EPDK Siber Güvenlik Yetkinlik Modeli Danışmanlığı
EPDK Siber Güvenlik Yetkinlik Modeli, enerji sektöründe faaliyet gösteren kuruluşların siber güvenlik olgunluk seviyelerini değerlendirmek ve iyileştirmek amacıyla tanımlanmış bir çerçevedir. Model; teknik kontrollerin yanı sıra süreçleri, organizasyonel yapıyı ve süreklilik yaklaşımını birlikte ele alır.
Bu süreçte asıl ihtiyaç kurumun mevcut durumunun doğru analiz edilmesi, eksik alanların net şekilde belirlenmesi ve denetimlere hazırlığın kontrollü biçimde yürütülmesidir.
Sparta Siber Güvenlik, EPDK Yetkinlik Modeli kapsamında kurumlara uçtan uca danışmanlık ve teknik destek sunar, süreci yalnızca dokümantasyon değil, sahadaki teknik gerçekler üzerinden ele alır.
EPDK Siber Güvenlik Yetkinlik Modeli Nedir?
EPDK Siber Güvenlik Yetkinlik Modeli; enerji sektöründe faaliyet gösteren kuruluşların siber güvenlik olgunluğunu ölçmek, mevcut durumu görünür kılmak ve gelişim alanlarını planlı şekilde iyileştirmek amacıyla oluşturulmuş bir değerlendirme çerçevesidir. Model; yalnızca teknik kontrolleri değil, aynı zamanda süreçleri, organizasyonel sorumlulukları ve süreklilik yaklaşımını birlikte ele alır.
Bu sayfada mevzuatı detaylı şekilde tekrar etmek yerine, EPDK Siber Güvenlik Yetkinlik Modeli’nin kurumlar açısından ne anlama geldiğini ve bu kapsamda Sparta Siber Güvenlik’in danışmanlık hizmetini nasıl yürüttüğünü özetliyoruz. Modelin resmî tanımına ve kapsamına Enerji Piyasası Düzenleme Kurumu’nun yayımladığı bilgiden erişmek için EPDK resmi sayfasını inceleyebilirsiniz. Ayrıca modelin yayımlandığı resmî mevzuat metnini görmek için Resmî Gazete’deki yayımlanmış düzenlemeye göz atabilirsiniz.
Hangi Kuruluşlar EPDK Siber Güvenlik Yetkinlik Modeli Kapsamındadır?
EPDK Siber Güvenlik Yetkinlik Modeli, enerji piyasasında faaliyet gösteren ve düzenleyici çerçeveye tabi olan lisans sahibi kuruluşları kapsar. Modelin kapsamı, enerji üretimi, iletimi ve dağıtımı gibi kritik faaliyetlerde kullanılan bilgi sistemleri ve endüstriyel kontrol altyapılarının güvenliğini esas alır.
Bu çerçevede, aşağıdaki kuruluşlar EPDK Siber Güvenlik Yetkinlik Modeli kapsamında değerlendirilir:
Elektrik sektöründe; iletim ve dağıtım lisansına sahip kuruluşlar ile kurulu gücü 100 MWe ve üzeri olan elektrik üretim tesisleri kapsama dahildir. Bu tesisler, ulusal şebeke üzerinde operasyonel etki yaratabilecek kapasiteye sahip olmaları nedeniyle model kapsamında ele alınır.
Doğal gaz ve petrol sektöründe; boru hattı ile iletim yapan kuruluşlar, doğal gaz depolama tesisleri, LNG terminalleri, ham petrol iletim hatları ve rafineri işletmeleri model kapsamına girer. Bu yapılar, kritik operasyonel süreçler ve endüstriyel kontrol sistemleri barındırmaları sebebiyle yetkinlik değerlendirmesine tabidir.
Buna ek olarak, black-start özelliğine sahip elektrik üretim tesisleri ile ulusal sistem işletmecisiyle entegre çalışan SCADA, DCS veya benzeri kontrol sistemlerine sahip altyapılar da kapsam değerlendirmesine dahil edilir.
Bir kuruluşun yetkinlik modeli kapsamına girip girmediği; yalnızca tesis büyüklüğüne göre değil, aynı zamanda lisans statüsü, kullanılan kontrol sistemlerinin niteliği ve enerji piyasasındaki operasyonel rolü dikkate alınarak belirlenir. Bu nedenle kapsama ilişkin değerlendirme, çoğu zaman teknik ve operasyonel gerçeklerin birlikte ele alınmasını gerektirir.
