EPDK Siber Güvenlik Yetkinlik Modeli (SGYM) Nedir? 2026 Rehberi
EPDK Siber Güvenlik Yetkinlik Modeli nedir? Hangi kurumları kapsar, hangi başlıkları içerir ve denetim süreci nasıl işler? Konuyu daha önce duymamış olanlar için bir giriş, hazırlık sürecinde olanlar için ise pratik bir başvuru kaynağı olarak tasarlandı.
EPDK Siber Güvenlik Yetkinlik Modeli (SGYM), enerji sektöründe faaliyet gösteren lisanslı kuruluşların siber güvenlik olgunluğunu ölçmek ve denetlemek amacıyla EPDK tarafından oluşturulmuş bir çerçevedir. Genel siber güvenlik standartlarının çok ötesine geçen bu model, sanayi kontrol sistemlerini, uzak saha ekipmanlarını ve kesintisiz çalışması gereken operasyonel altyapıyı kapsar.
EPDK Siber Güvenlik Yetkinlik Modeli Nedir?
EPDK Siber Güvenlik Yetkinlik Modeli, Enerji Piyasası Düzenleme Kurumu’nun (EPDK) enerji sektöründeki lisanslı kuruluşlara uyguladığı siber güvenlik değerlendirme çerçevesidir. Model, kurumların siber güvenlik olgunluğunu belirli başlıklar üzerinden ölçer; her başlık için beklenen kontroller, süreçler ve kanıtlar tanımlar. (Konuyla ilgili resmi gazete linkine buradan, yönetmeliğe buradan ulaşabilirsiniz.)
Modelin temel farkı, yalnızca teknik kontrolleri değil, organizasyonel yapıyı, süreç olgunluğunu ve sürdürülebilirliği birlikte ele almasıdır. Bir kurumun güvenlik duvarı kullanması yeterli değildir; o güvenlik duvarının kural setlerinin yönetildiğini, güncellendiğini ve denetlendiğini kanıtlaması gerekir. Bu ayrım, modeli bir “belgeleme standardı” olmaktan çıkarıp gerçek bir güvenlik olgunluk ölçütü haline getirir.
Hangi Kurumlar Kapsam Dahilindedir?
EPDK lisansı taşıyan kuruluşlar model kapsamındadır. Elektrik üretimi, iletimi, dağıtımı ve ticareti; doğal gaz iletimi, dağıtımı ve depolaması; petrol boru hattı işletmeciliği bu kapsamın başlıca alanlarıdır.
Kurumlar, EPDK tarafından kritiklik seviyesine göre sınıflandırılır. Kritiklik seviyesi hem uygulanacak gereksinimlerin kapsamını hem de denetim sıklığını belirler. Yüksek kritiklik seviyesindeki bir kurum için beklentiler daha geniş ve daha ayrıntılıdır; aynı başlıklar daha derin bir kanıt bütünüyle değerlendirilir.
“Biz kapsam dahilinde miyiz?” sorusu çoğu zaman EPDK’dan gelen resmi bildirimle yanıtlanır. Ama kritiklik seviyesinin ne anlama geldiğini ve hangi başlıklarda ne düzeyde hazırlık gerektiğini anlamak, sürecin başında netleştirilmesi gereken bir konudur.
Modelin Yapısı: Başlık Grupları ve Değerlendirme Alanları
| Başlık Kodu | Alan | Denetimde Ölçülen | Sık Karşılaşılan Bulgu |
|---|---|---|---|
| SGF-EÜ-ERY | Endüstriyel Risk Yönetimi | Risk metodolojisi, güncelleme periyodu, aksiyon takibi, üst yönetim raporlaması | Risk matrisi mevcut ama güncellenmemiş, OT riskleri değerlendirilmemiş |
| SGF-EÜ-VKY | Varlık ve Konfigürasyon Yönetimi | Envanter bütünlüğü, OT varlıklarının dahil edilmesi, konfigürasyon baseline | OT cihazları envanterde yok, baseline tanımlanmamış |
| SGF-EÜ-EAG | Ağ Güvenliği | IT/OT segmentasyonu, firewall kural yönetimi, ağ mimarisi belgesi | Segmentasyon yalnızca diyagramda, kural seti sahipsiz ve dağınık |
| SGF-EÜ-İSG | Sistem Güvenliği | Sıkılaştırma standardı, yetki yönetimi, Active Directory yapısı | Varsayılan ayarlar değiştirilmemiş, domain admin sayısı fazla |
| SGF-EÜ-TZY | Tehdit ve Zafiyet Yönetimi | Tarama periyodu, önceliklendirme kriterleri, kapatma takibi | Yılda bir sızma testi var ama sürekli tarama ve takip mekanizması yok |
