6 Haziran 2023 tarihli Resmi Gazetede Enerji Piyasası Düzenleme Kurumu "Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği" yayımlandı.
Bu yönetmelik ile Eletrik ve Doğalgaz Dağıtım şirketlerinin yönetmelikte belirtilen EK-1 ve EK-2 deki kontrollere uyumlu olmaları gerektiği ilan edildi.
5 Aralık 2023 tarihinde ise EPDK tarafından yönetmelikte düzenlemelere gidilmiş ve bu düzenleme neticesinde Black-Start özelliğine sahip olan kuruluşlar da dahil edilmiştir.
Black-Start: Bir elektrik santralinin veya bir elektrik şebekesinin bir bölümünün, tamamen veya kısmen kapandığında, harici elektrik güç iletim şebekesinin desteği olmadan yeniden başlatılmasını ifade eder.
Geçici kabulü yapılmış, Black-Start özelliğine sahip olup ulusal şebekeye katkı verebilecek olan elektrik üretim tesisi sahibi tüzel kişilerden oluşan kuruluşlar bu yönetmelik hükümlerine tabidir.
Yanı sıra 5 Aralık 2023 tarihinde EPDK tarafından Elektirk Üretim ve Rafineri kuruluşlarına yönelik uyumlu olmaları gereken EK-3, EK-4 kontrolleri de duyuruldu.
"Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği" tabi olan kuruluşlar;
- Elektrik iletim lisansı sahibi kuruluşlar.
- Elektrik dağıtım lisansı sahibi kuruluşlar.
- Geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MegaWatt ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi kuruluşlar.
- Boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi kuruluşlar.
- Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi kuruluşlar.
- Doğal gaz depolama lisansı sahibi (LNG, yer altı) kuruluşlar.
- Ham petrol iletim lisansı sahibi kuruluşlar.
- Rafinerici lisansı sahibi kuruluşlar.
- OSB dağıtım lisansı sahipleri ile OSB üretim lisansı sahipleri kapsam dışında tutulmuştur.
Yönetmeliğin nihai hali resmi gazetede yayınlanmasına takiben kapsama dahil kurumlar aşağıda belirtilen zamanlara göre yükümlülüklerini yerine getirmek zorundalar.
| Zorunlu Tamamlanma Süresi | |||
| Seviye | Açıklama | Elektrik | Doğal Gaz |
| Seviye 1 | Giriş seviyesi kontroller, bu seviyede yer alır. İlgili kontrollerin hali hazırda uygulandığı ya da kolayca uygulanabileceği değerlendirilen maddeler bu seviyede toplanır. | 12 Ay | 18 Ay |
| Seviye 2 | İkinci aşama kontroller, bu seviyede yer alır. İlgili kontrollerin uygulanabilmesi için yükümlü kuruluş sistemlerinde veya süreçlerinde değişiklik yapılmasını gerektiren maddeler bu seviyede toplanır. | 18 Ay | 24 Ay |
| Seviye 3 | Üçüncü seviye kontroller, bu seviyede yer alır. Bu seviyede yer alan kontroller yeni bir projelendirme ya da uzun soluklu değişim gerektirir. | 24 Ay | 30 Ay |
| Ek Kontrol | Zorluk derecesi yüksek ya da uygulanması faydalı olabileceği değerlendirilen kontroller, bu seviyede toplanmış olup uygulanması zorunlu değildir. | – | – |
MOBİNTEK Danışmanlık olarak tüm enerji sektörü kuruluşlarının boşluk (fark) analizi süreçlerinden başlayarak aşağıda maddeler halinde sıralanan kontrol maddeleri üzerinden uyum çalışmalarını kurumunuz ile birlikte yapmaktayız.
EPDK Siber Güvenlik Yetkinlik Modeli Boşluk Analizi çalışması; Bilgi Güvenliği+Siber Güvenlik ekibi ile birlikte kurumunuzun EPDK Siber Güvenlik Yetkinlik Modeli Yönetmeliği isterlerine göre mevcut durumunun analizi içeren hizmettir.
Hizmet kapsamında yerinde ve çevrimiçi olarak kurumun dokümantasyonu ve fiziksel mekanları, IT ve OT altyapısının uzmanlarımız tarafından siber güvenlik/bilgi güvenliği değerlendirilerek mevcut durum raporlanır.
Yetkinlik Modeli Danışmanlık Hizmeti Ana Kontrol Başlıkları:
- Endüstriyel ağ güvenliği
- Endüstriyel istemci ve sunucu güvenliği
- Endüstriyel tehdit ve zafiyet yönetimi
- Endüstriyel siber güvenlik risk yönetimi
- Endüstriyel varlık, değişim ve konfigürasyon yönetimi
- Endüstriyel kimlik ve erişim yönetimi
- Endüstriyel olay yönetimi ve süreklilik
- Akıllı cihaz güvenliği
- Endüstriyel operasyon güvenliği
- İnsan kaynakları güvenliği
- Fiziksel güvenlik
- Tedarikçi güvenliği
- PLC güvenliği - (Elektrik Üretim, Doğal Gaz Dağıtım ve Rafinerilere uygulanır)
MOBİNTEK Danışmanlık tüm bu güvenlik kontrolleri öncesi GAP analizi yaparak kurumunuzun mevcut durumunu belirlemekte ve ardından konusunun uzmanı danışmanları ile Yetkinlik Modelinin beklentisi olan tüm seviyeler için kurumların uyum çalışmalarını yürütmektedir.
Telefon: +90 224 362 53 62
E-posta: