Enerji Piyasası Düzenleme Kurumu (EPDK), enerji sektöründe siber güvenlik yetkinlik modeli yönetmeliğini Resmi Gazete’nin 6 Haziran 2023 tarihli sayısında yayımladı.
Yönetmelik ile enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini iyileştirme ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin esaslar belirlendi. Yönetmelik, elektrik iletim ve dağıtım lisansı sahibi, geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 megavat elektrik ve üzeri lisansa sahip her bir elektrik üretim tesisi, boru hattıyla iletim yapan doğal gaz iletim lisansı, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı, depolama lisansı (LNG, yer altı), ham petrol iletim lisansı ve rafinerici lisansı sahibi tüzel kişilerden oluşan kuruluşların endüstriyel kontrol sistemlerinin güvenliğine ilişkin uygulanacak hükümleri kapsıyor.
Organize Sanayi Bölgesi dağıtım ve üretim lisansı sahipleri ise kapsam dışında tutulurken yetkinlik modeli kapsamında üç temel yetkinlik seviyesi belirlendi. Yükümlü kuruluşların sahip olmaları gereken yetkinlik seviyesi, EPDK tarafından belirlenen sektörel kritiklik dereceleriyle tespit edilecek.
a) Seviye 1: Giriş seviyesi kontroller, bu seviyede yer alır. İlgili kontrollerin hali hazırda uygulandığı ya da kolayca uygulanabileceği değerlendirilen maddeler bu seviyede toplanır. Bu seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak zorunludur.
b) Seviye 2: İkinci aşama kontroller, bu seviyede yer alır. İlgili kontrollerin uygulanabilmesi için yükümlü kuruluş sistemlerinde veya süreçlerinde değişiklik yapılmasını gerektiren maddeler bu seviyede toplanır. Bu seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak zorunludur.
c) Seviye 3: Üçüncü seviye kontroller, bu seviyede yer alır. Bu seviyede yer alan kontroller yeni bir projelendirme ya da uzun soluklu değişim gerektirir. Bu seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak zorunludur.
Kurum tarafından yapılacak güncellemelerle 3 yıllık periyotlarda kontrol maddeleri ve kontrol maddeleri için tespit edilen yetkinlik seviyeleri değiştirilebilecek.”Yetkinlik modeli” uygulama yükümlülüğü, Kurum tarafından kritiklik dereceleri belirlenip yükümlü kuruluşlara tebliğ edildiğinde başlayacak.Yönetmelik kapsamında denetim yapma yetkisi verilen firmaların unvanları, Kurumun internet sitesinde yayımlanacak. Ayrıca, Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği yürürlükten kaldırıldı.
Yönetmeliğe buradan ulaşabilirsiniz.
Photo credit by Pexels, Tima Miroshnichenko