| SGF-EÜ-KEY | Kimlik ve Erişim Yönetimi | Hesap yönetimi, ortak hesap kullanımı, çok faktörlü doğrulama | Ortak hesaplar aktif, ayrılan personel hesapları kapatılmamış |
| SGF-EÜ-OYS | Olay Yönetimi ve Süreklilik | SOME işleyişi, olay kayıtları, tatbikat belgeleri | SOME kağıt üzerinde, tatbikat yapılmamış, olay kaydı tutulmamış |
| SGF-EÜ-EOG | Operasyon Güvenliği | Değişiklik yönetimi, yama takibi, operasyonel prosedür uyumu | Değişiklikler kayıt dışı yapılmış, yama süreci düzensiz |
| SGF-EÜ-ACG | Akıllı Cihaz Güvenliği | IoT/OT cihaz envanteri, varsayılan parola yönetimi, ürün yazılımı güncellemeleri | Sahada varsayılan parolalı cihazlar, ürün yazılımı güncellenmiyor |
| SGF-EÜ-FZG | Fiziksel Güvenlik | Sunucu odası erişim kontrolü, kamera sistemi, iş sürekliliği planı | Sunucu odası kamerasız, kapı kontrolü yok, felaket senaryoları eksik |
EPDK Siber Güvenlik Yetkinlik Modeli, birden fazla başlık grubu altında organize edilmiştir. Her grup, belirli bir güvenlik alanını kapsar ve o alana ait kontrol gereksinimlerini tanımlar. Denetim, bu başlıklar üzerinden yapılır; her başlık için belge, kanıt ve fiili uygulama sorgulanır.
Ana başlık grupları şu şekildedir:
Endüstriyel Risk Yönetimi (SGF-EÜ-ERY): Kurumun siber güvenlik risklerini tanımlama, değerlendirme ve yönetme yetkinliğini ölçer. Özellikle IT ve OT risklerinin birlikte ve doğru şekilde ele alınıp alınmadığına odaklanır. Risk matrisinin var olması yeterli değildir; risklerin düzenli güncellendiği, aksiyonlarının takip edildiği ve üst yönetime raporlandığı görülmek istenir.
Varlık ve Konfigürasyon Yönetimi (SGF-EÜ-VKY): Kurumun IT ve OT varlıklarını eksiksiz envanterleyip envanterlemediği, varlıkların güvenli konfigürasyonla çalışıp çalışmadığı değerlendirilir. Sahada yıllardır çalışan ama envantere hiç girmemiş OT cihazları bu başlıkta en sık karşılaşılan bulgulardan birini oluşturur.
Ağ Güvenliği (SGF-EÜ-EAG): IT ve OT ağları arasındaki segmentasyonun fiilen uygulanıp uygulanmadığı, firewall kural setlerinin yönetilip yönetilmediği ve ağ mimarisinin belgelenmiş olup olmadığı sorgulanır. Kağıt üzerinde segmentasyon ile gerçek ağ yapısı arasındaki fark bu başlıkta sıkça gün yüzüne çıkar.
Sistem Güvenliği (SGF-EÜ-İSG): Sunucuların, iş istasyonlarının ve kritik sistemlerin güvenli yapılandırıldığına dair kanıtlar aranır. Sıkılaştırma standartları, yetki yönetimi ve Active Directory yapısı bu başlığın temel konularıdır.
Tehdit ve Zafiyet Yönetimi (SGF-EÜ-TZY): Kurumun zafiyetlerini düzenli olarak tarayıp taramadığı, tespit edilen zafiyetler için önceliklendirme yapılıp yapılmadığı ve kapatma takibinin yürütülüp yürütülmediği değerlendirilir. Yılda bir kez sızma testi yaptırmak zafiyet yönetiminin yerini tutmaz; denetçi sürekli işleyen bir mekanizma arar.
Kimlik ve Erişim Yönetimi (SGF-EÜ-KEY): Kimin, neye, hangi gerekçeyle eriştiğinin izlenip izlenmediği sorgulanır. Ortak hesap kullanımı, fazla geniş domain yöneticisi yetkileri ve eksik çok faktörlü kimlik doğrulama bu başlığın en sık bulgu ürettiği noktalardır.
Olay Yönetimi ve Süreklilik (SGF-EÜ-OYS): Siber Olaylara Müdahale Ekibi’nin (SOME) gerçek anlamda işleyip işlemediği değerlendirilir. Olay kayıtları, tatbikat belgeleri ve müdahale prosedürleri denetimde somut kanıt olarak aranır.
Operasyon Güvenliği (SGF-EÜ-EOG): Değişiklik yönetimi, yama yönetimi ve günlük operasyonların ne kadar kontrollü yürütüldüğü incelenir. Kayıt dışı yapılan değişiklikler bu başlıkta en yaygın bulgular arasındadır.
