması ve/veya aralarında 13/1/2011 tarihli ve 6102 sayılı Türk Ticaret Kanununun 195 inci maddesinde tanımlanan hakim-bağlı şirket ilişkisi bulunması durumunda, denetçi firma yükümlü kuruluşu denetleyemez.
Bir yatırımcının hissedarı olduğu denetim firması, aynı yatırımcının yatırım yaptığı yükümlü kuruluşu denetleyemez.
Denetçi firmanın yetki başvurusu sırasında Kuruma sunması gereken bilgi ve belgeler
Madde 12
(1) Yetkinlik modeli denetimi faaliyetinde bulunmak isteyen firmaların, taleplerini başvuru dilekçesi ile Kuruma iletmeleri gerekir. Kuruma verilecek başvuru dilekçesine 11 inci maddede belirtilen bilgi ve belgeler eklenir.
Denetim yapma yetkisinin verilmesi
Madde 13
(1) Yetkinlik modeli denetimi yapmak üzere Kuruma başvuruda bulunan firmalar, 12 nci maddede belirtilen bilgi ve belgeler çerçevesinde Kurum tarafından değerlendirilir. Mesleki ve teknik açıdan yeterliliklerinin tespitine yönelik olarak Kurum tarafından yapılacak değerlendirme sonucunda denetim faaliyetlerini yürütebilecek yeterliliğe sahip olduklarının tespit edilmesi halinde firmaya, denetim yapma yetki sertifikası verilir ve bu firma yetkinlik modeli denetim kuruluşları listesine eklenir.
Yetki başvurularının değerlendirilmesi sürecinde, Kurum tarafından gerekli görülmesi halinde ilave bilgi ve belgeler talep edilebilir. Talep edilen bilgi ve belgeler yetkinin verilmesine ilişkin değerlendirmelerde dikkate alınır.
Bu Yönetmelik kapsamında denetim yapma yetkisinin alınmasını sağlayan unsurların devamlılığı esastır. Kurum gerekli gördüğü durumlarda bu unsurların varlığını her zaman kontrol edebilir.
Bu Yönetmelik kapsamında denetim yapma yetkisi verilen firmaların (Değişik ibare:RG-25/11/2025-33088) _ünvanları,_ Kurumun internet sitesinde yayımlanır.
Denetim yapma yetkisinin kaldırılması
Madde 14
(1) Denetçi firma, (Değişik ibare:RG-28/1/2024-32443) _12 nci madde_ kapsamında sahip olması gereken nitelikleri gösterir bilgi ve belgeleri altı aylık periyotlarda Kuruma resmî olarak iletmekle yükümlüdür.
Denetçi firma, 12 nci madde kapsamında sahip olması gereken niteliklerin bir veya birkaçını kaybetmesi durumunda en geç bir hafta içerisinde Kurumu resmî olarak bilgilendirir. Söz konusu bilgilendirmenin süresi içinde yapılmadığının tespiti durumunda ilgili firmanın denetim yapma yetkisi sona erdirilir ve tespitin yapıldığı tarihten itibaren ilgili firma üç yıl süre ile denetçi firma yetkisi alamaz.
Denetçi firmanın Kurum tarafından istenilen bilgi ve belgeleri, Kuruma vermemesi halinde denetim yapma yetkisi sona erdirilir.
Firma, denetim yetkisinin sona erdirilmesinin ardından yeniden yetki talebinde bulunursa 12 nci ve 13 üncü madde hükümleri uygulanır.
Bu Yönetmelik kapsamında denetim yapma yetkisi sona erdirilen firmaların (Değişik ibare:RG-25/11/2025-33088)_ünvanları_ Kurumun internet sitesinde yayımlanır.
DÖRDÜNCÜ BÖLÜM
Düzenlemeler
Madde 15
(1) Yükümlü kuruluşların EKS’lere yönelik risklerinin tespiti için yaptırdıkları güvenlik analizi ve testlerinin usul ve esaslarını belirlemeye Kurul yetkilidir.
Enerji sektöründe EKS güvenlik kontrolleri, Kurul tarafından belirlenip Kurum internet sitesinde yayımlanır.
Yürürlükten kaldırılan yönetmelik ve atıflar
Madde 16
(1) 13/7/2017 tarihli ve 30123 sayılı Resmî Gazete’de yayımlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği yürürlükten kaldırılmıştır.
Mevzuatta, birinci fıkra ile yürürlükten kaldırılan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğine yapılan atıflar bu Yönetmeliğe yapılmış sayılır.
Geçiş süreci
Geçici Madde 1
(Ek:RG-25/11/2025-33088)
1/3/2026 tarihine kadar, yetkinlik modeli denetimleri kapsamında firma yetkilendirmelerinde aşağıdaki şartlardan birine sahip olunması yeterlidir:
Bilgi ve İletişim Güvenliği Denetim Rehberinde hizmet alımı ile oluşturulan denetim ekibi için belirlenen kriterlere ek olarak, yetkinlik modeli denetimlerini yapacak firma personelinde Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimleri sonrası başarı sertifikası olması.
Firmaların 11 inci maddedeki nitelikleri sağlaması.
Yürürlük
Madde 17
(1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
Madde 18
(1) Bu Yönetmelik hükümlerini Enerji Piyasası Düzenleme Kurumu Başkanı yürütür.
[Ekleri için tıklayınız](7.5.40224-Ek.zip)
| Yönetmeliğin Yayımlandığı Resmî Gazete’nin
---|---
Tarihi | Sayısı
6/6/2023 | 32213
Yönetmelikte Değişiklik Yapan Yönetmeliklerin Yayımlandığı Resmî Gazetelerin
Tarihi | Sayısı
1. | 28/1/2024 | 32443
2. | 8/9/2024 | 32656
3. | 25/11/2025 | 33088
10 Milyon+ Karar Arasında Arayın
Mahkeme, tarih, anahtar kelime ile filtreleyin. AI ile benzer kararları otomatik bulun.
Anahtar Kelimeler
Kaynak: T.C. Mevzuat Bilgi Sistemi
Güncelleme: 30.01.2026 20:31:02