Enerji sektöründe siber güvenlik düzenlemesi çıktı

Enerji sektöründe endüstriyel kontrol sistemlerindeki siber güvenliği sağlamaya yönelik düzenlemenin getirdiği yükümlülükler, lisans sahiplerinin EPDK tebligatını almasıyla başlayacak.

Enerji Günlüğü - Enerji arz güvenliğini ve sektördeki kontrol sistemlerinde siber güvenliği sağlamaya yönelik düzenleme yürürlüğe girdi. Lisans sahiplerinin sorumlulukları, EPDK tebligatını alır almaz başlayacak. 

Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği, Enerji Piyasası Düzenleme Kurumu (EPDK) tarafından yayımlanarak yürürlüğe girdi. Yönetmelikle beraber, Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği yürürlükten kaldırıldı. 

Yeni Yönetmelik; enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esasları düzenlemeyi amaçlıyor. 

DÜZENLEME İLGİLİ MEVZUATI BİRLEŞTİRDİ

Kritik enerji altyapılarında işletilen endüstriyel kontrol sistemlerinin (EKS) siber güvenliğine yönelik yeni düzenleme, esas olarak enerji arz güvenliğine yönelik siber tehditleri, gerçekleşmeden önce önlemeyi hedefleyen bir içeriğe sahip. Düzenleme ayrıca, sektördeki siber güvenlik düzenlemelerini (Bilgi ve İletişim Güvenliği Rehberi, TS ISO/IEC 27001, TS EN ISO/IEC 27019) de tek bir hukuki metin altında birleştirerek sadeleştirmiş olacak. 

Yönetmelik aşağıdaki sıralanan lisanslara sahip olan tüzel kişilerden oluşan kuruluşların endüstriyel kontrol sistemlerinin güvenliğinin ve güvenilirliğinin sağlanmasına ilişkin uygulanacak hükümleri kapsıyor. 

  • Elektrik iletim lisansı sahipleri
  • Elektrik dağıtım lisansı sahipleri
  • Geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahipleri
  • Boru hattı ile iletim yapan doğal gaz iletim lisansı sahipleri
  • Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahipleri
  • Doğal gaz depolama lisansı sahipleri (LNG, yer altı)
  • Ham petrol iletim lisansı sahipleri
  • Rafinerici lisansı sahipleri. 

SORUMLULUKLAR EPDK YAZISININ TEBLİĞİ İLE BAŞLIYOR

Bu kuruluşlar, EPDK’nın Yönetmeliğe uyumla ilgili resmi yazıyı tebliğ etmesiyle beraber, Yönetmelik hükümlerinden sorumlu olacaklar. Yazıyı alan her kuruluş öncelikle kendi durumunu analiz edecek, analiz sonucunda tespit edilecek olan kritiklik düzeyine göre ilgili teknik kontrol maddelerini uygulayacaklar.

OSB dağıtım lisansı sahipleri ile OSB üretim lisansı sahipleri ise Yönetmelik kapsamının dışında tutuldu. 

EPDK’dan yapılan açıklamada, diğer enerji alt sektörlerine özel yetkinlik modeli çalışmalarının devam ettiği; bu çalışmalar tamamlandığında söz konusu yetkinlik modellerinin de ilgili sektörler bazında yayımlanacağı kaydedildi.