Yönetmelik; 6 Haziran 2023 tarihinde resmi gazetede yayımlanmıştır.
Yönetmeliğin amacı; enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esasları düzenlemektir.
Kapsam: Elektrik iletim lisansı sahibi, elektrik dağıtım lisansı sahibi, geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, doğal gaz depolama lisansı sahibi (LNG, yer altı), ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişilerden oluşan kuruluşların endüstriyel kontrol sistemlerinin güvenliğinin ve güvenilirliğinin sağlanmasına ilişkin uygulanacak hükümleri kapsamaktadır. OSB dağıtım lisansı sahipleri ile OSB üretim lisansı sahipleri kapsam dışındadır.
YETKİNLİK MODELİ ANA KONTROL BAŞLIKLARI:
(1) Yetkinlik modeli, enerji alt sektörleri özelinde farklılık göstermekle birlikte aşağıda listelenen başlıklardan oluşur:
a) Endüstriyel ağ güvenliği; endüstriyel altyapılar için yerel ağ güvenliği, geniş alan ağı güvenliği, iletişim güvenliği, protokol güvenliği, kablosuz ağ güvenliği, entegrasyon güvenliği kontrollerini içerir.
b) Endüstriyel istemci ve sunucu güvenliği; endüstriyel altyapıda yer alan tüm istemci ve sunuculara ilişkin mantıksal ve fiziksel güvenlik kontrollerini içerir.
c) Endüstriyel tehdit ve zafiyet yönetimi; endüstriyel altyapılarda uygulanan tehdit ve zafiyet yönetimi kontrollerini içerir.
ç) Endüstriyel siber güvenlik risk yönetimi; endüstriyel altyapının dinamiklerine uygun endüstriyel siber güvenlik risk yönetimi kontrollerini içerir.
d) Endüstriyel varlık, değişim ve konfigürasyon yönetimi; endüstriyel altyapılarda bulunan varlıkların yönetimi, bileşenlerin değişim ve konfigürasyon yönetimi kontrollerini içerir.
e) Endüstriyel kimlik ve erişim yönetimi; endüstriyel altyapıda bulunan bileşenler için kimlik ve erişim yönetimi kontrollerini içerir.
f) Endüstriyel olay yönetimi ve süreklilik; endüstriyel siber güvenlik olay yönetimi, süreklilik, yedekleme ve yedeklilik kontrollerini içerir.
g) Akıllı cihaz güvenliği; sayaç ve nesnelerin interneti teknolojisinin kullanıldığı endüstriyel altyapılar için güvenlik kontrollerini içerir.
ğ) Endüstriyel operasyon güvenliği; endüstriyel operasyon güvenliğine yönelik kontrolleri içerir.
h) İnsan kaynakları güvenliği; kritik enerji altyapılarında çalışan tüm personel için istihdam öncesi, sırası ve sonrasında uygulanması gereken kontrolleri içerir.
ı) Fiziksel güvenlik; endüstriyel altyapıların sektörlerine uygun, dağıtık veya tekil yapıdaki fiziksel ortamların güvenlik kontrollerini içerir.
i) Tedarikçi yönetimi; endüstriyel altyapılar için teknoloji, insan ve altyapı tedarikçilerine ilişkin siber güvenlik kontrollerini içerir.
j) PLC güvenliği; PLC güvenliğine ilişkin güvenlik kontrollerini içerir.
(2) Her bir ana kontrol başlığı kendi içerisinde alt kontrol başlıklarına bölünerek ele alınır.
