Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği’nin amacı nedir?
Yönetmelik; enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeyi, asgari kabul edilebilir güvenlik seviyesini tanımlamayı ve bu kontrol sistemlerinin siber dayanıklılığı ile olgunluğuna ilişkin usul ve esasları düzenlemeyi amaçlamanın yanı sıra, birden fazla standart ve mevzuat ile enerji kurum/kuruluşlarına getirilen yükümlülükleri tekilleştirmeyi amaçlamaktadır.
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği’nin mevzuat dayanağı nedir?
20/2/2001 tarihli ve 4628 sayılı Enerji Piyasası Düzenleme Kurumunun Teşkilat ve Görevleri Hakkında Kanunun 5 inci, 5/A ve 5/B maddeleri Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği’ne dayanak teşkil etmektedir.
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği’nin kapsamında hangi kurum ve kuruluşlar yer almaktadır?
Yönetmelik; elektrik iletim lisansı sahibi, elektrik dağıtım lisansı sahibi, geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, doğal gaz depolama lisansı sahibi (LNG, yer altı), ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi kurum/kuruluşları kapsamaktadır.
Yönetmeliğin yayımlanan güncel sürümünde elektrik ve doğal gaz dağıtım sektörleri için modeller belirlenmiştir. Diğer sektörler için model çalışmaları devam etmekte olup henüz yayımlanmamıştır. Dolayısıyla elektrik ve doğal gaz dağıtım lisansı sahipleri dışında kalan lisans sahiplerinin yönetmelik kapsamında mevcut durumda bir yükümlülükleri bulunmamaktadır.
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği’nde yer alan uyum planı için esas alınacak başlangıç tarihi nedir?
Yönetmeliğe uymakla yükümlü kılınan kurum/kuruluşlara EPDK tarafından yükümlülüklerine dair tebliğ edilen yazının tarihi, uyum planı için esas alınacak başlangıç tarihidir. Bununla birlikte Enerji Piyasası Bildirim Sistemi içerisinde yükümlülük başlangıç tarihiyle ilişkili olarak bildirim ve raporların EPDK’ya son iletim tarihleri belirtilecektir.
Enerji Piyasası Bildirim Sistemi hâlihazırda enerji sektöründe yer alan kurum/kuruluşlar tarafından kullanılmakta olup, bu sistem ile ilgili ayrıntılı bilgiye EPDK web sayfasından erişilebilir.
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği’ne uyum sağlayacak kurum/kuruluşların kritiklik dereceleri nasıl belirlenmektedir?
Yönetmeliğe uymakla yükümlü kurum/kuruluşlar EPDK tarafından belirlenen parametreler ışığında kritiklik sınıflandırmasına tabi tutulmuştur. Bu parametreler ve kritiklik derecelerine göre sınıflandırılmış kurum/kuruluşların listesi güvenlik gerekçesi ile halka açık olarak yayımlanmamaktadır. Kritiklik derecesi ve kontrol maddelerinden uyumlu olunması gereken asgari seviye yükümlü kuruluşun yalnızca kendisi ile paylaşılacaktır.
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği uyum denetimlerini kimler yapabilir?
Bilgi ve İletişim Güvenliği denetimlerini yapmakla yetkilendirilmiş firmalar bu yönetmelik kapsamında uyum denetimlerini yapabilir. Ancak yönetmelik kapsamında denetim yapmakla görevlendirilecek firma personelinde Kritik Altyapılar Ulusal Test Yatağı Merkezi tarafından verilen EKS eğitimleri sonrası başarı sertifikası bulunması gereklidir.
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği ile ISO 27001 BGYS ve diğer uluslararası standartlar arasında bir bağlantı var mıdır?
Yönetmelik; ulusal standart ve düzenlemeler ile uluslararası kabul görmüş standart, iyi uygulama örnekleri ve rehber dokümanlar referans alınarak hazırlanmıştır. Yönetmelik eklerinde yer alan dokümanlardaki teknik kontrol maddelerinin ISO 27001 BGYS standardı kontrol maddeleri ile eşleştirme tablolarına aşağıda yer alan bağlantılardan erişebilirsiniz.