Akıllı Cihaz Güvenliği (SGF-EÜ-ACG): Sahada konuşlandırılmış IoT ve OT cihazlarının güvenlik açısından yönetilip yönetilmediği sorgulanır. Varsayılan parolalar, güncellenmeyen ürün yazılımları ve envantere dahil edilmemiş cihazlar bu başlıkta sıkça karşılaşılan tablodur.
Fiziksel Güvenlik (SGF-EÜ-FZG): Sunucu odası ve kritik alanlara fiziksel erişimin kontrol altında tutulup tutulmadığı değerlendirilir. Teknik kontrollerle desteklenmeyen fiziksel güvenlik, tüm dijital savunmaları anlamsız kılabilir.
EPDK Siber Güvenlik Denetimi Nasıl İşler?
EPDK SGYM denetimi, kurumun yukarıdaki başlıkların her birinde belirlenen gereksinimleri karşılayıp karşılamadığını değerlendiren bir süreçtir. Denetçi yalnızca belgelere bakmaz; belgelerin ardındaki sürecin gerçekten işleyip işlemediğini anlamak için çapraz sorular sorar, kanıtlar ister ve fiili yapılandırmaları inceler.
Bu nedenle hazırlık, sadece doküman üretmekten ibaret değildir. Risk matrisinizin var olması yeterli değildir; güncel olması, aksiyonlarının takip edilmesi ve üst yönetime raporlanmış olması gerekir. Bir ağ diyagramı sunabilirsiniz, ama denetçi o diyagramın gerçek ağ yapısını yansıtıp yansıtmadığını sormadan geçmez.
Denetim bulgular ürettiğinde, bu bulgular uygunsuzluk olarak kayıt altına alınır ve kurumun belirli bir süre içinde düzeltici aksiyon alması beklenir. Tekrarlayan ya da kapatılmayan bulgular kurumun kritiklik değerlendirmesini olumsuz etkileyebilir.
Siber Güvenlik Yetkinlik Modeli ile ISO 27001 Arasındaki Fark Nedir?
Bu soru sıkça sorulur. ISO 27001, genel bir bilgi güvenliği yönetim sistemi standardıdır ve sektörden bağımsız olarak uygulanabilir. EPDK SGYM ise enerji sektörüne özgüdür; OT güvenliği, endüstriyel kontrol sistemleri ve enerji altyapısına özgü tehditler bu modelde ayrıca ele alınır.
ISO 27001 sertifikasına sahip olmak, EPDK SGYM gereksinimlerini otomatik olarak karşıladığınız anlamına gelmez. İki çerçevenin örtüşen alanları vardır, ancak EPDK denetçisi yalnızca ISO sertifikasıyla yetinmez, modelin kendi başlıklarına göre değerlendirme yapar.
Hazırlığa Nereden Başlanmalı?
Hazırlık süreci çoğu zaman mevcut durumun dürüstçe değerlendirilmesiyle başlar. Hangi başlıklarda belgelenmiş bir süreç var, hangilerinde yok? OT varlıkları envantere dahil edilmiş mi? Risk yönetimi düzenli olarak güncelleniyor mu? Bu soruların cevabı, çalışmanın nereye odaklanması gerektiğini gösterir.
Deneyimlerimize göre kurumlar bu süreçte en çok iki noktada zorlanıyor: OT tarafının değerlendirmeye dahil edilmesi ve var olan süreçlerin kanıtlarıyla birlikte sunulabilmesi. İkinci konu özellikle önemlidir — bir süreç yürüyebilir, ama denetimde geçerli sayılabilmesi için izinin olması gerekir.
Hazırlık sürecinde hangi adımların hangi sırayla atılması gerektiğine dair ayrıntılı bir rehber için EPDK Siber Güvenlik Yetkinlik Modeli Denetim Hazırlığı yazımızı inceleyebilirsiniz.
Sparta Siber Güvenlik Olarak Bu Süreçte Nasıl Destek Veriyoruz?
Sparta olarak EPDK Siber Güvenlik Yetkinlik Modeli denetimlerine hazırlık sürecinde kurumlarla başından sonuna birlikte çalışıyoruz. Mevcut durum değerlendirmesi, boşluk analizi, başlık bazlı hazırlık planı ve denetim öncesi kontrol — her adımda saha deneyimimizle destek sağlıyoruz.
Ayrıca EPDK kapsamındaki kurumlar için zorunlu olan sızma testi hizmetini de sunuyoruz. Denetimde sızma testi kanıtı istendiğinde, bu testin SGYM gereksinimleriyle uyumlu şekilde planlanmış ve raporlanmış olması çok önemlidir.
Kurumunuzun EPDK SGYM kapsamında nerede durduğunu anlamak için EPDK Siber Güvenlik Yetkinlik Modeli Danışmanlığı sayfamızı inceleyebilir ya da EPDK Sızma Testi hizmetimiz hakkında bilgi alabilirsiniz.
Sparta Siber Güvenlik — Enerji sektörüne özgü siber güvenlik danışmanlığı ve denetim hizmetleri.