Enerji Piyasası Düzenleme Kurumu ("EPDK" veya "Kurum") tarafından 06/06/2023 tarihli ve 32213 sayılı Resmi Gazete'de yayımlanan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği ("Siber Güvenlik Yönetmeliği") ile enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğinin asgari kabul edilebilir güvenlik seviyesini belirlemeye ve bu kontrol sistemlerinin siber yeterliliğine ilişkin usul ve esasları düzenleyen önemli değişiklikler yapılmıştır. Bilindiği üzere, daha önce kritik enerji altyapılarında kullanılan endüstriyel kontrol sistemlerinin ("EKS") bilişim süreçlerinin izlenmesi, sistem sürekliliğinin sağlanması ile siber güvenliğinin sağlanmasına ilişkin usul ve esaslar 13/07/2017 tarih ve 30123 sayılı Resmi Gazete'de yayımlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği ("Mülga Yönetmelik") ile düzenlenmiştir. Siber Güvenlik Yönetmeliği'yle Mülga Yönetmelik'te belirlenen yükümlüler aynı kalmakla birlikte yetkinlik kıstaslarına ve yetkinlik seviyelerine ilişkin köklü değişiklikler yapılmıştır.

Yapılan değişikliklerle birlikte yetkinlik modeli kıstaslarına, yetkinlik seviyelerine, sektörel kritiklik seviyelerine, denetim ile denetçi firmalara ilişkin usul ve esaslar EPDK tarafından belirlenmiştir. Elektrik mevzuatında yapılan işbu değişikliklere aşağıda detaylı olarak yer verilmiştir.

I. Yükümlü Kuruluşlar

Hizmet kalitesinin yükseltilmesi ve enerji arzının sürekliliğinin sağlanması amacıyla temel standartlar tespit edilmiş ve yükümlülerin EKS bilişim güvenlik önlemlerini almasını sağlayarak Siber Güvelik Yönetmeliği ile birlikte enerji zincirindeki kritik sistemlerin güvenliğini artırmak için yükümlü kuruluşlar tek tek sayılmak suretiyle belirlenmiştir. Bu kapsamda Mülga Yönetmelik'te yükümlü kuruluş olarak belirlenen kişilerde herhangi bir değişikliğe gidilmemiş OSB dağıtım lisansı ile OSB üretim lisansı sahipleri hariç olmak üzere:

  • Elektrik iletim lisansı sahibi,
  • OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi, OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi,
  • Boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi,
  • Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi,
  • Doğal gaz depolama lisansı sahibi (LNG, yer altı depolama),
  • Ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişiler yükümlü olarak belirlenmiştir.

II. Yetkinlik Modeli Ana Kontrol Kıstasları

Siber Güvelik Yönetmeliği'nin 6 ncı maddesinde yetkinlik modeli temel olarak 12 ana başlığa ayrılmıştır.

  1. Endüstriyel ağ güvenliği; endüstriyel altyapılar için yerel ağ güvenliği, geniş alan ağı güvenliği, iletişim güvenliği, protokol güvenliği, kablosuz ağ güvenliği, entegrasyon güvenliği kontrollerini içerir.
  2. Endüstriyel istemci ve sunucu güvenliği; endüstriyel altyapıda yer alan tüm istemci ve sunuculara ilişkin mantıksal ve fiziksel güvenlik kontrollerini içerir.
  3. Endüstriyel tehdit ve zafiyet yönetimi; endüstriyel altyapılarda uygulanan tehdit ve zafiyet yönetimi kontrollerini içerir.
  4. Endüstriyel siber güvenlik risk yönetimi; endüstriyel altyapının dinamiklerine uygun endüstriyel siber güvenlik risk yönetimi kontrollerini içerir.
  5. Endüstriyel varlık, değişim ve konfigürasyon yönetimi; endüstriyel altyapılarda bulunan varlıkların yönetimi, bileşenlerin değişim ve konfigürasyon yönetimi kontrollerini içerir.
  6. Endüstriyel kimlik ve erişim yönetimi; endüstriyel altyapıda bulunan bileşenler için kimlik ve erişim yönetimi kontrollerini içerir.
  7. Endüstriyel olay yönetimi ve süreklilik; endüstriyel siber güvenlik olay yönetimi, süreklilik, yedekleme ve yedeklilik kontrollerini içerir.
  8. Akıllı cihaz güvenliği; sayaç ve nesnelerin interneti teknolojisinin kullanıldığı endüstriyel altyapılar için güvenlik kontrollerini içerir.
  9. Endüstriyel operasyon güvenliği; endüstriyel operasyon güvenliğine yönelik kontrolleri içerir.
  10. İnsan kaynakları güvenliği; kritik enerji altyapılarında çalışan tüm personel için istihdam öncesi, sırası ve sonrasında uygulanması gereken kontrolleri içerir.
  11. Fiziksel güvenlik; endüstriyel altyapıların sektörlerine uygun, dağıtık veya tekil yapıdaki fiziksel ortamların güvenlik kontrollerini içerir.
  12. Tedarikçi yönetimi; endüstriyel altyapılar için teknoloji, insan ve altyapı tedarikçilerine ilişkin siber güvenlik kontrollerini içerir.
  13. PLC güvenliği; PLC güvenliğine ilişkin güvenlik kontrollerini içerir.