Elektrik İletim ve Dağıtım Şirketleri
Elektrik iletim ve dağıtım lisansına sahip kuruluşlar, faaliyet alanları gereği EPDK Siber Güvenlik Yetkinlik Modeli kapsamındadır. Bu kurumlar, enerji arz sürekliliği açısından kritik altyapılar işletir.
Elektrik Üretim Tesisleri (100 MW ve Üzeri)
Kurulu gücü 100 MWe ve üzeri olan elektrik üretim tesisleri, ulusal şebeke üzerinde doğrudan etki yaratabildikleri için yetkinlik modeli kapsamında değerlendirilir. Özellikle SCADA veya benzeri kontrol sistemleri bulunan tesisler bu kapsama girer.
Doğal Gaz ve Petrol Altyapıları
Doğal gaz iletim hatları, depolama tesisleri, LNG terminalleri, ham petrol iletim hatları ve rafineriler; kritik operasyonel süreçler ve endüstriyel kontrol sistemleri barındırmaları nedeniyle model kapsamındadır.
Kritik Operasyonel Özelliklere Sahip Tesisler
Black-start özelliğine sahip üretim tesisleri ile sistem işletmecisiyle entegre çalışan SCADA, DCS veya benzeri endüstriyel kontrol sistemlerine sahip altyapılar, lisans ve kapasiteden bağımsız olarak kapsam değerlendirmesine alınabilir.
Bu kriterler, kapsama girip girmediğinizi anlamak için genel bir çerçeve sunar. Kurumunuza özel durumun netleştirilmesi, çoğu zaman teknik altyapı ve operasyonel yapının birlikte değerlendirilmesini gerektirir.
EPDK Siber Güvenlik Yetkinlik Modeli Danışmanlığı Kapsamımız
EPDK Siber Güvenlik Yetkinlik Modeli kapsamında yürütülen çalışmalar, yalnızca doküman üretimi ya da denetime hazırlık faaliyeti değildir. Kurumun mevcut teknik altyapısının, operasyonel süreçlerinin ve organizasyonel yapısının birlikte değerlendirilmesini gerektirir.
Sparta Siber Güvenlik olarak bu süreci; kurumun mevcut durumunu doğru şekilde analiz eden, eksikleri net biçimde ortaya koyan ve denetim sürecine kontrollü şekilde hazırlanmasını sağlayan bütüncül bir danışmanlık yaklaşımıyla ele alıyoruz. Amacımız, yalnızca uyumluluğu sağlamak değil; sürdürülebilir ve gerçekçi bir siber güvenlik yapısının kurulmasına destek olmaktır.
EPDK Uyum Danışmanlığı süreçlerimizi aşağıdaki başlıklar altında inceleyebilirsiniz.
- Mevcut Durum Analizi ve Kapsam Netleştirme
Sparta Siber Güvenlik, EPDK bildirimi ve kritiklik seviyesi esas alınarak kurumun mevcut siber güvenlik yapısını bütüncül şekilde değerlendirir. Organizasyon, süreçler, teknik kontroller ve operasyonel kabiliyetler üzerinden yapılan bu çalışma; beklentileri netleştirir, eksik alanları ortaya koyar ve uygulanabilir bir yol haritasının oluşturulmasını sağlar.
- Yetkinlik Seviyesi ve Boşluk Analizi
Sparta Siber Güvenlik, EPDK bildirimi ve kritiklik seviyesi esas alınarak kurumun mevcut siber güvenlik yapısını bütüncül şekilde değerlendirir. Organizasyon, süreçler, teknik kontroller ve operasyonel kabiliyetler üzerinden yapılan bu çalışma; beklentileri netleştirir, eksik alanları ortaya koyar ve uygulanabilir bir yol haritasının oluşturulmasını sağlar.
- Teknik ve Organizasyonel Kontrollerin Ele Alınması
Yetkinlik Modeli yalnızca teknik önlemleri değil, organizasyonel yapı ve süreçleri de kapsar. Bu nedenle Sparta Siber Güvenlik, güvenlik mimarisini; roller, sorumluluklar, karar mekanizmaları ve operasyonel işleyiş ile birlikte değerlendirir. Amaç, kağıt üzerinde uyum sağlamak değil, kurumun günlük operasyonlarına uyumlu ve sürdürülebilir bir yapı oluşturmaktır.
