Haziran 2024 – Enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyelerini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esasları düzenlemek amacıyla Enerji Piyasası Düzenleme Kurumu (“EPDK”) tarafından aşağıda sayılan tüzel kişileri (“Yükümlü Kuruluşlar”) kapsayan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği (“Yönetmelik”) hazırlanmış ve söz konusu Yönetmelik 2023 yılında yürürlüğe girmişti:
- Elektrik dağıtım lisansı sahipleri;
- Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahipleri;
- Kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip elektrik üretim tesisi sahipleri;
- Rafinerici lisansı sahipleri;
- Doğal gaz depolama lisansı sahipleri (LNG, yer altı);
- Boru hattı ile iletim yapan doğal gaz iletim lisansı sahipleri;
- Ham petrol iletim lisansı sahipleri; ve
- Elektrik iletim lisansı sahipleri.
EPDK, 27 Mayıs 2024 tarihinde yaptığı bir duyuru ile Yönetmelikte yapılması öngörülen bazı değişiklikler için bir taslak ("Değişiklik Taslağı") hazırladığını ve söz konusu Değişiklik Taslağı’nın kamuoyu görüşüne sunulduğunu belirtmiştir.
Yönetmelik’te daha önce elektrik dağıtım, doğal gaz dağıtım, elektrik üretim ve rafineri için kabul edilebilir asgari güvenlik seviyeleri belirlenmişti. Değişiklik Taslağı’nın temel amacı, Yönetmelik’te daha önce öngörülmeyen (i) doğal gaz depolama, (ii) doğal gaz ve ham petrol iletim ve (iii) elektrik iletim alt sektörleri için de asgari seviyelerin belirlenmesidir.
Arka Plan
Yönetmelik ile yetkinlik modelinin, enerji alt sektörleri özelinde farklılık göstermekle birlikte aşağıda listelenen başlıklardan oluştuğu düzenlenmişti:
- Endüstriyel altyapılar için yerel ağ güvenliği, geniş alan ağı güvenliği, iletişim güvenliği, protokol güvenliği, kablosuz ağ güvenliği, entegrasyon güvenliği kontrollerini içeren Endüstriyel ağ güvenliği;
- Endüstriyel altyapıda yer alan tüm istemci ve sunuculara ilişkin mantıksal ve fiziksel güvenlik kontrollerini içeren Endüstriyel istemci ve sunucu güvenliği;
- Endüstriyel altyapılarda uygulanan tehdit ve zafiyet yönetimi kontrollerini içeren Endüstriyel tehdit ve zafiyet yönetimi;
- Endüstriyel altyapının dinamiklerine uygun endüstriyel siber güvenlik risk yönetimi kontrollerini içeren Endüstriyel siber güvenlik risk yönetimi;
- Endüstriyel altyapılarda bulunan varlıkların yönetimi, bileşenlerin değişim ve konfigürasyon yönetimi kontrollerini içeren Endüstriyel varlık, değişim ve konfigürasyon yönetimi;
- Endüstriyel altyapıda bulunan bileşenler için kimlik ve erişim yönetimi kontrollerini içeren Endüstriyel kimlik ve erişim yönetimi;
- Endüstriyel siber güvenlik olay yönetimi, süreklilik, yedekleme ve yedeklilik kontrollerini içeren Endüstriyel olay yönetimi ve süreklilik;
- Sayaç ve nesnelerin interneti teknolojisinin (IoT) kullanıldığı endüstriyel altyapılar için güvenlik kontrollerini içeren Akıllı cihaz güvenliği;
- Endüstriyel operasyon güvenliğine yönelik kontrolleri içeren Endüstriyel operasyon güvenliği;
- Kritik enerji altyapılarında çalışan tüm personel için istihdam öncesi, sırası ve sonrasında uygulanması gereken kontrolleri içeren İnsan kaynakları güvenliği;
- Endüstriyel altyapıların sektörlerine uygun, dağıtık veya tekil yapıdaki fiziksel ortamların güvenlik kontrollerini içeren Fiziksel güvenlik;
- Endüstriyel altyapılar için teknoloji, insan ve altyapı tedarikçilerine ilişkin siber güvenlik kontrollerini içeren Tedarikçi yönetimi; ve
- PLC güvenliğine ilişkin güvenlik kontrollerini içeren PLC güvenliği.
