Enerji sektörüne ‘Siber Güvenlik Yetkinlik Modeli’ geliyor
EPDK’nın Siber Güvenlik Yetkinlik Modeli’ne geçmesi ile ilgili kararı Resmi Gazete’de yayınlandı.
Enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini iyileştirme ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin esaslar Enerji Piyasası Düzenleme Kurumu (EPDK) tarafından belirlendi.
Resmi Gazete’de yayınlanarak yürürlüğe giren yeni hükümlere göre, Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği de yürürlükten kaldırıldı.
Endüstriyel kontrol sistemlerinin siber güvenliği sağlandı
Buna göre, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esaslar belirlendi.
Yönetmelik, elektrik iletim ve dağıtım lisansı sahibi, geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 megavat elektrik ve üzeri lisansa sahip her bir elektrik üretim tesisi, boru hattıyla iletim yapan doğalgaz iletim lisansı, sevkiyat kontrol merkezi kurmakla yükümlü doğalgaz dağıtım lisansı, depolama lisansı (LNG, yer altı), ham petrol iletim lisansı ve rafinerici lisansı sahibi tüzel kişilerden oluşan kuruluşların endüstriyel kontrol sistemlerinin güvenliğine ilişkin uygulanacak hükümleri kapsayacak.
Kapsam dışında kalanlar
Organize Sanayi Bölgesi (OSB) dağıtım ve üretim lisansı sahipleri ise kapsam dışında tutulacak.
Yetkinlik modeli kapsamında üç temel yetkinlik seviyesi belirlenirken, yükümlü kuruluşların sahip olmaları gereken yetkinlik seviyesi, EPDK tarafından belirlenen sektörel kritiklik dereceleriyle tespit edilecek.
Periyodik kontroller
Kurum tarafından yapılacak güncellemelerle 3 yıllık periyodik kontrol maddeleri ve kontrol maddeleri için tespit edilen yetkinlik seviyeleri değiştirilebilecek.
Yükümlülükleri başlatma kriteri
“Yetkinlik modeli” uygulama yükümlülüğü, Kurum tarafından kritiklik dereceleri belirlenip yükümlü kuruluşlara tebliğ edildiğinde başlayacak.
Denetim yapma yetkisi
Yönetmelik kapsamında denetim yapma yetkisi verilen firmaların unvanları, Kurumun internet sitesinde yayınlanacak.