|
ENERJİ SEKTÖRÜNDE SİBER
GÜVENLİK
YETKİNLİK MODELİ
YÖNETMELİĞİ
BİRİNCİ BÖLÜM
Başlangıç Hükümleri
Amaç
MADDE 1- (1)
Bu Yönetmeliğin amacı; enerji sektöründe kullanılan endüstriyel kontrol
sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere
göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya
ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve
olgunluğuna ilişkin usul ve esasları düzenlemektir.
Kapsam
MADDE 2- (Değişik:RG-28/1/2024-32443)
(1) Bu Yönetmelik;
elektrik iletim lisansı sahibi, elektrik dağıtım lisansı sahibi, kabulü
yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir
elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim
lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım
lisansı sahibi, doğal gaz depolama lisansı sahibi (LNG, yer altı), ham
petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişilerin
endüstriyel kontrol sistemlerinin güvenliğinin ve güvenilirliğinin
sağlanmasına ilişkin uygulanacak hükümleri kapsar.
(2) Kabulü
yapılmış, Black-Start özelliğine sahip olup ulusal şebekeye katkı
verebilecek olan elektrik üretim tesisi sahibi tüzel kişiler, bu Yönetmelik
kapsamındadır.
(3) Kabulü
yapılmış, TEİAŞ SCADA/EMS Sistemi ile seri tabanlı iletişim yöntemlerini
kullanmadan haberleşmekte olan elektrik üretim tesisi sahibi tüzel kişiler,
bu Yönetmelik kapsamındadır.
(4) OSB dağıtım
lisansı sahipleri ile OSB üretim lisansı sahipleri kapsam dışındadır.
Dayanak
MADDE 3- (1)
Bu Yönetmelik; 20/2/2001 tarihli ve 4628 sayılı Enerji Piyasası Düzenleme
Kurumunun Teşkilat ve Görevleri Hakkında Kanunun 5 inci, 5/A ve 5/B
maddelerine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 4- (1)
Bu Yönetmelikte geçen;
a) Başkan: Enerji
Piyasası Düzenleme Kurumu Başkanını,
b) Bilgi ve
İletişim Güvenliği Rehberi: Cumhurbaşkanlığı Dijital Dönüşüm Ofisi
tarafından yayımlanan ve bünyesinde bilgi işlem birimi barındıran veya
bilgi işlem hizmetlerini sözleşmeler çerçevesinde üçüncü taraflardan alan,
Devlet teşkilatı içerisinde yer alan kurum ve kuruluşlar ile kritik altyapı
hizmeti veren işletmeler tarafından uyulması gereken bilgi ve iletişim
güvenliği tedbirlerini içeren rehberi,
c) Bilgi ve
İletişim Güvenliği Denetim Rehberi: Cumhurbaşkanlığı Dijital Dönüşüm Ofisi
tarafından hazırlanan ve Bilgi ve İletişim Güvenliği Rehberi çalışmalarının
denetim usul ve esaslarını tanımlayan rehberi,
ç) Endüstriyel
kontrol sistemi (EKS): Enerjinin üretilmesi, enerji sağlayan ham petrol,
taş kömürü ve benzeri hammaddelerin işlenip tüketime hazır hale
getirilmesi, enerjinin iletim veya dağıtım katmanları aracılığı ile
aktarılması gibi süreçlerin bir veya birden fazla merkezden izlenmesini,
bazen de yönetilmesini sağlayan, kendisi ve/veya bileşenleri bilinen
işletim sistemleri üzerinde çalışan ya da bilinen zafiyetleri bulunan özel
işletim sistemine sahip yönetim ve kontrol sistemlerini (Veri Tabanlı
Kontrol ve Gözetleme Sistemi “SCADA”, Dağıtılmış Kontrol Sistemi “DKS”,
Gelişmiş Süreç Kontrol Sistemi “APC”, Programlanabilir Mantık Kontrolcüsü
“PLC”, Uzak Terminal Ünitesi “RTU” ve benzeri),
d) İlgili
mevzuat: Enerji piyasasına ilişkin kanun, yönetmelik, tebliğ, genelge,
lisans ve Kurul kararlarını,
e) Kanun:
20/2/2001 tarihli ve 4628 sayılı Enerji Piyasası Düzenleme Kurumunun
Teşkilat ve Görevleri Hakkında Kanunu,
f) Kritik
Altyapılar Ulusal Test Yatağı Merkezi: Sakarya Üniversitesi bünyesinde
kurulan kritik enerji altyapılarının modellenmesi ve güvenliği ile ilgili
koruyucu ve önleyici çözümlerin araştırılması ve geliştirilmesi amacıyla
kurulan merkezi,
g) Kurul: Enerji
Piyasası Düzenleme Kurulunu,
ğ) Kurum: Enerji
Piyasası Düzenleme Kurumunu,
h) Yükümlü
kuruluş: 2 nci maddede tanımlanan sorumlu tüzel kişileri,
ı) (Ek:RG-28/1/2024-32443) Black-Start: Bir elektrik
santralinin veya bir elektrik şebekesinin bir bölümünün, tamamen veya
kısmen kapandığında, harici elektrik güç iletim şebekesinin desteği olmadan
yeniden başlatılmasını,
i) (Ek:RG-28/1/2024-32443)EMS: Enerji yönetim
sistemini,
j) (Ek:RG-28/1/2024-32443) Seri tabanlı
iletişim: Veri aktarımında bir iletişim kanalı veya bilgisayar veriyolu
üzerinden sırayla, her seferinde bir bit veri gönderme işlemini,
ifade eder.