YETKİNLİK SEVİYELERİ
(1) Yetkinlik modeli kapsamında üç temel yetkinlik seviyesi bulunmakta olup yükümlü kuruluşların sahip olmaları gereken yetkinlik seviyesi, Kurum tarafından belirlenen sektörel kritiklik dereceleri ile tespit edilir. Her bir seviye için açıklamalar aşağıdaki şekildedir:
a) Seviye 1: Giriş seviyesi kontroller, bu seviyede yer alır. İlgili kontrollerin hali hazırda uygulandığı ya da kolayca uygulanabileceği değerlendirilen maddeler bu seviyede toplanır. Bu seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak zorunludur.
b) Seviye 2: İkinci aşama kontroller, bu seviyede yer alır. İlgili kontrollerin uygulanabilmesi için yükümlü kuruluş sistemlerinde veya süreçlerinde değişiklik yapılmasını gerektiren maddeler bu seviyede toplanır. Bu seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak zorunludur.
c) Seviye 3: Üçüncü seviye kontroller, bu seviyede yer alır. Bu seviyede yer alan kontroller yeni bir projelendirme ya da uzun soluklu değişim gerektirir. Bu seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak zorunludur.
ç) Ek kontrol: Zorluk derecesi yüksek ya da uygulanması faydalı olabileceği değerlendirilen kontroller, bu seviyede toplanmış olup uygulanması zorunlu değildir.
(2) Her bir seviyede yer alan kontrollerin uygulanması için hedeflenen tamamlama süresi; enerji alt sektörlerine göre farklılık göstermekte olup bu Yönetmelik eklerinde yer alan sektörel yetkinlik modeli dokümanlarında açıklanır.
(3) Üç yıllık periyotlarda, Kurum tarafından yapılacak güncellemeler ile kontrol maddeleri ve kontrol maddeleri için tespit edilen yetkinlik seviyeleri değiştirilebilir.
SEKTÖREL KRİTİKLİK DERECESİ BELİRLEME
(1) Yükümlü kuruluşların zorunlu olarak gerçekleştirmeleri gereken kontrol maddeleri belirlenirken aşağıdaki tablolarda yer alan sınıflandırma kullanılır:
SEKTÖR | ASGARİ SEVİYE | KRİTİKLİK DERECESİ |
Elektrik Dağıtım | Seviye 2 | Yükümlü kuruluşa özel |
Doğal Gaz Dağıtım | Seviye 1 | Yükümlü kuruluşa özel |
KRİTİKLİK DERECESİ | AÇIKLAMA | ASGARİ SEVİYE |
A Sınıfı | İlgili sektörde kritiklik derecesi en yüksek olan yükümlü kuruluşların sınıfını ifade eder. | Seviye 3 |
B Sınıfı | İlgili sektörde kritiklik derecesi orta olan yükümlü kuruluşların sınıfını ifade eder. | Seviye 2 |
C Sınıfı | İlgili sektörde kritiklik derecesi beklenen seviyede olan yükümlü kuruluşların sınıfını ifade eder. | Seviye 1 |
(2) Birinci fıkrada yer alan tablolardaki sınıflandırma, sektörün asgari yetkinlik seviyesi ve sektörde yer alan yükümlü kuruluşların kritiklik derecesinden oluşur. Asgari seviye parametresi, sektörel olarak belirlenmekte olup yükümlü kuruluşlar bu seviyeye uyumlu hareket eder. Kritiklik derecesi ise Kurumca çeşitli parametreler kullanılarak belirlenmekte olup belirlenen kritiklik derecelerine göre uygulanan asgari kontrol maddelerine yeni kontroller eklenebilir.
(3) Sektörlerin kritiklik derecelendirmesinde kullanılan parametreler, Kurum tarafından üç yıllık periyotlarda güncellenebilir, bu periyotların sonunda yapılan değerlendirmelerde yükümlü kuruluşların kritiklik dereceleri değişebilir.
UYGULAMA
(1) Yetkinlik modeli uygulama yükümlülüğü, Kurum tarafından kritiklik dereceleri belirlenip yükümlü kuruluşlara tebliğ edildiğinde başlar.
(2) Yükümlü kuruluşlar, kritiklik dereceleri ve sektörleri özelinde hazırlanmış olan yetkinlik modeli asgari seviye kontrolleri kapsamında yükümlülüklerini gerçekleştirir.
