EPDK Siber Güvenlik Olgunluk Modeli Yönetmeliği

Enerji sektörünün siber güvenliğini sağlamak, hem ulusal güvenlik hem de ekonomik istikrar açısından büyük önem taşımaktadır. Gelişen teknoloji ile birlikte siber tehditlerin çeşitlenmesi ve artması, enerji sektöründeki firmaların güvenliklerini sürekli olarak gözden geçirmelerini ve güncellemelerini gerektirmektedir. EPDK (Enerji Piyasası Düzenleme Kurumu) tarafından geliştirilen Siber Güvenlik Olgunluk Modeli, bu ihtiyacı karşılamak amacıyla oluşturulmuştur.

Amaç

Bu yönetmeliğin amacı, enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin (EKS) siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmek, minimum kabul edilebilir güvenlik seviyesini tanımlamak ve siber dayanıklılığı ve olgunluğu sağlamaktır.

Kapsam

Yönetmelik, elektrik iletim lisansı sahipleri, elektrik dağıtım lisansı sahipleri, kurulu gücü 100 MWe ve üzeri olan elektrik üretim tesisleri sahipleri, doğal gaz iletim lisansı sahipleri, doğal gaz dağıtım ve depolama lisansı sahipleri, ham petrol iletim lisansı sahipleri ve rafinerici lisansı sahiplerini kapsar. Bu kuruluşların endüstriyel kontrol sistemlerinin güvenliği ve güvenilirliğinin sağlanması için uygulanacak usul ve esasları belirler.

Hukuki Dayanak

Yönetmelik, 4628 sayılı Enerji Piyasası Düzenleme Kurumunun Teşkilat ve Görevleri Hakkında Kanun ve Ulusal Siber Güvenlik Stratejisi ve Eylem Planı’na dayanılarak hazırlanmıştır.

Tanımlar ve Kısaltmalar

Yönetmelikte geçen bazı temel tanımlar:

• Başkan: Enerji Piyasası Düzenleme Kurumu Başkanı.
• Bilgi ve İletişim Güvenliği Rehberi: Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından hazırlanan, kamu kurum ve kuruluşları ile kritik altyapıların uyması gereken bilişim güvenliği tedbirlerini içeren rehber.
• EKS: Enerji üretimi, iletimi ve dağıtımını izleyen ve yöneten sistemler (SCADA, DKS, APC, PLC, RTU vb.).

Olgunluk Modelinin Geliştirilme Sebebi

Enerji sektörü, ulusal güvenlik ve ekonomik istikrar için kritik öneme sahiptir. Bu sektörde meydana gelebilecek bir siber saldırı, geniş çaplı enerji kesintilerine, ekonomik zararlara ve toplumsal huzursuzluklara yol açabilir. EPDK Siber Güvenlik Olgunluk Modeli, bu riskleri en aza indirmek ve enerji sektörünün siber dayanıklılığını artırmak amacıyla geliştirilmiştir.

Olgunluk Modelinin Faydaları

Olgunluk modeli, enerji sektöründeki firmalar için birçok fayda sağlar:

1. Güvenlik Seviyesinin Artırılması: Firmalar, mevcut güvenlik seviyelerini değerlendirerek iyileştirmeler yapabilir ve siber tehditlere karşı daha dirençli hale gelebilir.
2. Düzenleyici Uyum: Firmalar, ulusal ve uluslararası düzenlemelere uyum sağlayarak yasal yükümlülüklerini yerine getirebilirler.
3. Operasyonel Süreklilik: Güçlü siber güvenlik önlemleri sayesinde, operasyonel aksaklıklar en aza indirilir ve hizmet sürekliliği sağlanır.
4. Güven Artışı: Güvenliğe yapılan yatırımlar, paydaşların ve müşterilerin firmaya duyduğu güveni artırır.
5. Rekabet Avantajı: Siber güvenlikteki olgunluk, firmalara rekabet avantajı sağlar ve sektördeki liderlik konumlarını güçlendirir.