(2) Bu
Yönetmelikte geçen ve birinci fıkrada yer almayan tanım ve kısaltmalar için
ilgili mevzuatta yer alan tanım ve kısaltmalar geçerlidir.
İKİNCİ BÖLÜM
İlişkili Düzenlemeler,
Yetkinlik Modeli Ana Kontrolleri, Yetkinlik Seviyeleri,
Sektörel Kritiklik
Derecesi Belirleme
İlişkili
düzenlemeler
MADDE 5- (1)
Yetkinlik modeli, aşağıda listelenen düzenleme ve uyumluluk
gereksinimlerini adresler:
a) Bilgi ve
İletişim Güvenliği Rehberi: Yükümlü kuruluşlar, bilgi sistemleri altyapı
uyumluluğu için Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından
hazırlanan bu rehberi referans alır.
b) Enerji Sektöründe
Kullanılan Endüstriyel Kontrol Sistemleri İçin Güvenlik Analiz ve Test Usul
ve Esasları: Yetkinlik modeli, bu Kurul kararına uyumluluk usul ve
esaslarını kapsar.
c) TS ISO/IEC
27001: Yetkinlik modeli kapsamında TS ISO/IEC 27001 uyumluluğunun devamı
sağlanır. Modele kapsayıcı ve EKS odaklı yeni kontroller eklenmiştir.
ç) TS EN ISO/IEC
27019: Yetkinlik modeli kapsamına EKS odaklı yeni kontroller eklenmiştir.
d) Enerji
sektöründe EKS güvenlik kontrolleri: Yetkinlik modeli kapsamında bu
dokümanda yer alan kontroller kapsamlı olarak ele alınır.
Yetkinlik
modeli ana kontrol başlıkları
MADDE 6- (1)
Yetkinlik modeli, enerji alt sektörleri özelinde farklılık göstermekle
birlikte aşağıda listelenen başlıklardan oluşur:
a) Endüstriyel ağ
güvenliği; endüstriyel altyapılar için yerel ağ güvenliği, geniş alan ağı
güvenliği, iletişim güvenliği, protokol güvenliği, kablosuz ağ güvenliği,
entegrasyon güvenliği kontrollerini içerir.
b) Endüstriyel
istemci ve sunucu güvenliği; endüstriyel altyapıda yer alan tüm istemci ve
sunuculara ilişkin mantıksal ve fiziksel güvenlik kontrollerini içerir.
c) Endüstriyel
tehdit ve zafiyet yönetimi; endüstriyel altyapılarda uygulanan tehdit ve
zafiyet yönetimi kontrollerini içerir.
ç) Endüstriyel
siber güvenlik risk yönetimi; endüstriyel altyapının dinamiklerine uygun
endüstriyel siber güvenlik risk yönetimi kontrollerini içerir.
d) Endüstriyel
varlık, değişim ve konfigürasyon yönetimi; endüstriyel altyapılarda bulunan
varlıkların yönetimi, bileşenlerin değişim ve konfigürasyon yönetimi kontrollerini
içerir.
e) Endüstriyel
kimlik ve erişim yönetimi; endüstriyel altyapıda bulunan bileşenler için
kimlik ve erişim yönetimi kontrollerini içerir.
f) Endüstriyel
olay yönetimi ve süreklilik; endüstriyel siber güvenlik olay yönetimi, süreklilik,
yedekleme ve yedeklilik kontrollerini içerir.
g) Akıllı cihaz
güvenliği; sayaç ve nesnelerin interneti teknolojisinin kullanıldığı
endüstriyel altyapılar için güvenlik kontrollerini içerir.