Elektrik Dağıtım Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri ISO 27001 BGYS Eşleştirme Tablosu
Doğal Gaz Dağıtım Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri ISO 27001 BGYS Eşleştirme Tablosu
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği kapsamında yer alan kurum/kuruluşlara hizmet sağlayan üçüncü taraflar Yönetmeliğe uyum sağlamakla yükümlü müdür?
Yönetmelik kapsamında yer alan kurum/kuruluşlara hizmet sağlayan üçüncü taraflar Yönetmeliğe uyum sağlamakla doğrudan yükümlü değildir. Ancak, yükümlü kurum/kuruluşlar, Yönetmeliğin gerekliliklerine hizmet ve ürünlerin temini ve işletiminde uymakla yükümlü olduğundan üçüncü taraflarda dolaylı olarak hizmet ve ürünlerinde bu gereksinimlere uyum sağlayacaktır.
Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği kapsamında yapılan bildirimler yapılmaya devam edecek midir?
13/7/2017 tarihli ve 30123 sayılı Resmî Gazete’de yayımlanan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği yürürlükten kaldırılmıştır. Dolayısıyla söz konusu yönetmelik kapsamında yapılan bildirimler de artık yapılmayacaktır. Güncel yönetmelik kapsamında yapılması gereken bildirimler Enerji Piyasası Bildirim Sisteminde tanımlanacaktır.
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği’nin güncel sürümüne nereden erişilebilir?
Yönetmeliğin güncel sürümüne buradan erişilebilir.
Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği ile ilgili görüş, öneri ve sorular nasıl iletilebilir?
Yönetmelik ile ilgili her türlü soru, görüş ve öneri bilgiguvenligi@epdk.gov.tr e-posta adresine iletilebilir.
Yetkinlik Modeli uyum süreçlerine dair çalışmaların tamamlanması ve bildirim dönemlerine ilişkin örnek takvim planına aşağıdaki tablodan erişebilirsiniz.
Yetkinlik Süreç Uyum Takvimi
Yönetmeliğin 9 uncu maddesinde geçen uyum sınıflandırması tanımlarında "Kapsam dışı" ve "Uyumsuz" farkını açıklayabilir misiniz?
“Uyumsuz” uyum sınıflandırması, yükümlü kuruluşun yerine getirmesi gereken kontrol maddesi için gereksinimi karşıla(ya)madığı durumu ifade eder. Örneğin kritiklik derecesi A olan bir işletmede Seviye 1, Seviye 2 ve Seviye 3 kontrollere her bir seviye için tanımlanan süreler sonunda tam uyum beklenmektedir.
“Kapsam dışı” uyum sınıflandırması için örnek verecek olursak Doğal Gaz Dağıtım Sektörü Siber Güvenlik Yetkinlik Modeli Teknik Kontrol Maddeleri Fiziksel Güvenlik ana kontrol grubunda FZG-89 ve FZG-90 no’lu kontrollerde kontrolün uygulanması için ön koşul olarak “kontrol sistemi bulunan uç sahalar” belirtilmiştir. Kontrol sistemi bulunmayan uç sahalar için bu maddenin uyum sınıflandırması “Kapsam dışı” olarak değerlendirilmelidir. Kontrol sistemi olan uç sahalarda ise madde gereksinimleri karşılan(a)mıyorsa maddelerin uyum sınıflandırması “Uyumsuz” olarak belirtilmelidir.
“Ek kontrol” maddelerine uyum zorunluluğu bulunmadığından “Kapsam dışı” olarak değerlendirilebilir, eğer bu maddelere ilişkin aksiyon alınmışsa uyum sınıflandırması belirtilebilir, ancak “Ek kontrol” maddeleri için “Uyumsuz” uyum sınıflandırması kullanılamaz. Kritiklik derecesi C grubu olan bir işletme için yalnızca Seviye 1 kontrollere uyum zorunluluğu vardır, Seviye 2 ve Seviye 3 kontroller “Kapsam dışı” olarak değerlendirilebilir.
Yönetmelik’te yükümlülüğün yerine getirilemediği durumlar için yaptırım maddesi yer almıyor. Yükümlülüklerin bir kısmı ya da tamamı yerine getirilemediğinde cezai bir yaptırım var mı?