- Dokümantasyon ve Denetime Hazırlık
Model kapsamında talep edilen politika, prosedür ve kayıtlar; kurumun mevcut yapısına uygun şekilde ele alınır. Sparta Siber Güvenlik, gerekli dokümantasyonun hazırlanması veya güncellenmesi sürecini denetim beklentileriyle uyumlu olacak şekilde yönetir. Bu aşamada odak, yalnızca belge üretmek değil, denetimde sunulabilir ve sahada karşılığı olan çıktılar elde etmektir.
- Süreklilik ve İyileştirme Yaklaşımı
EPDK Yetkinlik Modeli çalışmaları tek seferlik bir uyum faaliyeti olarak ele alınmaz. Sparta Siber Güvenlik, yapılan çalışmaların sürdürülebilir olmasını ve zaman içinde gelişimini destekleyecek bir yaklaşım benimser.
EPDK Siber Güvenlik Yetkinlik Modeli Danışmanlık Süreci Nasıl İlerler?
1. Başlangıç ve Kapsamın Netleştirilmesi
Danışmanlık süreci, EPDK bildirimi ve kuruma tanımlanan kritiklik seviyesi esas alınarak başlatılır. Bu aşamada, çalışmanın hangi kapsamda yürütüleceği, hangi birimlerin ve sistemlerin sürece dahil olacağı netleştirilir. Amaç, süreci baştan doğru çerçevelemek ve gereksiz iş yükü oluşturmadan ilerlemektir.
2. Mevcut Durumun Değerlendirilmesi
Belirlenen kapsam doğrultusunda kurumun mevcut siber güvenlik yapısı değerlendirilir. Organizasyonel yapı, süreçler, teknik kontroller, izleme ve müdahale kabiliyetleri ile raporlama pratikleri birlikte ele alınır. Bu çalışma, kurumun “mevcut fotoğrafını” ortaya koyar.
3. Boşluk Analizi ve Önceliklendirme
Mevcut durum, EPDK Yetkinlik Modeli gereksinimleri ile karşılaştırılarak eksik veya geliştirilmesi gereken alanlar belirlenir. Tespit edilen boşluklar; kritiklik seviyesi, risk etkisi ve uygulanabilirlik dikkate alınarak önceliklendirilir. Böylece hangi adımların önce atılması gerektiği netleşir.
4. Yol Haritası ve Aksiyon Planının Oluşturulması
Boşluk analizi sonuçlarına göre kurum için uygulanabilir bir yol haritası oluşturulur. Bu plan; yapılacak çalışmaların sırasını, sorumlulukları ve zamanlamayı içerir. Hedef, kısa vadeli uyum ihtiyaçları ile orta–uzun vadeli iyileştirme adımlarını dengeli şekilde ele almaktır.
5. Dokümantasyon ve Uygulama Desteği
Yetkinlik Modeli kapsamında talep edilen politika, prosedür ve kayıtlar hazırlanır veya mevcut dokümanlar güncellenir. Bu aşamada dokümantasyon, kurumun gerçek operasyonlarıyla uyumlu olacak şekilde ele alınır. Gerekli durumlarda teknik ve organizasyonel uygulamalar için de destek sağlanır.
6. Denetime Hazırlık ve Son Kontroller
Denetim öncesinde yapılan çalışmalar gözden geçirilir, eksik kalan noktalar tamamlanır ve sunulacak çıktılar kontrol edilir. Amaç, denetim sürecine hazırlıklı girilmesini ve beklenmeyen sürprizlerle karşılaşılmamasını sağlamaktır.
7. Süreklilik ve İzleme
Danışmanlık süreci, denetimle birlikte sona eren bir faaliyet olarak ele alınmaz. Yapılan çalışmaların sürdürülebilirliği ve zaman içinde gelişimi için gerekli izleme ve iyileştirme adımları planlanır.
EPDK Siber Güvenlik Yetkinlik Modeli kapsamındaki sürecinizi kontrollü ve planlı şekilde yürütmek için bizimle iletişime geçebilirsiniz.
EPDK Siber Güvenlik Yetkinlik Modeli ile İlgili Sıkça Sorulan Sorular
EPDK Siber Güvenlik Yetkinlik Modeli kimleri kapsıyor?