ğ) Endüstriyel
operasyon güvenliği; endüstriyel operasyon güvenliğine yönelik kontrolleri
içerir.
h) İnsan
kaynakları güvenliği; kritik enerji altyapılarında çalışan tüm personel
için istihdam öncesi, sırası ve sonrasında uygulanması gereken kontrolleri
içerir.
ı) Fiziksel
güvenlik; endüstriyel altyapıların sektörlerine uygun, dağıtık veya tekil
yapıdaki fiziksel ortamların güvenlik kontrollerini içerir.
i) Tedarikçi
yönetimi; endüstriyel altyapılar için teknoloji, insan ve altyapı
tedarikçilerine ilişkin siber güvenlik kontrollerini içerir.
j) PLC güvenliği;
PLC güvenliğine ilişkin güvenlik kontrollerini içerir.
(2) Her bir ana
kontrol başlığı kendi içerisinde alt kontrol başlıklarına bölünerek ele
alınır.
Yetkinlik
seviyeleri
MADDE 7- (1)
Yetkinlik modeli kapsamında üç temel yetkinlik seviyesi bulunmakta olup
yükümlü kuruluşların sahip olmaları gereken yetkinlik seviyesi, Kurum
tarafından belirlenen sektörel kritiklik dereceleri ile tespit edilir. Her
bir seviye için açıklamalar aşağıdaki şekildedir:
a) Seviye 1:
Giriş seviyesi kontroller, bu seviyede yer alır. İlgili kontrollerin hali
hazırda uygulandığı ya da kolayca uygulanabileceği değerlendirilen maddeler
bu seviyede toplanır. Bu seviyede yer alan maddeleri, hedeflenen tamamlama
süresinde uygulamak zorunludur.
b) Seviye 2:
İkinci aşama kontroller, bu seviyede yer alır. İlgili kontrollerin
uygulanabilmesi için yükümlü kuruluş sistemlerinde veya süreçlerinde
değişiklik yapılmasını gerektiren maddeler bu seviyede toplanır. Bu
seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak
zorunludur.
c) Seviye 3:
Üçüncü seviye kontroller, bu seviyede yer alır. Bu seviyede yer alan
kontroller yeni bir projelendirme ya da uzun soluklu değişim gerektirir. Bu
seviyede yer alan maddeleri, hedeflenen tamamlama süresinde uygulamak
zorunludur.
ç) Ek kontrol:
Zorluk derecesi yüksek ya da uygulanması faydalı olabileceği
değerlendirilen kontroller, bu seviyede toplanmış olup uygulanması zorunlu
değildir.
(2) Her bir
seviyede yer alan kontrollerin uygulanması için hedeflenen tamamlama
süresi; enerji alt sektörlerine göre farklılık göstermekte olup bu
Yönetmelik eklerinde yer alan sektörel yetkinlik modeli dokümanlarında
açıklanır.
(3) Üç yıllık
periyotlarda, Kurum tarafından yapılacak güncellemeler ile kontrol
maddeleri ve kontrol maddeleri için tespit edilen yetkinlik seviyeleri
değiştirilebilir.
Sektörel
kritiklik derecesi belirleme
MADDE 8- (1)
Yükümlü kuruluşların zorunlu olarak gerçekleştirmeleri gereken kontrol
maddeleri belirlenirken aşağıdaki tablolarda yer alan sınıflandırma
kullanılır:
|
Sektör
|
Asgari Seviye
|
Kritiklik Derecesi
|
|
Elektrik Dağıtım
|
Seviye 2
|
Yükümlü kuruluşa özel
|
|
Doğal Gaz Dağıtım
|
Seviye 1
|
Yükümlü kuruluşa özel
|
|
(Ek
satır:RG-28/1/2024-32443) Elektrik Üretim
|
Seviye 1
|
Yükümlü kuruluşa özel
|
|
(Ek
satır:RG-28/1/2024-32443) Rafineri
|
Seviye 3
|
Yükümlü kuruluşa özel
|
|
(Ek satır:RG-8/9/2024-32656) Doğal Gaz Depolama
|
Seviye 1
|
Yükümlü kuruluşa özel
|
|
(Ek satır:RG-8/9/2024-32656) Doğal Gaz ve Ham
Petrol İletim
|
Seviye 3
|
Yükümlü kuruluşa özel
|
|
(Ek satır:RG-8/9/2024-32656) Elektrik İletim
|
Seviye 3
|
Yükümlü kuruluşa özel
|
|
|
|
|
Kritiklik Derecesi
|
Açıklama
|
Asgari Seviye
|
|
A Sınıfı
|
İlgili sektörde
kritiklik derecesi en yüksek olan yükümlü kuruluşların sınıfını ifade
eder.
