06.06.2023 tarihli ve 32213 sayılı Resmi Gazete’de, Enerji Piyasası Düzenleme Kurumu (“Kurum”) tarafından Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği (“Yönetmelik”) yayınlanarak yürürlüğe girmiştir. Yönetmelik ile 13.07.2017 tarihli Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği (“Mülga Yönetmelik”) yürürlükten kaldırılmış ve yapılan tüm atıfların Yönetmelik’e yapılmış sayılacağı düzenlenmiştir.
Yönetmelik ile enerji piyasası uyarınca lisans sahibi tüzel kişilerden oluşan kuruluşların[1] (“Yükümlü Kuruluşlar”) endüstriyel kontrol sistemlerinin (“EKS”) güvenliğinin ve güvenilirliğinin sağlanmasına ilişkin uygulanacak hükümler düzenlenmiştir.
Yönetmelik’te EKS “enerjinin üretilmesi, enerji sağlayan ham petrol, taş kömürü ve benzeri hammaddelerin işlenip tüketime hazır hale getirilmesi, enerjinin iletim veya dağıtım katmanları aracılığı ile aktarılması gibi süreçlerin bir veya birden fazla merkezden izlenmesini, bazen de yönetilmesini sağlayan, kendisi ve/veya bileşenleri bilinen işletim sistemleri üzerinde çalışan ya da bilinen zafiyetleri bulunan özel işletim sistemine sahip yönetim ve kontrol sistemleri” olarak tanımlanmıştır ve aşağıda belirtilen yetkinlik modeline ilişkin düzenlemeler EKS ile uyumlu hale getirilmiştir:
- Bilgi ve İletişim Güvenliği Rehberi
- Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul ve Esasları
- TS ISO/IEC 27001
- TS EN ISO/IEC 27019
- Enerji sektöründe EKS güvenlik kontrolleri
Yetkinlik modelinin, enerji alt sektörlerine göre farklılık göstermekle birlikte aşağıdaki başlıklardan oluşacağı düzenlenmiştir:
- Endüstriyel altyapılar için yerel ağ güvenliği, geniş alan ağı güvenliği, iletişim güvenliği, protokol güvenliği, kablosuz ağ güvenliği, entegrasyon güvenliği kontrollerini içeren endüstriyel ağ güvenliği
- Endüstriyel altyapıda yer alan tüm istemci ve sunuculara ilişkin mantıksal ve fiziksel güvenlik kontrollerini içeren endüstriyel istemci ve sunucu güvenliği
- Endüstriyel altyapılarda uygulanan tehdit ve zafiyet yönetimi kontrollerini içeren endüstriyel tehdit ve zafiyet yönetimi
- Endüstriyel altyapının dinamiklerine uygun endüstriyel siber güvenlik risk yönetimi kontrollerini içeren endüstriyel siber güvenlik risk yönetimi
- Endüstriyel altyapılarda bulunan varlıkların yönetimi, bileşenlerin değişim ve konfigürasyon yönetimi kontrollerini içeren endüstriyel varlık, değişim ve konfigürasyon yönetimi
- Endüstriyel altyapıda bulunan bileşenler için kimlik ve erişim yönetimi kontrollerini içeren endüstriyel kimlik ve erişim yönetimi
- Endüstriyel siber güvenlik olay yönetimi, süreklilik, yedekleme ve yedeklilik kontrollerini içeren endüstriyel olay yönetimi ve süreklilik
- Sayaç ve nesnelerin interneti teknolojisinin kullanıldığı endüstriyel altyapılar için güvenlik kontrollerini içeren akıllı cihaz güvenliği;
- Endüstriyel operasyon güvenliği
- Kritik enerji altyapılarında çalışan tüm personel için istihdam öncesi, sırası ve sonrasında uygulanması gereken kontrolleri içeren insan kaynakları güvenliği
- Endüstriyel altyapıların sektörlerine uygun, dağıtık veya tekil yapıdaki fiziksel ortamların güvenlik kontrollerini içeren fiziksel güvenlik.
- Endüstriyel altyapılar için teknoloji, insan ve altyapı tedarikçilerine ilişkin siber güvenlik kontrollerini içeren tedarikçi yönetimi
- Programlanabilir Mantık Kontrolcüsü (PLC) güvenliği
Yönetmelik’te, yetkinlik modelinin üç temel yetkinlik seviyesinden oluştuğu ve Yükümlü Kuruluşlar’ın hangi yetkinlik modeline uymakla yükümlü olduğu Kurum tarafından belirlenen sektörel kritiklik dereceleri ile tespit edileceği düzenlenmiştir. Yönetmelik ile düzenlenen kritiklik seviyeleri aşağıdaki gibidir:
Seviye 1: Giriş seviyesi kontroller, bu seviyede yer alır. İlgili kontrollerin hali hazırda uygulandığı ya da kolayca uygulanabileceği değerlendirilen maddeler bu seviyede toplanır.
Seviye 2: İkinci aşama kontroller, bu seviyede yer alır. İlgili kontrollerin uygulanabilmesi için Yükümlü Kuruluş sistemlerinde veya süreçlerinde değişiklik yapılmasını gerektiren maddeler bu seviyede toplanır.
Seviye 3: Üçüncü seviye kontroller, bu seviyede yer alır. Bu seviyede yer alan kontroller yeni bir projelendirme ya da uzun soluklu değişim gerektirir.