EPDK Siber Güvenlik Yetkinlik Modeli, enerji sektöründe faaliyet gösteren ve kritik operasyonel süreçler yürüten kuruluşların siber güvenlik olgunluğunu değerlendirmek için oluşturulmuş bir çerçevedir. Elektrik iletim/dağıtım şirketleri, belirli ölçeğin üzerindeki üretim tesisleri ve doğal gaz/petrol altyapıları gibi kritik yapılarda uygulanır. Kapsam ve kritiklik seviyesi EPDK bildirimiyle netleşir.
Kuruluşumuzun kapsama girip girmediğini nasıl anlarız?
Bu sorunun en net cevabı EPDK tarafından gelen resmi bildirimdir. Bildirim geldiyse süreç sizin için başlamış demektir. Bildirimde yer alan kritiklik seviyesi ve kapsam doğrultusunda, hangi kontrol setlerinin karşılanması gerektiği de şekillenir. Biz danışmanlık sürecine, bu bildirim ve beklentiler üzerinden başlıyoruz.
EPDK kritiklik seviyesi ne anlama geliyor?
Kritiklik seviyesi, kuruluşun enerji arz güvenliği üzerindeki etkisi ve operasyonel risk düzeyi ile ilişkilidir. Bu seviye; uygulanacak kontrol kapsamını, öncelikleri ve beklenen olgunluk seviyesini doğrudan etkiler. Yani “ne yapılacak?” sorusunun cevabı, büyük ölçüde bu seviyeye göre şekillenir.
EPDK Uyum sürecinde kuruluşlardan ne bekleniyor?
Temel beklenti; siber güvenliğin sadece doküman seviyesinde değil, operasyonel olarak da yönetiliyor olmasıdır. Organizasyon ve sorumluluklar, süreçlerin uygulanması, teknik kontrollerin varlığı, izleme–müdahale kabiliyeti ve raporlama pratikleri birlikte değerlendirilir. Amaç, sürdürülebilir bir güvenlik yapısı kurulmasıdır.
Bu süreçte hangi dokümanlar ve kanıtlar hazırlanır?
Bu çalışma sadece “politika yazımı” değildir. Süreç dokümanları, rol ve sorumluluklar, envanter–risk yönetimi, olay müdahale akışı, izleme ve loglama yaklaşımı, yedekleme süreklilik gibi başlıklarda hem doküman hem de uygulama kanıtları gerekir. Denetimde “var mı?” kadar “işliyor mu?” da önemlidir.
EPDK Yetkinlik Modeli danışmanlığı nasıl ilerliyor?
Önce EPDK bildirimi ve kritiklik seviyesi üzerinden mevcut durum fotoğrafını çıkarıyoruz. Ardından gereksinimleri kurumun yapısına uyarlayıp uygulanabilir bir yol haritasına çeviriyoruz. Sonrasında aksiyonları parçalara bölerek teknik ve yönetsel çıktıları adım adım kapatıyoruz. Sürecin sonunda denetime hazır, ölçülebilir bir yapı oluşuyor.
Danışmanlık süreci ortalama ne kadar sürer?
Bu tamamen kurumun kapsamına, kritiklik seviyesine ve mevcut olgunluğa bağlıdır. Bazı kurumlarda hızlı iyileştirmelerle kısa sürede toparlanırken, bazı yapılarda teknik ve organizasyonel dönüşüm daha uzun sürer. Biz genelde süreci “hızlı kazanımlar + planlı iyileştirme” şeklinde yönetiyoruz ki ilerleme her aşamada görünür olsun.
Denetim öncesi en sık karşılaşılan eksikler neler?
En çok görülen eksikler; görev ve sorumlulukların net olmaması, kontrol uygulamalarının dokümanda kalması, loglama ve izleme tarafının zayıf olması, olay müdahale sürecinin pratikte test edilmemesi ve envanter/risk yönetiminin güncel tutulmamasıdır. Bu konuları erken aşamada yakalayıp hızlı şekilde toparlamak mümkün oluyor.
Teknik uygulamaları da siz mi yapıyorsunuz?
Evet, ihtiyaç halinde hem danışmanlık hem teknik destek tarafını birlikte yürütebiliriz. Süreç tasarımı ve dokümantasyonun yanında, teknik kontrollerin güçlendirilmesi, izleme yaklaşımı, erişim güvenliği ve benzeri alanlarda uygulanabilir çözüm önerileriyle ilerliyoruz. Amaç “rapor teslimi” değil, gerçekten işleyen bir yapı kurmak.