Bahsi geçen başlıklara ilişkin olarak Siber Güvelik Yönetmeliği'nin 1 ve 2 numaralı eklerinde "Teknik Kontrol" maddeleri belirlenmiş olup elektrik dağıtım şirketleri ve doğalgaz dağıtım şirketleri için ayrı ayrı düzenlenmiştir. Bu kapsamda 12 ana başlık, kendi içinde alt başlıklara ayrılmış ve elektrik ve doğal gaz dağıtım şirketlerinin sağlaması gereken pek çok teknik kriter öngörülmüştür.

Elektrik dağıtım şirketleri için endüstriyel ağ güvenliği için 60, endüstriyel istemci ve sunucu güvenliği için 33, endüstriyel siber güvenlik risk yönetimi için 34, endüstriyel varlık, değişim ve konfigürasyon yönetimi için 15, endüstriyel kimlik ve erişim yönetimi için 19, endüstriyel olay yönetimi ve süreklilik için 37, endüstriyel operasyon güvenliği için 10, insan kaynakları güvenliği için 16, fiziksel güvenlik için 96 ve tedarikçi yönetimi için 28 teknik kriter öngörülmüştür.

Doğal gaz dağıtım şirketi için endüstriyel ağ güvenliği için 57, endüstriyel istemci ve sunucu güvenliği için 33, endüstriyel siber güvenlik risk yönetimi için 34, endüstriyel varlık, değişim ve konfigürasyon yönetimi için 15, endüstriyel kimlik ve erişim yönetimi için 19, endüstriyel olay yönetimi ve süreklilik için 37, endüstriyel operasyon güvenliği için 10, insan kaynakları güvenliği için 16, fiziksel güvenlik için 97, tedarikçi yönetimi için 28 ve PLC güvenliği için 20 teknik kriter öngörülmüştür.

Doğalgaz ve elektrik dağıtım şirketleri için öngörülen teknik kriterler kendi içerisinde seviye 1, seviye 2, seviye 3 ve ek kontrol olarak sınıflandırılmış olup yükümlü kuruluşlar Siber Güvelik Yönetmeliği'nin 9 uncu maddesi uyarınca sektörel olarak kendilerine belirlenen asgari seviye için öngörülen teknik kriterleri yine öngörülen sürede yerine getirmekle yükümlüdür. Bu doğrultuda Siber Güvelik Yönetmeliği'nde elektrik ve doğalgaz dağıtım şirketleri için öngörülen asgari yükümlülükler ve bu yükümlülüklere uyum için öngörülen süreler Siber Güvelik Yönetmeliği'nin ekinde tablo olarak listelenmiştir.

III. Yetkinlik Seviyeleri

Siber Güvelik Yönetmeliği'nin 8 inci maddesinde yükümlü kuruluşların sektörel kritiklik derecesine göre Kurum tarafından belirlenen asgari kontrol maddelerine ve parametrelerine uymakla yükümlü oldukları düzenlenmiştir. Bu kapsamda elektrik ve doğal gaz dağıtım şirketleri için özel olarak belirlenmiştir:

Sektör

Asgari Seviye

Kritiklik Derecesi

Elektrik Dagitim

Seviye 2

Yükümlü kurulusa özel

Dogal Gaz Dagitim

Seviye 1

Yükümlü kurulusa özel

Yine aynı maddenin 3 üncü fıkrasında genel olarak kritiklik derecesi ve asgari seviyesi belirlenerek sektörlerin kritiklik derecelendirmesinde kullanılan parametrelerin Kurum tarafından üç yıllık periyotlarda güncellenebileceği ve bu periyotların sonunda yapılan değerlendirmelerde yükümlü kuruluşların kritiklik derecelerinin değişebileceği düzenlenmiştir:

Kritiklik Derecesi

Açiklama

Asgari Seviye

A Sinifi

Ilgili sektörde kritiklik derecesi en yüksek olan yükümlü kuruluslarin sinifini ifade eder.

Seviye 3

B Sinifi

Ilgili sektörde kritiklik derecesi orta olan yükümlü kuruluslarin sinifini ifade eder.

Seviye 2

C Sinifi

Ilgili sektörde kritiklik derecesi beklenen seviyede olan yükümlü kuruluslarin sinifini ifade eder.

Seviye 1

IV. Uyum Süreleri

Siber Güvelik Yönetmeliği'nin 9 uncu maddesinde yetkinlik modeli uygulama yükümlülüğünün Kurum tarafından kritiklik dereceleri belirlendikten sonra yükümlü kuruluşlara tebliğden itibaren başlayacağı düzenlenmiştir. Aynı maddenin dördüncü fıkrasında ise yükümlü kuruluşların hedeflenen tamamlama süresi sonunda etkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin modelde yazıldığı şekilde karşılanması gerekmektedir.

