Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği Uyum Danışmanlığı
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliğine uyumluluk çalışmalarınızda yanınızdayız.
EPDK tarafından 6 Haziran 2023 tarihinde yayınlan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliğine, enerji sektöründe kullanılan Endüstriyel Kontrol Sistemlerinin siber güvenliğine yönelik tedbir ve iyileştirme çalışmalarını içermektedir.
Yönetmeliğin amacı, enerji sektöründe kullanılan Endüstriyel Kontrol Sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu sistemlerin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esasları düzenlemektir.
Yönetmelik, elektrik iletim lisansı sahibi, elektrik dağıtım lisansı sahibi, geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, doğal gaz depolama lisansı sahibi (LNG, yer altı), ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişilerden oluşan kuruluşların endüstriyel kontrol sistemlerinin güvenliğinin ve güvenilirliğinin sağlanmasına ilişkin uygulanacak hükümleri kapsar.
Yönetmelikte yer alan güvenlik standartları, aşağıdaki ana kontrol başlıkları altında toplanmıştır:
Endüstriyel ağ güvenliği (EAG): Elektrik üretim ana endüstriyel kontrol sistemlerinde (EKS) hizmet veren bileşenlerin bulunduğu tüm alanlara yönelik ağ güvenliği, geniş alan ağı güvenliği, iletişim güvenliği, protokol güvenliği, kablosuz ağ güvenliği, entegrasyon güvenliği kontrollerini içerir.
Endüstriyel istemci ve sunucu güvenliği (İSG): Elektrik üretim endüstriyel kontrol sistemleri (EKS) içerisinde hizmet veren sunucu ve istemci güvenliğine dair olan mantıksal ve fiziksel güvenlik kontrollerini içerir.
Endüstriyel tehdit ve zafiyet yönetimi(TZY): Elektrik üretim endüstriyel kontrol sistemlerine (EKS) yönelik tehdit ve zafiyet yönetimi kontrollerini içerir.
Endüstriyel siber güvenlik risk yönetimi(ERY): Endüstriyel siber güvenlik risk yönetimine yönelik kontrolleri içerir.
Endüstriyel varlık, değişim ve konfigürasyon yönetimi (VKY): EKS (EKS ile etkileşimi olan KBS varlıklarını da içerecek şekilde) ve bilgi varlıkları yönetimi, değişimi ve konfigrasyon yönetimi konusundaki kontrolleri içerir.
Endüstriyel kimlik ve erişim yönetimi (KEY): Elektrik üretim endüstriyel kontrol sistemlerinde (EKS) bulunan bileşenler için kimlik ve erişim yönetimi kontrollerini içerir.
Endüstriyel olay yönetimi ve süreklilik (OYS) : Elektrik üretim şalt sahası endüstriyel kontrol sistemlerinde olay yönetimi, süreklilik, yedekleme ve yedeklilik kontrollerini içerir.
Akıllı cihaz güvenliği (ACG) : Elektrik üretim tesisi bünyesinde kullanılan akıllı/endüstriyel cihazların güvenliğini ele alan kontrolleri içerir.
Endüstriyel operasyon güvenliği (EOG) : Süreçlerde operasyon kaynaklı olası risklerin nasıl yönetileceğini ele alan kontrolleri içerir.
İnsan kaynakları güvenliği (İKG) : Personel kaynaklı olası riskleri yönetmek amaçlı belirlenmiş kontrol maddeleridir. Kritik enerji altyapılarında çalışan tüm personel için istihdam öncesi, sırası ve sonrasında uygulanması gereken kontrolleri içerir.
Fiziksel güvenlik (FZG) : Çevresel kaynaklı tehdit ve risklerin yönetimine dair kontrollerin ele alındığı başlıktır. Endüstriyel altyapıların sektörlerine uygun, dağıtık veya tekil yapıdaki fiziksel ortamların güvenlik kontrollerini içerir.
Tedarikçi yönetimi (TDY) : Tedarikçi kaynaklı riskleri minimize etme amaçlı bir takım kontroller yer alır. Endüstriyel altyapılar için teknoloji, insan ve altyapı tedarikçilerine ilişkin siber güvenlik kontrollerini içerir.
PLC güvenliği (PLC) : 20 başlık altında PLC güvenliğine ilişkin güvenlik kontrollerini içerir.
Secure Fors olarak, Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği Uyum Danışmanlığı kapsamında çalışmalarımızı üç başlık altında sürdürmekteyiz.
1. Boşluk Analizi
Kurum tarafından yükümlü olunan kontrol maddelerine mevcut durumda ne kadar uyum sağlandığının tespiti için analiz çalışmaları yapılmaktadır. Bunun sonucunda EPDK’ya Enerji Piyasası Bildirim Sistemi üzerinden yapılması zorunlu olan bildirim yapılabilecek hale gelinecektir. (Bu bildirimin mevzuat yürürlük tarihinden sonra 3 ay içerisinde yapılması gerekmektedir.)
İyileştirmeye açık alanların belirlenmesi ve kurumun yükümlü olduğu kontrol maddelerinden uyamadıkları için yapılması gereken iyileştirmeler ve uygunluğun sağlanması için gerekli yatırım ve çalışmalar var ise bunların belirlenmesi ve planlanması süreçlerini içerir.
2. Raporlama ve kuruma bildirim çalışmaları
Her bir yetkinlik seviyesi kontrolleri için belirlenmiş uygulama süreleri bulunmaktadır. Bu süre içerisinde uygunlukların sağlanması ve Enerji Piyasası Bildirim Sistemi aracılığı ile EPDK ya bildirilmesi gerekmektedir. Bu süreçlere destek hizmeti verilmektedir.