Teklif almak için hangi bilgiler yeterli olur?
EPDK bildirimi (varsa), kuruluş türünüz (iletim/dağıtım/üretim/doğal gaz/petrol), kritiklik seviyesi ve varsa mevcut hazırlık durumunuz (ISO 27001, SOC, SIEM vb.) yeterli. Bu bilgilerle hızlıca kapsamı netleştirip size en doğru yol haritası ve teklif yapısını çıkarabiliriz.
Konu hakkında ilginizi çekebilecek diğer yazılarımıza aşağıdaki linklerden ulaşabilirsiniz:
EPDK Siber Güvenlik Yetkinlik Modeli (EPDK Yetkinlik Modeli) Nasıl Uygulanır?
Neden Sparta?
Sparta Siber Güvenlik, sızma testi hizmetlerini yalnızca teknik bir kontrol olarak değil; regülasyon uyumu, risk yönetimi ve kurumsal güvenlik olgunluğunu birlikte değerlendiren bütüncül bir yaklaşımla sunar.
Proaktif Güvenlik Anlayışının Öncüsü
Pasif savunma araçları yerine saldırı odaklı güvenlik yaklaşımı benimsiyoruz. Sızma testleri ve proaktif yöntemlerle sisteminizin gerçek direncini ölçüyor, siber saldırganların kullanabileceği yöntemleri önceden tespit ediyoruz. Reaktif değil, proaktif bir güvenlik yaklaşımıyla organizasyonunuzun dijital savunmasını sağlamlaştırıyoruz.
Tehditlere En Yakın Konumdayız
10.000+ sektör profesyoneline düzenli mailing’lerimiz, blog makalelerimiz ve sosyal medyadaki aktif içerik paylaşımlarımız sayesinde küresel siber tehdit manzarasını yakından takip ediyoruz. En güncel zafiyetleri, saldırı tekniklerini ve zararlı yazılım kampanyalarını anlık analiz ediyor, bu bilgiyi sektörle paylaşıyoruz. Tehditlere yakın durmak, müşterilerimizi neye karşı korumamız gerektiğini en iyi şekilde anlamamızı sağlıyor.
Sınırlı Kaynaklarla Maksimum Etki
Çoğu kuruluş ideal siber güvenlik bütçesine veya personel kapasitesine sahip değildir. Kısıtlı kaynaklarla maksimum koruma sağlayacak stratejik güvenlik mimarileri tasarlıyoruz. Risk odaklı yaklaşımımızla yatırımlarınızı en kritik noktalara yönlendirmenize ve etkin bir savunma hattı kurmanıza yardımcı oluyoruz.
Eğitim ve Gelişime İnanıyoruz
Ekibimizin çoğu Sparta’da başlamış ve şirket kültürümüz içinde şekillenmiş profesyonellerden oluşuyor. Tutkulu, işini seven ve sürekli gelişen bir ekiple çalışıyoruz. Müşterilerimize sunduğumuz eğitim programlarıyla bilgi transferini ve siber güvenlik farkındalığını önceliklendiriyoruz. Çünkü siber güvenlik sadece teknoloji değil, insan ve süreç meselesidir.
Dürüstlük ve Şeffaflığı İlke Ediniyoruz
Asıl amacımız, siber güvenlik alanına gönül vermiş bir ekip olarak sektöre değer katmaktır. Müşterilerimizin bütçe kısıtlarını anlıyor ve gerçekçi çözümler sunuyoruz. Size sadece hizmetlerimizi değil, aynı zamanda doğru güvenlik yatırımları konusunda objektif danışmanlık sağlıyoruz. Fiyat-performans dengesini gözetiyoruz.
İşbirliği ile Başarıya İnanıyoruz
Müşterilerimizle satıcı-alıcı ilişkisinden öte, stratejik ortaklık kuruyoruz. Siber güvenlik ekibinizin bir uzantısı olarak çalışıyor, bilgi ve deneyimlerimizi şeffaf bir şekilde paylaşıyoruz. Başarınız bizim başarımızdır anlayışıyla hareket ediyor, sürdürülebilir güvenlik için omuz omuza ilerliyoruz. Gerçek güvenlik, yalnızca teknolojik çözümlerle değil, güçlü işbirliğiyle sağlanır.