|
Seviye 3
|
|
B Sınıfı
|
İlgili sektörde kritiklik
derecesi orta olan yükümlü kuruluşların sınıfını ifade eder.
|
Seviye 2
|
|
C Sınıfı
|
İlgili sektörde
kritiklik derecesi beklenen seviyede olan yükümlü kuruluşların sınıfını
ifade eder.
|
Seviye 1
|
(2) Birinci
fıkrada yer alan tablolardaki sınıflandırma, sektörün asgari yetkinlik
seviyesi ve sektörde yer alan yükümlü kuruluşların kritiklik derecesinden
oluşur. Asgari seviye parametresi, sektörel olarak belirlenmekte olup
yükümlü kuruluşlar bu seviyeye uyumlu hareket eder. Kritiklik derecesi ise
Kurumca çeşitli parametreler kullanılarak belirlenmekte olup belirlenen
kritiklik derecelerine göre uygulanan asgari kontrol maddelerine yeni
kontroller eklenebilir.
(3) Sektörlerin
kritiklik derecelendirmesinde kullanılan parametreler, Kurum tarafından üç
yıllık periyotlarda güncellenebilir, bu periyotların sonunda yapılan
değerlendirmelerde yükümlü kuruluşların kritiklik dereceleri değişebilir.
ÜÇÜNCÜ BÖLÜM
Yetkinlik Modeli Uygulama,
Uyumluluk ve Denetim
Uygulama
MADDE 9- (1)
Yetkinlik modeli uygulama yükümlülüğü, Kurum tarafından kritiklik
dereceleri belirlenip yükümlü kuruluşlara tebliğ edildiğinde başlar.
(2) Yükümlü
kuruluşlar, kritiklik dereceleri ve sektörleri özelinde hazırlanmış olan
yetkinlik modeli asgari seviye kontrolleri kapsamında yükümlülüklerini gerçekleştirir.
(3) Yükümlü
kuruluşlar, hedeflenen tamamlama süresinde uygulamakla yükümlü oldukları
kontrolleri değerlendirirken aşağıda yer alan uyum sınıflandırmasını
kullanır.
a) Tam uyum: Yetkinlik
modeli kapsamında yer alan ana kontrol başlıklarında bulunan her bir
kontrol maddesine ilişkin gereksinimin modelde yazıldığı şekilde
karşılanması durumudur.
b) Kısmen uyum:
Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her
bir kontrol maddesine ilişkin gereksinimin tam olarak karşılanamadığı,
geçici ya da iyileştirici önlemlerin uygulandığı durumdur.
c) Uyumsuz:
Yetkinlik modeli kapsamında yer alan ana kontrol başlıklarında bulunan her
bir kontrol maddesine ilişkin gereksinimin hiçbir şekilde karşılanamadığı
durumdur.
ç) Kapsam
dışı: Yetkinlik modeli kapsamında yer alan alt kontrol başlıklarında
birbirine alternatif olabilecek teknoloji veya yöntem bulunması durumunda
yükümlü kuruluşta mevcut bulunan teknoloji ve yönteme uygun kontrollerin
uygulanması, diğer alternatif teknoloji ve yöntemlere ilişkin kontrol
maddelerinin kapsam dışı bırakılması durumudur.
(4) Yükümlü
kuruluşlar, yükümlü oldukları kontrol maddelerine hedeflenen tamamlama
süresi sonunda tam uyumlu olmak zorundadır.