Bu kapsamda Siber Güvenlik Yönetmeliği'nin Elektrik Dağıtım Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri başlıklı 1 numaralı ekinde elektrik dağıtım şirketlerinin "Seviye 1" kontrol maddelerinin 12 ay, "Seviye 2" kontrol maddelerinin 18 ay ve "Seviye 3" kontrol maddelerinin 24 ay içinde tamamlanması öngörülmüştür. Doğal daz dağıtım şirketleri için ise "Seviye 1" kontrol maddelerinin 18 ay, "Seviye 2" kontrol maddelerinin 24 ay ve "Seviye 3" kontrol maddelerinin 30 ay içinde tamamlanması öngörülmüştür.

V. Uyumluluk ve Denetim

Siber Güvenlik Yönetmeliği'nin 10 uncu maddesinin birinci fıkrasında Yükümlü kuruluşlarının yetkinlik modeline uyumluluğunun üç aşamada gerçekleştirileceği düzenlenmiştir:

a) Öz denetim/fark analizi: Öz denetimler, yükümlü kuruluşların ilgili kontrol maddelerini kendi iç kaynakları ile denetlemesi sürecidir. Bu aşama, bir fark analizi olarak değerlendirilir. Bu sürecin, yükümlülüklerin başlamasından itibaren üç ay içerisinde tamamlanması gerekir.

b) Sektörel denetim: Sektörel denetimler, Kurumun bu Siber Güvenlik Yönetmeliği kapsamında belirlediği şartlara uyan firma ve personeli tarafından gerçekleştirilen çalışmalardır. Bu çalışmalar, bağımsız denetim olarak değerlendirilir.

c) Kurum denetimleri: Kurumun; öz kaynakları ile denetçi firmaları ve yükümlü kuruluşları denetlediği çalışmalardır. Bu çalışmalar çapraz denetim ya da kontrol denetimi olarak değerlendirilir. Kurum, bu denetimleri süreç içerisinde her zaman yapabilir.

Öz denetim/fark analizinin yükümlülüğün başladığı tarihten itibaren üç ay içerisinde tamamlandıktan sonra en geç bir ay içerisinde raporlarını Kuruma Enerji Piyasası Bildirim Sistemi aracılığı ile iletmesi gerekmektedir. Buna ek olarak yükümlü kuruluşlar, düzenli olarak her bir yetkinlik seviyesinde yer alan kontroller için tanımlanan uygulama süreleri sonunda ilerleme raporlarını Kuruma sunmakla yükümlü tutulmuştur.

VI. Denetim Firmaları

Siber Güvenlik Yönetmeliği'nin 11 inci maddesinde denetçi firma ve personelinde aranacak yetkinlikler belirlenmiş olup TSE'nin Bilgi ve İletişim Güvenliği Rehberi Uyum Denetimi Hizmeti Veren Personel ve Firma Belgelendirme Programı kapsamında yetki belgesi ve Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimleri sonrası başarı sertifikası aranacağı belirtilmiştir. Denetçi olmak isteyen firmaların yukarıda yer alan belgelerle birlikte Kuruma başvurması üzerine Kurum tarafından yapılacak değerlendirme sonucunda denetim faaliyetlerini yürütebilecek yeterliliğe sahip olduklarının tespit edilmesi halinde denetim yapma yetki sertifikası verileceği ve bu firma yetkinlik modeli denetim kuruluşları listesine ekleneceği düzenlenmiştir. Denetçi firmaların 6 aylık periyodlar halinde bahsi geçen belgeleri düzenli olarak Kurum'a sunmakla yükümlü olduğu belirtilerek aksi halde denetim yetkisinin sona ereceği öngörülmüştür. Kurum tarafından başvurusu sırasında ilave belgeler istenebilecek ve denetçi firmalar her zaman kontrol edilebilecektir.

VII. Yaptırımlar

Mülga Yönetmelik'de aykırılık halinde 6446 sayılı Elektrik Piyasası Kanunu'nun 16 ncı, 4646 Elektrik Piyasası Kanununda Değişiklik Yapılması ve Doğal Gaz Piyasası Hakkında Kanun'un 9 uncu ve 5015 sayılı Petrol Piyasası Kanunu'nun 19 ve 20 nci maddeleri hükümleri uyarınca yaptırım uygulanacağı düzenlenmişti. Ancak 06/06/2023 tarih ve 32213 sayılı Resmi Gazete'de yayımlanan Siber Güvenlik Yönetmeliği'nde bahsi geçen hükümlere aykırılık halinde yaptırım uygulanacağına dair herhangi bir düzenlemeye yer verilmemiştir. 6446 sayılı Elektrik Piyasası Kanunu'nda, 4646 sayılı Doğal Gaz Piyasası Kanunu'nda ve 5015 sayılı Petrol Piyasası Kanunu'nda ikincil mevzuata aykırılık halinde yaptırım uygulanacağına dair hükümlerin uygulanabileceği değerlendirilmektedir.

VIII. Yönetmelik'in Yürürlük Tarihi

06 Haziran 2023 tarihinde Resmî Gazete'de yayımlanan yukarıda bahsi geçen düzenlemeler, geçiş hükümleriyle birlikte aynı gün yürürlüğe girmiştir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.