Yönetmelik’te yetkinlik modeli kapsamında üç temel yetkinlik seviyesi düzenlenmiş ve Yükümlü Kuruluşların sahip olmaları gereken yetkinlik seviyelerinin, EPDK tarafından belirlenen sektörel kritiklik dereceleri ile tespit edileceği vurgulanmıştı. Söz konusu seviyeler aşağıdaki şekilde detaylandırılmıştı:
- Seviye 1: Giriş seviyesi kontroller. İlgili kontrollerin hali hazırda uygulandığı ya da kolayca uygulanabileceği değerlendirilen maddeler bu seviyede toplanır. Bu seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak zorunludur.
- Seviye 2: İkinci aşama kontroller. İlgili kontrollerin uygulanabilmesi için Yükümlü Kuruluş sistemlerinde veya süreçlerinde değişiklik yapılmasını gerektiren maddeler bu seviyede toplanır. Bu seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak zorunludur.
- Seviye 3: Üçüncü seviye kontroller. Bu seviyede yer alan kontroller yeni bir projelendirme ya da uzun soluklu değişim gerektirir. Bu seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak zorunludur.
- Ek kontrol: Zorluk derecesi yüksek ya da uygulanması faydalı olabileceği değerlendirilen kontroller. Bu seviyedeki kontrollerin uygulanması zorunlu değildir.
Değişiklikler
Değişiklik Taslağı ile birlikte (i) doğal gaz depolama, (ii) doğal gaz ve ham petrol iletim ve (iii) elektrik iletim alt sektörlerine ilişkin kabul edilebilir asgari güvenlik seviyeleri aşağıdaki gibi olacaktır:
Sektör |
Asgari Seviye |
Elektrik Dağıtım |
Seviye 2 |
Doğal Gaz Dağıtım |
Seviye 1 |
Elektrik Üretim |
Seviye 1 |
Rafineri |
Seviye 3 |
Doğal Gaz Depolama |
Seviye 1 |
Doğal Gaz ve Ham Petrol İletim |
Seviye 3 |
Elektrik İletim |
Seviye 3 |
Buna paralel olarak daha önceden elektrik dağıtım, doğal gaz dağıtım, elektrik üretim ve rafineri alt sektörleri için siber güvenlik yetkinlik modeli teknik kontrol maddeleri hazırlanmıştı. Değişiklik Taslağı ile aynı zamanda (i) doğal gaz depolama, (ii) doğal gaz ve ham petrol iletim ve (iii) elektrik iletim alt sektörleri için de siber güvenlik yetkinlik modeli teknik kontrol maddeleri hazırlanarak Yönetmelik kapsamındaki tüm alt sektörler için teknik kontrol maddelerinin düzenlenmesinin tamamlanması amaçlanmaktadır.
Değişiklik Taslağı’ndaki diğer değişikliklerle ise denetim konusunda yapılan değişiklikle denetim yaptırma sorumluluğunun Yükümlü Kuruluşlar üzerinde olacağı açıklığa kavuşturulmuş ve Yükümlü Kuruluşların yetkinlik seviyelerinde yer alan kontroller için danışmanlık hizmeti alması durumunda söz konusu Yükümlü Kuruluş’un yaptıracağı ilk sektörel denetimi danışmanlık hizmeti aldığı şirketin yapamayacağı düzenlenmiştir. Ayrıca, öz denetim/fark analizi çalışmalarının danışmanlık hizmeti kapsamında değerlendirilmeyeceği belirtilmiştir.
Sonuç
Değişiklik Taslağı ile Yönetmelik kapsamındaki tüm alt sektörler için asgari seviyelerin ve teknik kontrol maddelerinin düzenlenmesinin tamamlanması amaçlanmış ve Yönetmelik’te yukarıda bahsedilen bazı hükümler açıklığa kavuşturulmuştur. Lütfen Değişiklik Taslağı’nın kamuoyunun görüşü alındıktan sonra değişikliğe uğrayabileceğini not ediniz. Değişiklik Taslağı ile ilgili EPDK duyuruna buradan ulaşabilirsiniz.
Konuya ilişkin herhangi bir sorunuz olması halinde Şeyma Olğun () veya Tuğberk Osman Çakırca () ile iletişim kurabilirsiniz.