(3) Yükümlü kuruluşlar, hedeflenen tamamlama süresinde uygulamakla yükümlü oldukları kontrolleri değerlendirirken aşağıda yer alan uyum sınıflandırmasını kullanır.
a) Tam uyum: Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin modelde yazıldığı şekilde karşılanması durumudur.
b) Kısmen uyum: Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin tam olarak karşılanamadığı, geçici ya da iyileştirici önlemlerin uygulandığı durumdur.
c) Uyumsuz: Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin hiçbir şekilde karşılanamadığı durumdur.
ç) Kapsam dışı: Yetkinlik modeli kapsamında yer alan alt kontrol başlıklarında birbirine alternatif olabilecek teknoloji veya yöntem bulunması durumunda yükümlü kuruluşta mevcut bulunan teknoloji ve yönteme uygun kontrollerin uygulanması, diğer alternatif teknoloji ve yöntemlere ilişkin kontrol maddelerinin kapsam dışı bırakılması durumudur.
(4) Yükümlü kuruluşlar, yükümlü oldukları kontrol maddelerine hedeflenen tamamlama süresi sonunda tam uyumlu olmak zorundadır.
(5) Kontrollerin uygulanmasında hedeflenen tamamlama süresi, aşağıda adları belirtilen sektörler özelinde hazırlanan ve yetkinlik modeli dokümanlarında açıklanmaktadır.
a) Elektrik Dağıtım Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
b) Doğal Gaz Dağıtım Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
UYUMLULUK VE DENETİM
(1) Yükümlü kuruluşların yetkinlik modeline uyumluluğu üç aşamada gerçekleştirilir. Bu aşamalar şunlardır:
a) Öz denetim/fark analizi: Öz denetimler, yükümlü kuruluşların ilgili kontrol maddelerini kendi iç kaynakları ile denetlemesi sürecidir. Bu aşama, bir fark analizi olarak değerlendirilir. Bu sürecin, yükümlülüklerin başlamasından itibaren üç ay içerisinde tamamlanması gerekir.
b) Sektörel denetim: Sektörel denetimler, Kurumun bu Yönetmelik kapsamında belirlediği şartlara uyan firma ve personeli tarafından gerçekleştirilen çalışmalardır. Bu çalışmalar, bağımsız denetim olarak değerlendirilir.
c) Kurum denetimleri: Kurumun; öz kaynakları ile denetçi firmaları ve yükümlü kuruluşları denetlediği çalışmalardır. Bu çalışmalar çapraz denetim ya da kontrol denetimi olarak değerlendirilir. Kurum, bu denetimleri süreç içerisinde her zaman yapabilir.
(2) Yükümlü kuruluşlar, öz denetim/fark analizini tamamladıktan sonra en geç bir ay içerisinde Kuruma raporlarını Enerji Piyasası Bildirim Sistemi aracılığı ile iletir.
(3) Yükümlü kuruluşlar, her bir yetkinlik seviyesinde yer alan kontroller için; tanımlanan uygulama süreleri sonunda Kuruma ilerleme raporlarını enerji piyasası bildirim sistemi aracılığı ile iletir.
(4) Yetkilendirilmiş denetim firmaları, sektörel denetimleri yetkinlik modeline uygun seviye süreçlerinin tamamlanmasından itibaren on iki ay içerisinde yaparak, denetim raporlarını en geç bir ay içerisinde Kuruma enerji piyasası bildirim sistemi aracılığı ile iletir.
(5) Yükümlü kuruluşlar, belirlenen asgari yetkinlik seviyesine ulaşmalarının ardından bu Yönetmelik eklerinde sektörler özelinde hazırlanan yetkinlik modeli dokümanlarında yer alan hedeflenen tamamlama süresi periyotlarında, sektörel denetimlerini tekrarlamak zorundadır.
(6) Yükümlü kuruluşlar, öz denetim/fark analizi çalışmaları esnasında danışmanlık hizmeti almaları durumunda sektörel denetimi, danışmanlık hizmeti aldıkları firma ile gerçekleştiremez. Danışmanlık ve sektörel denetim hizmetleri, alt yüklenici kullanmak suretiyle de gerçekleştirilemez.
(7) Sektörel denetim, aynı firma ile üst üste en fazla üç kez gerçekleştirilebilir.
Comments