Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği (“Yönetmelik”) 06.06.2023 tarih ve 32213 sayılı Resmî Gazete’de yayımlandı.
Enerji Piyasası Düzenleme Kurumu (“EPDK”) tarafından yayımlanan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esasları düzenlemektir.
Yönetmelik; elektrik iletim lisansı sahibi, elektrik dağıtım lisansı sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, doğal gaz depolama lisansı sahibi (LNG, yer altı), ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi gibi tüzel kişi kuruluşların endüstriyel kontrol sistemlerinin güvenliğinin ve güvenilirliğinin sağlanmasına ilişkin uygulanacak hükümleri içermektedir.
Organize sanayi bölgeleri dağıtım ve/veya üretim lisansı sahipleri Yönetmeliğin kapsamı dışında bırakılmıştır.
Yönetmeliğin oluşturduğu yetkinlik modeli enerji alt sektörleri özelinde farklılık gösterse de; endüstriyel ağ güvenliği, endüstriyel istemci ve sunucu güvenliği, endüstriyel tehdit ve zafiyet yönetimi, endüstriyel siber güvenlik risk yönetimi, endüstriyel varlık, değişim ve konfigürasyon yönetimi, endüstriyel kimlik ve erişim yönetimi, endüstriyel olay yönetimi ve süreklilik, akıllı cihaz güvenliği, endüstriyel operasyon güvenliği, tedarikçi yönetimi, PLC güvenliği gibi başlıklardan oluşmaktadır.
Bu başlıklara ek olarak yetkinlik modeli kapsamında Yönetmelik tarafından üç temel yetkinlik seviyesi belirlenmiştir. Yükümlü kuruluşların sahip olmaları gereken yetkinlik seviyeleri, EPDK tarafından belirlenen sektörel kritiklik dereceleri ile tespit edilecektir. Tespit edilen bu yetkinlik derecelerinin EPDK tarafından üç yıllık periyodlarla değiştirilebileceği de ayrıca belirtilmiştir.
Yönetmelik’te her bir seviyede yer alan kontrollerin uygulanması için enerji alt sektörlerine göre değişen, 12, 18 ve 24 ay olmak üzere hedeflenen tamamlama süreleri belirlenmiştir. Yetkinlik modelini uygulama yükümlülüğü, EPDK tarafından kritiklik dereceleri belirlenerek yükümlü kuruluşlara tebliğ edildiğinde başlayacaktır.
Yetkinlik modelinin uygulanıp uygulanmadığına ilişkin denetim yapmak üzere EPDK’ya başvuruda bulunan firmalar, EPDK tarafından değerlendirilerek denetçi firma olarak atanabilirler.
Yetkilendirilmiş denetim firmaları, sektörel denetimleri yetkinlik modeline uygun seviye süreçlerinin tamamlanmasından itibaren on iki ay içerisinde yaparak, denetim raporlarını en geç bir ay içerisinde EPDK’ya enerji piyasası bildirim sistemi aracılığı ile ileteceklerdir.
Yönetmeliğin tam metnine aşağıdaki linkten ulaşabilirsiniz.
https://www.resmigazete.gov.tr/eskiler/2023/06/20230606-2.htm