3. Denetleme çalışmaları
Her bir yetkinlik seviyesi kontrolleri için belirlenmiş uygulama sürelerinin bitişinden 12 ay sonra yetkilendirilmiş denetim firmaları tarafından denetim yapılarak denetim sonuçlarının en geç 1 ay içerisinde Enerji Piyasası Bildirim Sistemi aracılığı ile EPDK ya bildirilmesi gerekmektedir. Bu aşamada bu denetime hazırlık süreçlerine destek hizmeti verilmektedir.
Hangi Kuruluşlar "Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği"ne Tabiidir ?
- Elektrik iletim lisansı sahibi kuruluşlar.
- Elektrik dağıtım lisansı sahibi kuruluşlar.
- Geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MegaWatt ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi kuruluşlar.
- Boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi kuruluşlar.
- Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi kuruluşlar.
- Doğal gaz depolama lisansı sahibi (LNG, yer altı) kuruluşlar.
- Ham petrol iletim lisansı sahibi kuruluşlar.
- Rafinerici lisansı sahibi kuruluşlar.
- OSB dağıtım lisansı sahipleri ile OSB üretim lisansı sahipleri kapsam dışında tutulmuştur.
Yetkinlik Modeli Danışmanlık Hizmeti Ana Kontrol Başlıkları Nelerdir ?
- Endüstriyel ağ güvenliği
- Endüstriyel istemci ve sunucu güvenliği
- Endüstriyel tehdit ve zafiyet yönetimi
- Endüstriyel siber güvenlik risk yönetimi
- Endüstriyel varlık, değişim ve konfigürasyon yönetimi
- Endüstriyel kimlik ve erişim yönetimi
- Endüstriyel olay yönetimi ve süreklilik
- Akıllı cihaz güvenliği
- Endüstriyel operasyon güvenliği
- İnsan kaynakları güvenliği
- Fiziksel güvenlik
- Tedarikçi güvenliği
- PLC güvenliği – (Elektrik Üretim, Doğal Gaz Dağıtım ve Rafinerilere uygulanır)
Kapsama Dahil Kurumların Yükümlülüklerini Yerine Getirmek Periyodu Nedir ?
| Zorunlu Tamamlanma Süresi | |||
| Seviye | Açıklama | Elektrik | Doğal Gaz |
| Seviye 1 | Giriş seviyesi kontroller, bu seviyede yer alır. İlgili kontrollerin hali hazırda uygulandığı ya da kolayca uygulanabileceği değerlendirilen maddeler bu seviyede toplanır. | 12 Ay | 18 Ay |
| Seviye 2 | İkinci aşama kontroller, bu seviyede yer alır. İlgili kontrollerin uygulanabilmesi için yükümlü kuruluş sistemlerinde veya süreçlerinde değişiklik yapılmasını gerektiren maddeler bu seviyede toplanır. | 18 Ay | 24 Ay |
| Seviye 3 | Üçüncü seviye kontroller, bu seviyede yer alır. Bu seviyede yer alan kontroller yeni bir projelendirme ya da uzun soluklu değişim gerektirir. | 24 Ay | 30 Ay |
| Ek Kontrol | Zorluk derecesi yüksek ya da uygulanması faydalı olabileceği değerlendirilen kontroller, bu seviyede toplanmış olup uygulanması zorunlu değildir. | – | – |
Yönetmelik Ne Zaman Hazırlandı ?
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği; 20/2/2001 tarihli ve 4628 sayılı Enerji Piyasası Düzenleme Kurumunun Teşkilat ve Görevleri Hakkında Kanunun 5 inci, 5/A ve 5/B maddelerine dayanılarak hazırlanmıştır.
Black-Start Nedir ve Neden Önemlidir ?
Geçici kabulü yapılmış, Black-Start özelliğine sahip olup ulusal şebekeye katkı verebilecek olan elektrik üretim tesisi sahibi tüzel kişilerden oluşan kuruluşlar bu yönetmelik hükümlerine tabidir. Peki Black-Start nedir ? Black-start, bir elektrik santralinin veya elektrik şebekesinin bir bölümünün, tamamen veya kısmen kapandığında, harici elektrik güç iletim şebekesinden destek almadan yeniden başlatılması işlemidir. Bu, elektrik şebekesi arızaları, doğal afetler veya siber saldırılar gibi çeşitli nedenlerden dolayı elektrik kesintilerinin ardından gerekli olabilir. Black-start, genellikle dizel jeneratörler veya hidroelektrik santraller gibi kendi kendine yeten güç kaynakları kullanılarak gerçekleştirilir. Bu kaynaklar, şebekenin geri kalanına elektrik sağlamak için kullanılır ve diğer elektrik santralleri ve şebeke bileşenleri sırayla devreye alınır. Black-start, elektrik kesintilerinin etkilerini sınırlamak ve elektrik şebekesinin güvenilirliğini ve esnekliğini artırmak için önemlidir. Aşağıdakiler de dahil olmak üzere birçok fayda sağlar:
- Elektrik kesintilerinin süresini ve etkisini azaltır.
- Elektrik şebekesinin daha hızlı ve daha güvenli bir şekilde geri yüklenmesini sağlar.
- Kritik altyapının ve hizmetlerin elektrik kesintilerine karşı korunmasına yardımcı olur.
- Elektrik şebekesinin siber saldırılara karşı daha dirençli olmasını sağlar.