Olgunluk Modeli Ana Kontrolleri

1. Endüstriyel Ağ Güvenliği: Yerel ağ güvenliği, geniş alan ağı güvenliği, iletişim güvenliği ve entegrasyon güvenliği.
2. Endüstriyel İstemci ve Sunucu Güvenliği: İstemci ve sunucuların mantıksal ve fiziksel güvenliği.
3. Endüstriyel Tehdit ve Zafiyet Yönetimi: Tehdit ve zafiyet yönetimi kontrolleri.
4. Endüstriyel Siber Güvenlik Risk Yönetimi: Risk yönetimi kontrolleri.
5. Endüstriyel Varlık Değişim ve Konfigürasyon Yönetimi: Varlık yönetimi, bileşen değişim ve konfigürasyon kontrolleri.
6. Endüstriyel Kimlik ve Erişim Yönetimi: Kimlik doğrulama ve kimlik yönetimi.
7. Endüstriyel Olay Yönetimi ve Süreklilik: Olay yönetimi, süreklilik ve yedeklilik kontrolleri.
8. Akıllı Cihaz Güvenliği: Sayaç ve IoT güvenlik kontrolleri.
9. Endüstriyel Operasyon Güvenliği: Operasyon güvenliği kontrolleri.
10. İnsan Kaynakları Güvenliği: Personel güvenlik kontrolleri.
11. Fiziksel Güvenlik: Fiziksel ortamların güvenlik kontrolleri.
12. Tedarikçi Yönetimi: Tedarikçilere ilişkin siber güvenlik kontrolleri.
13. PLC Güvenliği: PLC güvenlik kontrolleri.

Olgunluk Seviyeleri

Olgunluk modeli, üç temel olgunluk seviyesinden oluşur:

1. Seviye 1: Giriş seviyesi kontroller.
2. Seviye 2: İkinci aşama kontroller.
3. Seviye 3: Üçüncü seviye kontroller.
4. Ek Kontrol: Uygulanması zorunlu olmayan, faydalı kontroller.

Sektörel Kritiklik Derecesi Belirleme

Kuruluşların zorunlu kontrol maddeleri, sektörel kritiklik derecelerine göre belirlenir. Elektrik dağıtım sektörü için minimum seviye 2, doğal gaz dağıtım sektörü için minimum seviye 1 olarak belirlenmiştir. Kritiklik dereceleri A, B ve C sınıfı olarak sınıflandırılır.

Uygulama ve Uyumluluk

Kuruluşların olgunluk modeli uygulama yükümlülükleri, kritiklik dereceleri belirlenip tebliğ edildikten sonra başlar. Uyumluluk değerlendirmesi tam uyum, kısmen uyum, uyumsuz ve uygulanabilir değil olarak sınıflandırılır.

Denetim

Uyumluluk üç aşamada denetlenir:

1. Öz Denetim/Fark Analizi: Kuruluşların kendi iç denetimlerini gerçekleştirmeleri.
2. Sektörel Denetim: Bağımsız firmalar tarafından gerçekleştirilen denetimler.
3. Kurum Denetimleri: EPDK’nın kendi denetimlerini gerçekleştirmesi.

Denetçi Firma ve Personel Yetkinlikleri

Denetim yapacak firmaların ve personelin yetkinlikleri, Bilgi ve İletişim Güvenliği Denetim Rehberi ve Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimlerine dayalı olarak belirlenir.

Yaptırımlar

Yükümlülüklerini yerine getirmeyen kuruluşlar hakkında ilgili kanunlar uygulanır.

Yürürlük ve Yürütme

Bu Yönetmelik yayımı tarihinde yürürlüğe girer ve Enerji Piyasası Düzenleme Kurumu Başkanı tarafından yürütülür.

Secure Fors Siber Güvenlik Çözümleri

Enerji sektöründeki firmalar için EPDK Siber Güvenlik Olgunluk Modeline uyum sağlamak, güvenlik seviyelerini artırmak ve düzenleyici gereksinimlere uyum sağlamak için kritik öneme sahiptir. Secure Fors olarak, bu konuda danışmanlık hizmetleri sunuyoruz. Firmaların siber güvenlik olgunluk seviyelerini artırmaları, güvenlik açıklarını kapatmaları ve sürdürülebilir bir güvenlik yapısı kurmaları için profesyonel destek sağlıyoruz. Daha fazla bilgi için bizimle iletişime geçebilirsiniz:

📞 0850 305 4223

🌐 www.securefors.com

📩 bilgi@securefors.com