(5) Kontrollerin
uygulanmasında hedeflenen tamamlama süresi, aşağıda adları belirtilen
sektörler özelinde hazırlanan ve (Değişik
ibare:RG-8/9/2024-32656) Ek-1,
Ek-1a, Ek-2, Ek-2a, Ek-3, Ek-3a Ek-4, Ek-5, Ek-6 ile Ek-7’de yer
alan yetkinlik modeli dokümanlarında açıklanır:
a) Elektrik
Dağıtım Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
b) Doğal Gaz
Dağıtım Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
c) (Ek:RG-28/1/2024-32443) Elektrik Üretim
Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
ç) (Ek:RG-28/1/2024-32443) Rafineri Sektörü
Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
d) (Ek:RG-8/9/2024-32656)
Doğal Gaz Depolama Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri.
e) (Ek:RG-8/9/2024-32656)
Doğal Gaz ve Ham Petrol İletim Sektörü Siber Güvenlik Yetkinlik Modeli
Teknik Kontrol Maddeleri.
f) (Ek:RG-8/9/2024-32656)
Elektrik İletim Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol
Maddeleri.
Uyumluluk ve denetim
MADDE
10- (1) Yükümlü kuruluşların yetkinlik modeline uyumluluğu üç
aşamada gerçekleştirilir. Bu aşamalar şunlardır:
a) Öz
denetim/fark analizi: Öz denetimler, yükümlü kuruluşların ilgili kontrol
maddelerini kendi iç kaynakları ile denetlemesi sürecidir. Bu aşama, bir
fark analizi olarak değerlendirilir. Bu sürecin, yükümlülüklerin
başlamasından itibaren üç ay içerisinde tamamlanması gerekir.
b) Sektörel
denetim: Sektörel denetimler, Kurumun bu Yönetmelik kapsamında belirlediği
şartlara uyan firma ve personeli tarafından gerçekleştirilen çalışmalardır.
Bu çalışmalar, bağımsız denetim olarak değerlendirilir.
c) Kurum
denetimleri: Kurumun; öz kaynakları ile denetçi firmaları ve yükümlü
kuruluşları denetlediği çalışmalardır. Bu çalışmalar çapraz denetim ya da
kontrol denetimi olarak değerlendirilir. Kurum, bu denetimleri süreç
içerisinde her zaman yapabilir.
(2) Yükümlü
kuruluşlar, öz denetim/fark analizini tamamladıktan sonra en geç bir ay
içerisinde Kuruma raporlarını Enerji Piyasası Bildirim Sistemi aracılığı
ile iletir.
(3) Yükümlü
kuruluşlar, her bir yetkinlik seviyesinde yer alan kontroller için;
tanımlanan uygulama süreleri sonunda (Ek
ibare:RG-28/1/2024-32443) en geç bir ay içerisinde Kuruma
ilerleme raporlarını enerji piyasası bildirim sistemi aracılığı ile iletir.
(4) (Değişik:RG-8/9/2024-32656)
Yükümlü kuruluşlar, sektörel denetimleri,
yetkinlik modeline uygun seviye süreçlerini tamamlamalarından itibaren on
iki ay içerisinde yetkilendirilmiş denetim firmalarına yaptırarak, denetim
raporlarını en geç bir ay içerisinde Kuruma Enerji Piyasası Bildirim
Sistemi aracılığı ile iletir.
(5) Yükümlü
kuruluşlar, belirlenen asgari yetkinlik seviyesine ulaşmalarının ardından
bu Yönetmelik eklerinde sektörler özelinde hazırlanan yetkinlik modeli
dokümanlarında yer alan hedeflenen tamamlama süresi periyotlarında,
sektörel denetimlerini tekrarlamak zorundadır.
(6) (Değişik:RG-8/9/2024-32656)
Yükümlü kuruluşlar, yetkinlik seviyelerinde
yer alan kontroller için danışmanlık hizmeti almaları durumunda yapılacak
ilk sektörel denetimi, danışmanlık hizmeti aldıkları firma ile
gerçekleştiremez. Öz denetim/fark analizi çalışmaları danışmanlık hizmeti
kapsamında değerlendirilmez. Danışmanlık ve sektörel denetim hizmetleri,
alt yüklenici kullanmak suretiyle de gerçekleştirilemez.
(7) Sektörel
denetim, aynı firma ile üst üste en fazla üç kez gerçekleştirilebilir.
Denetçi firma
ve personelinde aranacak yetkinlikler
MADDE
11- (1) Bilgi ve İletişim Güvenliği Denetim Rehberinde hizmet
alımı ile oluşturulan denetim ekibi için belirlenen kriterlere ek olarak,
yetkinlik modeli denetimlerini yapacak firma personelinde Kritik Altyapılar
Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimleri sonrası başarı
sertifikası aranır.
