Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği Uyum Denetim Hizmeti Vermeye Aday Firma.
ENERJİ SEKTÖRÜ SİBER GÜVENLİK YETKİNLİK MODELİ UYUM DENETİMİ (Aday Firma)
TRSİBER Bilişim ve Danışmanlık A.Ş., 6 Haziran 2023 tarih 32213 sayılı Resmî Gazetede yayınlanan, EPDK Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği kapsamında EPDK tarafından belirlenen tüm isterleri yerine getirerek "Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği Uyum Denetim hizmeti" vermeye aday firma olmuştur. Firmamız, Söz konusu yönetmelik kapsamında bulunan kuruluşların, dışarıdan bakan üçüncü gözü olarak, siber dayanıklılıklarını arttırmak için titizlikle ve özveriyle çalışarak, denetim hizmetlerini yerine getirecektir. Firma olarak; güvenliğin yalnızca içeriden sağlanmasının her zaman yeterli olmayabileceğini, kurum içi körlük, alışkanlıklar veya bilgi eksikliği gibi kavramlardan dolayı alınan önlemlerin gerçek tehditlere karşı etkinliğini azaltabileceğini iyi bilmekteyiz. Firmamız tarafından gerçekleştirilecek denetimler sayesinde; güvenlik açıkları daha objektif biçimde tespit edilir, politika, prosedür ve uygulama arasındaki farklar ortaya çıkarılır, ilgili yönetmelik standartlarına uygunluk değerlendirilir. En önemlisi, tecrübeli ekibimizle sunacağımız bağımsız denetimlerle, alınan önlemlerin gerçekten işe yarayıp yaramadığı test edilebilecektir. Yapacağımız bağımsız denetimler, sadece sorunları göstermekle kalmaz; aynı zamanda kurumsal farkındalığı artırır, yönetim kadrosunun konuya daha ciddi yaklaşmasını sağlar ve sürekli iyileştirme için bir zemin hazırlar.
ENERJİ SEKTÖRÜNDE SİBER GÜVENLİK YETKİNLİK MODELİ YÖNETMELİĞİ GENEL TANITIM
Bu yönetmelik enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini iyileştirmeyi, asgari kabul edilebilir güvenlik seviyesini tanımlamayı ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esasları düzenlemeyi amaçlamaktadır.
Bu yönetmelik 28.01.2024 ve 08.09.2024 tarihlerinde 2 defa güncellenmiştir. Bu yönetmelikle enerji sektöründe var olan kuruluşların siber güvenliğinin sağlanması konusundaki usul ve esasların düzenlemesi hedeflenmektedir. Yetkinlik modeli;
• Endüstriyel ağ güvenliği,
• Endüstriyel istemci ve sunucu güvenliği,
• Endüstriyel tehdit ve zafiyet yönetimi,
• Endüstriyel siber güvenlik risk yönetimi,
• Endüstriyel varlık, değişim ve konfigürasyon yönetimi,
• Endüstriyel kimlik ve erişim yönetimi,
• Endüstriyel olay yönetimi ve süreklilik,
• Akıllı cihaz güvenliği, endüstriyel operasyon güvenliği,
• İnsan kaynakları güvenliği,
• Fiziksel güvenlik,
• Tedarikçi yönetimi
• PLC güvenliği adı altında 13 ana kontrol başlığından oluşmaktadır.
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği Kapsamı
• Elektrik iletim lisansı sahibi,
• Elektrik dağıtım lisansı sahibi,
• Geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi,
• Boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi,
• Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi,
• Doğal gaz depolama lisansı sahibi (LNG, yer altı),
• Ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi
• Kabulü yapılmış, Black-Start özelliğine sahip olup ulusal şebekeye katkı
verebilecek olan elektrik üretim tesisi sahibi tüzel kişiler,
• Kabulü yapılmış, TEİAŞ SCADA/EMS Sistemi ile seri tabanlı iletişim yöntemlerini kullanmadan haberleşmekte olan elektrik üretim tesisi sahibi tüzel kişiler, bu yönetmelik kapsamındadır.
Bu yönetmelikte şimdilik OSB’ler kapsam dışı bırakılmıştır. Yönetmelik, sektörleri ve kuruluşları sınıflandırarak, bir takvim belirleyip, tedbirlerin hangi tarih aralığında ve ne şekilde yapılacağını da belirlemiştir.
Yükümlü kuruluşlar, yükümlü oldukları kontrol maddelerine hedeflenen tamamlama süresi sonunda tam uyumlu olmak zorundadır.
Yönetmelik Uygulama Süreleri:
Yükümlü kuruluşların yetkinlik modeline uyumluluğu üç aşamada gerçekleştirilir. Bu süreç EPDK’nın kapsam dahilinde olan kuruluşlara tebliğde bulunduğu 1 Mart 2024 tarihinde başlamıştır.
Öz denetim Raporu süresi:
Seviye 1,2,3 = 3 ay + 1 ay (EBİS Bildirim Sisteme Giriş)
Projelendirme Süreleri:
Yetkinlik modeli kapsamında üç temel yetkinlik seviyesi bulunmakta olup yükümlü kuruluşların sahip olmaları gereken yetkinlik seviyesi, Kurum tarafından belirlenen sektörel kritiklik dereceleri ile tespit edilir.
a) Seviye 1: Giriş seviyesi kontroller, bu seviyede yer alır.
b) Seviye 2: İkinci aşama kontroller, bu seviyede yer alır..
c) Seviye 3: Üçüncü seviye kontroller, bu seviyede yer alır.
ç) Ek kontrol: Zorluk derecesi yüksek ya da uygulanması faydalı olabileceği değerlendirilen kontroller, bu seviyede toplanmış olup uygulanması zorunlu değildir.
Yükümlü kuruluşların zorunlu olarak gerçekleştirmeleri gereken kontrol maddeleri belirlenirken aşağıdaki tablolarda yer alan sınıflandırma kullanılır. Bu tablolardaki sınıflandırma, sektörün asgari yetkinlik seviyesi ve sektörde yer alan yükümlü kuruluşların kritiklik derecesinden oluşur.
Sektörlerin kritiklik derecelendirmesinde kullanılan parametreler, Kurum tarafından üç yıllık periyotlarda güncellenebilir, bu periyotların sonunda yapılan değerlendirmelerde yükümlü kuruluşların kritiklik dereceleri değişebilir
Yükümlü kuruluşların yetkinlik modeline uyumluluğu üç aşamada gerçekleştirilir.
Bu aşamalar şunlardır:
a) Öz denetim/fark analizi: Öz denetimler, yükümlü kuruluşların ilgili kontrol maddelerini kendi iç kaynakları ile denetlemesi sürecidir. Bu aşama, bir fark analizi olarak değerlendirilir. Bu sürecin, yükümlülüklerin başlamasından itibaren üç ay içerisinde tamamlanması gerekir.
b) Sektörel denetim: Sektörel denetimler, Kurumun bu Yönetmelik kapsamında belirlediği şartlara uyan firma ve personeli tarafından gerçekleştirilen çalışmalardır. Bu çalışmalar, bağımsız denetim olarak değerlendirilir.
c) Kurum denetimleri: Kurumun; öz kaynakları ile denetçi firmaları ve yükümlü kuruluşları denetlediği çalışmalardır. Bu çalışmalar çapraz denetim ya da kontrol denetimi olarak değerlendirilir. Kurum, bu denetimleri süreç içerisinde her zaman
yapabilir.