Enerji sektörüne ‘Siber Güvenlik Yetkinlik Modeli’

Enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini iyileştirme ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin esaslar belirlendi.

Enerji Piyasası Düzenleme Kurumunun (EPDK) Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği, Resmi Gazete’de yayımlanarak yürürlüğe girdi.

Buna göre, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esaslar belirlendi.

Yönetmelik, elektrik iletim ve dağıtım lisansı sahibi, geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 megavat elektrik ve üzeri lisansa sahip her bir elektrik üretim tesisi, boru hattıyla iletim yapan doğal gaz iletim lisansı, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı, depolama lisansı (LNG, yer altı), ham petrol iletim lisansı ve rafinerici lisansı sahibi tüzel kişilerden oluşan kuruluşların endüstriyel kontrol sistemlerinin güvenliğine ilişkin uygulanacak hükümleri kapsayacak.

Organize Sanayi Bölgesi dağıtım ve üretim lisansı sahipleri ise kapsam dışında tutulacak.

Yetkinlik modeli kapsamında üç temel yetkinlik seviyesi belirlenirken, yükümlü kuruluşların sahip olmaları gereken yetkinlik seviyesi, EPDK tarafından belirlenen sektörel kritiklik dereceleriyle tespit edilecek.

Kurum tarafından yapılacak güncellemelerle 3 yıllık periyotlarda kontrol maddeleri ve kontrol maddeleri için tespit edilen yetkinlik seviyeleri değiştirilebilecek.

“Yetkinlik modeli” uygulama yükümlülüğü, Kurum tarafından kritiklik dereceleri belirlenip yükümlü kuruluşlara tebliğ edildiğinde başlayacak.

Yönetmelik kapsamında denetim yapma yetkisi verilen firmaların unvanları, Kurumun internet sitesinde yayımlanacak.

Öte yandan, Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği yürürlükten kaldırıldı.

EPDK, Kritik enerji altyapılarında işletilen endüstriyel kontrol sistemlerinin (EKS) siber güvenliğinin sağlanması için adım adım izlenecek yöntemi tanımlayan “Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği” hakkında açıklama yayınladı. EPDK tarafından yapılan açıklamada şu ifadelere yer verildi:

“Ulusal Siber Güvenlik Stratejisi ve Eylem Planları kapsamında belirlenen 6 kritik altyapı sektörü içerisinde enerji; arzında herhangi bir sorun yaşanması durumunda diğer sektörleri de etkileyebilecek ve dolayısıyla toplumsal yaşamda büyük sorunlar üretme kapasitesini doğasında barındırmaktadır. Dolayısıyla, EKS’ler ulusal ve uluslararası ortamlarda kötü amaçlı birçok tarafın hedefinde ve odağında bulunmaktadır. 2014 yılından günümüze enerjinin siber güvenliği alanında Kurumumuzca yapılan çalışmalar daha çok sektörel farkındalığı oluşturarak işletmelerin bu alanda maruz kalmaları olası sorunlar henüz gerçekleşmeden tedbir almayı/aldırmayı amaçlamıştır. Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği ile amaçlanan; sektörde siber güvenlik düzenlemelerini (Bilgi ve İletişim Güvenliği Rehberi, TS ISO/IEC 27001, TS EN ISO/IEC 27019) tekilleştirmek, ardından enerji alt sektörlerini barındırdıkları dinamiklerle kabul edilebilir ve ölçülebilir minimum olgunluk seviyesine taşıyarak enerji arz güvenliğine katkı sağlamaktır.
Bu kapsamda; elektrik iletim lisansı sahibi, OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi, OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, doğal gaz depolama lisansı sahibi (LNG, yer altı), ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişilerden oluşan kuruluşlar yönetmeliğe uymakla yükümlü kılınmıştır.

Yönetmeliğin mevcut halinde elektrik ve doğal gaz dağıtım sektörleri özelinde yetkinlik modeli teknik kontrol maddeleri yayımlanmış olup, diğer enerji alt sektörlerine özel yetkinlik modeli çalışmaları devam etmektedir. Çalışmalar tamamlandığında söz konusu yetkinlik modelleri ilgili sektörler bazında yayımlanacaktır.

İşletmeler; yönetmeliğe uyumla ilgili resmi yazının kendilerine Kurumumuz tarafından tebliğ edildiği tarihten itibaren başlayacak yükümlülüklerinde öncelikle kendi durumlarını analiz edecek, sonrasında yer aldıkları kritiklik düzeyine göre ilgili teknik kontrol maddelerini uygulayacaklardır.”

AA