Denetçi
firmanın yetki başvurusu sırasında Kuruma sunması gereken bilgi ve belgeler
MADDE
12- (1) Yetkinlik modeli denetimi faaliyetinde bulunmak isteyen
firmaların, taleplerini başvuru dilekçesi ile Kuruma iletmeleri gerekir.
Kuruma verilecek başvuru dilekçesine 11 inci maddede belirtilen bilgi ve
belgeler eklenir.
Denetim yapma
yetkisinin verilmesi
MADDE
13- (1) Yetkinlik modeli denetimi yapmak üzere Kuruma başvuruda
bulunan firmalar, 12 nci maddede belirtilen bilgi ve belgeler çerçevesinde
Kurum tarafından değerlendirilir. Mesleki ve teknik açıdan
yeterliliklerinin tespitine yönelik olarak Kurum tarafından yapılacak
değerlendirme sonucunda denetim faaliyetlerini yürütebilecek yeterliliğe
sahip olduklarının tespit edilmesi halinde firmaya, denetim yapma yetki
sertifikası verilir ve bu firma yetkinlik modeli denetim kuruluşları
listesine eklenir.
(2) Yetki
başvurularının değerlendirilmesi sürecinde, Kurum tarafından gerekli
görülmesi halinde ilave bilgi ve belgeler talep edilebilir. Talep edilen
bilgi ve belgeler yetkinin verilmesine ilişkin değerlendirmelerde dikkate
alınır.
(3) Bu Yönetmelik
kapsamında denetim yapma yetkisinin alınmasını sağlayan unsurların
devamlılığı esastır. Kurum gerekli gördüğü durumlarda bu unsurların
varlığını her zaman kontrol edebilir.
(4) Bu Yönetmelik
kapsamında denetim yapma yetkisi verilen firmaların unvanları, Kurumun
internet sitesinde yayımlanır.
Denetim yapma
yetkisinin kaldırılması
MADDE
14- (1) Denetçi firma, (Değişik
ibare:RG-28/1/2024-32443) 12 nci madde kapsamında sahip
olması gereken nitelikleri gösterir bilgi ve belgeleri altı aylık
periyotlarda Kuruma resmî olarak iletmekle yükümlüdür.
(2) Denetçi
firma, 12 nci madde kapsamında sahip olması gereken niteliklerin bir veya
birkaçını kaybetmesi durumunda en geç bir hafta içerisinde Kurumu resmî
olarak bilgilendirir. Söz konusu bilgilendirmenin süresi içinde
yapılmadığının tespiti durumunda ilgili firmanın denetim yapma yetkisi sona
erdirilir ve tespitin yapıldığı tarihten itibaren ilgili firma üç yıl süre
ile denetçi firma yetkisi alamaz.
(3) Denetçi
firmanın Kurum tarafından istenilen bilgi ve belgeleri, Kuruma vermemesi
halinde denetim yapma yetkisi sona erdirilir.
(4) Firma,
denetim yetkisinin sona erdirilmesinin ardından yeniden yetki talebinde
bulunursa 12 nci ve 13 üncü madde hükümleri uygulanır.
(5) Bu Yönetmelik
kapsamında denetim yapma yetkisi sona erdirilen firmaların unvanları
Kurumun internet sitesinde yayımlanır.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Düzenlemeler
MADDE
15- (1) Yükümlü kuruluşların EKS’lere yönelik risklerinin tespiti
için yaptırdıkları güvenlik analizi ve testlerinin usul ve esaslarını
belirlemeye Kurul yetkilidir.
(2) Enerji
sektöründe EKS güvenlik kontrolleri, Kurul tarafından belirlenip Kurum
internet sitesinde yayımlanır.
Yürürlükten
kaldırılan yönetmelik ve atıflar
MADDE
16- (1) 13/7/2017 tarihli ve 30123 sayılı Resmî Gazete’de
yayımlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde
Bilişim Güvenliği Yönetmeliği yürürlükten kaldırılmıştır.
(2) Mevzuatta,
birinci fıkra ile yürürlükten kaldırılan Enerji Sektöründe Kullanılan
Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliğine yapılan
atıflar bu Yönetmeliğe yapılmış sayılır.
Yürürlük
MADDE
17- (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE
18- (1) Bu Yönetmelik hükümlerini Enerji Piyasası Düzenleme Kurumu
Başkanı yürütür.
Ekleri
için tıklayınız
|