Buna göre Yükümlü Kuruluşlar, Kurum tarafından tespit edilen “seviye 1, seviye 2 ve seviye 3” temel yetkinlik seviyelerinden uygun oldukları seviyeye bağlanan ve zorunlu olarak gerçekleştirmeleri gereken maddeleri hedeflenen tamamlama süresi içerisinde yerine getirmekle yükümlüdür. Bununla birlikte, Yükümlü Kuruluşlar’ın zorunlu olarak gerçekleştirmeleri gereken kontrol maddeleri belirlenirken aşağıda yer ala sınıflandırma kullanılacak olup bu parametreler sektörel olarak ayrıca belirlenmekte ve Kurum tarafından belirli aralıklarla güncellenmektedir.
Sektör | Asgari Seviye | Kritiklik Derecesi |
Elektrik Dağıtım | Seviye 2 | Yükümlü Kuruluşa özel |
Doğal Gaz Dağıtım | Seviye 1 | Yükümlü Kuruluşa özel |
Kritiklik Derecesi | Açıklama | Asgari Seviye |
A Sınıfı |
İlgili sektörde kritiklik derecesi en yüksek olan Yükümlü Kuruluşlar’ın sınıfını ifade eder. |
Seviye 3 |
B Sınıfı |
İlgili sektörde kritiklik derecesi orta olan Yükümlü Kuruluşlar’ın sınıfını ifade eder. |
Seviye 2 |
C Sınıfı |
İlgili sektörde kritiklik derecesi beklenen seviyede olan Yükümlü Kuruluşlar’ın sınıfını ifade eder. |
Seviye 1 |
Bu doğrultuda yetkinlik modeli uygulama yükümlülüğü, Kurum tarafından kritiklik dereceleri belirlenip Yükümlü Kuruluşlar’a tebliğ edildiğinde başlamaktadır. Yükümlü Kuruluşlar, Kurum tarafından belirlenen kritiklik derecelerine uygun olarak uygulamakla yükümlü oldukları kontrolleri, hedeflenen tamamlama süresinde gerçekleştirmekle yükümlüdür ve bu kontroller değerlendirilirken aşağıda yer alan uyum sınıflandırması kullanılır:
- Tam uyum: Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin modelde yazıldığı şekilde karşılanması durumudur.
- Kısmen uyum: Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin tam olarak karşılanamadığı, geçici ya da iyileştirici önlemlerin uygulandığı durumdur.
- Uyumsuz: Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir kontrol maddesine ilişkin gereksinimin hiçbir şekilde karşılanamadığı durumdur.
- Kapsam dışı: Yetkinlik modeli kapsamında yer alan alt kontrol başlıklarında birbirine alternatif olabilecek teknoloji veya yöntem bulunması durumunda Yükümlü Kuruluşlar’da mevcut bulunan teknoloji ve yönteme uygun kontrollerin uygulanması, diğer alternatif teknoloji ve yöntemlere ilişkin kontrol maddelerinin kapsam dışı bırakılması durumudur.
Uyması gereken maddelere ilişkin kontrolleri gerçekleştiren Yükümlü Kuruluşlar bakımından ayrıca Yönetmelik’te yetkinlik modeline uyumluluğun üç aşamada denetlenerek gerçekleştirileceği düzenlenmiştir:
- Öz denetim/fark analizi
- Sektörel denetim
- Kurum denetimleri
Öz denetimler, Yükümlü Kuruluşlar’ın ilgili kontrol maddelerini kendi iç kaynakları ile denetlemesi sürecidir. Bu aşama, bir fark analizi olarak değerlendirilir. Bu sürecin, yükümlülüklerin başlamasından itibaren üç ay içerisinde tamamlanması gerekir.
Sektörel denetimler, Kurum’un bu Yönetmelik kapsamında belirlediği şartlara uyan firma ve personeli tarafından gerçekleştirilen çalışmalardır. Bu çalışmalar, bağımsız denetim olarak değerlendirilir.
Kurum denetimleri, Kurum’un Yükümlü Kuruluşlar tarafından yapılan öz denetimleri, denetçi firmaları ve yükümlü kuruluşları denetlediği çalışmalardır. Bu çalışmalar çapraz denetim ya da kontrol denetimi olarak değerlendirilir. Kurum, bu denetimleri süreç içerisinde her zaman yapabilir.
Çok aşamalı denetimler, sektöre göre farklılık gösteren yetkinlik modellerinin oluşturulması ve Kurum tarafından sektörlerin kritik derecelendirilmesi gibi hükümlerin düzenlendiği Yönetmelik ile, enerji piyasası sektöründe faaliyet gösteren kuruluşların siber güvenlik açısından yeterli ve etkin bir koruma sağlaması hedeflenmiştir. Daha önce Mülga Yönetmelik’te detaylarına yer verilmeyen siber güvenlik esasları, yürürlüğe giren Yönetmelik ve eklerinde yer alan siber güvenlik şemaları ile Yükümlü Kuruluşlar bakımından alınması gereken tedbirleri yansıtmakta ve aşamalı denetimler sayesinde söz konusu tedbirlerin tam ve eksiksiz şekilde uygulanmasını amaçlamaktadır.
Yönetmelik’in tam metnine buradan ulaşabilirsiniz:
[1] Elektrik iletim lisansı sahibi, elektrik dağıtım lisansı sahibi, geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, doğal gaz depolama lisansı sahibi (LNG, yer altı), ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi. OSB dağıtım lisansı sahipleri ile OSB üretim lisansı sahipleri kapsam dışındadır.
Yazarlar: Burak Özdağıstanli, Ebru Gümüş