Enerji Günlüğü - Doğalgaz depolama, doğalgaz ve ham petrol iletim ve elektrik iletim sektörleri; enerji alanında siber güvenlik kritiklik derecelendirmesine dahil edildi.
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik, Enerji Piyasası Düzenleme Kurumu (EPDK) tarafından yayımlanarak yürürlüğe girdi.
Yönetmelik; elektrik iletim lisansı sahibi, elektrik dağıtım lisansı sahibi, geçici kabulü yapılmış ve işletmedeki kurulu gücü 100MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, doğal gaz depolama lisansı sahibi (LNG, yer altı), ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişilerden oluşan kuruluşların endüstriyel kontrol sistemlerinin güvenliğinin ve güvenilirliğinin sağlanmasına ilişkin uygulanacak hükümleri kapsıyor. Sayılan lisans sahipleri Yönetmelik uyarınca yükümlü kuruluş olarak tanımlanıyor.
KRİTİKLİK DERECELENDİRMESİNE 3 İLAVE SEKTÖR TABİ OLDU
Yönetmelik değişikliği, sektörel kritiklik derecesi tablosunda yer alan elektrik dağıtım ve doğalgaz dağıtım sektörlerine doğalgaz depolama, doğalgaz ve ham petrol iletim ve elektrik iletim sektörlerini de ekledi. Tablo bundan böyle aşağıdaki gibi olacak.
Sektör | Asgari seviye | Kritiklik derecesi |
Elektrik Dağıtım | Seviye 2 | Yükümlü kuruluşa özel |
Doğalgaz dağıtım | Seviye 1 | Yükümlü kuruluşa özel |
Doğalgaz depolama | Seviye 1 | Yükümlü kuruluşa özel |
Doğalgaz ve ham petrol iletim | Seviye 3 | Yükümlü kuruluşa özel |
Elektrik iletim | Seviye 3 | Yükümlü kuruluşa özel |
Yükümlü kuruluşların zorunlu olarak gerçekleştirmeleri gereken kontrol maddeleri belirlenirken bu tabloda yer alan sınıflandırma kullanılacak. Kritiklik derecelerinin ne anlama geldiği ise Yönetmelikte, aşağıdaki tablo ile tarif ediliyor.
Kritiklik derecesi | Açıklama | Asgari seviye |
A Sınıfı | İlgili sektörde kritiklik derecesi en yüksek olan yükümlü kuruluşların sınıfını ifade eder. | Seviye 3 |
B Sınıfı | İlgili sektörde kritiklik derecesi orta olan yükümlü kuruluşların sınıfını ifade eder. | Seviye 2 |
C sınıfı | İlgili sektörde kritiklik derecesi beklenen seviyede olan yükümlü kuruluşların sınıfını ifade eder. | Seviye 1 |
Tabloya eklenen 3 sektörün siber güvenlik yetkinlik modeli teknik kontrol maddeleri de Yönetmeliğin 9. Maddesinin beşinci fıkrasına eklenen Ek-5, Ek-6 ile Ek-7’de bildirildi.
DENETİM RAPORUNU DENETİMİ YAPTIRAN ŞİRKET BİLDİRECEK
Sektörel denetim raporlarının EPDK’ya bildirim yükümlülüğü de yetkili denetim firmalarından alınarak yükümlü kuruluşlara verildi. Yani bundan böyle raporların EPDK’ya bildirimini, denetçi firmalar değil; denetimi yaptıran şirketler kendileri bildirecek. Denetimler, yetkinlik modeline uygun seviye süreçleri tamamlandıktan itibaren 12 ay içinde yetkilendirilmiş denetim firmalarına yaptırılacak. Denetim raporları da en geç bir ay içinde Enerji Piyasası Bildirim Sistemi aracılığıyla EPDK’ya iletilecek.
ÖZ DENETİM / FARK ANALİZİ DANIŞMANLIK KAPSAMINDA SAYILAMAYACAK
Yükümlü kuruluşlar, yetkinlik seviyelerinde yer alan kontroller için danışmanlık hizmeti aldıklarında yapılacak ilk sektörel denetimi, danışmanlık hizmeti aldıkları firma ile gerçekleştiremeyecekler. Ayrıca öz denetim/fark analizi çalışmaları danışmanlık hizmeti kapsamında değerlendirilmeyecek. Danışmanlık ve sektörel denetim hizmetleri, alt yüklenici kullanmak suretiyle de gerçekleştirilemeyecek.