Enerji piyasalarında faaliyet göstermek üzere Kurum’dan lisans almış tüm tüzel kişiler ilgili piyasa kanunlarına ve bu kanunlara dayanılarak Kurul tarafından çıkartılmış ikincil mevzuata (Yönetmelik, Tebliğ, Usul ve Esaslar), lisans hükümlerine, Kurul kararlarına ve talimatlarına uymakla yükümlüdür. Lisans sahiplerinin ilgili mevzuata aykırı davrandıklarının tespiti halinde yürütülecek soruşturma neticesinde ilgili kanunlarda öngörülen yaptırımlar tatbik edilmektedir. Bu itibarla kritik enerji altyapılarında kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esasları düzenlemek amacıyla Kurulumuz tarafından çıkartılan Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği’nde yer verilen yükümlülüklerin ihlali halinde ilgili piyasa kanunlarında öngörülen yaptırımlar Kurul tarafından tesis edilebilecektir.
IEC 104 ve ICCP Protokolleri
IEC 104 Protokolü Nedir?
IEC 104, tam adıyla IEC 60870-5-104, SCADA (Merkezi Kontrol ve Veri Toplama) sistemlerinde veri aktarımında kullanılan bir protokoldür. Protokol, uzak bir cihaz veya sistemle iletişimi sağlamak için Ethernet/IP ağlarını kullanır. IEC 104, TCP/IP tabanlı olup veri aktarımında yüksek güvenilirlik sağlar ve esnek bir yapı sunar.
Bu protokol, kontrol merkezleri ve uzak cihazlar arasında veri değişimini düzenleyen üst seviye bir protokolüdür. Özellikle, gerçek zamanlı veri toplama ve izleme işlevleri için uygundur ve komutların iletilmesi, durum bilgisi ve ölçüm verilerinin alınması gibi işlevler içerir.
Mevzuat kapsamında bu protokol örneklendirme amaçlı kullanılmış olup işletmeler kendi altyapıları için en uygun ve güvenli protokolü ayrıca belirlenen farklı bir düzenleme yoksa uygulayabilir. Bu protokolün örneklendirilmiş olması bu protokolün ülkemiz kapsamında kullanıldığına ilişkin bir bilgi içermez.
ICCP Nedir, Ne Amaçla Kullanılır?
ICCP (Inter-Control Center Communications Protocol) veya IEC 60870-6/TASE.2 protokolü, özellikle enerji iletim sistemleri arasında, farklı kontrol merkezlerinin veri alışverişini sağlamak amacıyla geliştirilmiştir. ICCP, geniş alan ağları (WAN) üzerinden verilerin güvenli ve hızlı bir şekilde iletilmesini destekler.
ICCP protokolü, kontrol merkezlerinin birbirleriyle veri senkronizasyonu, talep ve üretim dengesinin sağlanması gibi kritik işlevleri yürütmesine olanak tanır. Bu protokol, gerçek zamanlı operasyonel verilerin, enerji akışı ve sistem durumu bilgisi gibi önemli verilerin güvenli paylaşımını destekler.
Mevzuat kapsamında bu protokol örneklendirme amaçlı kullanılmış olup işletmeler kendi altyapıları için en uygun ve güvenli protokolü ayrıca belirlenen farklı bir düzenleme yoksa uygulayabilir. Bu protokolün örneklendirilmiş olması bu protokolün ülkemiz kapsamında kullanıldığına ilişkin bir bilgi içermez.
Çözüm Geliştirilmesinde Marka Bağımsızlığı
Bu protokollere yönelik herhangi bir çözüm veya güvenlik önlemleri alınırken, marka bağımlılığı yaratmadan, sektörde kabul gören açık standartlara ve çözümlere öncelik verilmelidir. Ülkemizdeki uygulamalarda, bağımsız ve esnek çözümler benimsenmeli; tek bir tedarikçiye bağlı kalınmadan, farklı sistemler arasında uyum ve geçişkenlik sağlanmalıdır.
EPDK’nın Yaklaşımı ve Verimlilik Prensibi
EPDK'nın temel yaklaşımı, mevcut altyapı ve yatırımlardan en üst seviyede verim sağlanmasını güvence altına almaktır. Bu çerçevede, düzenleyici kurallar ve protokol kullanımında maliyet-etkin çözümler geliştirilmesi esastır. İlgili teknik çözümler uygulanırken mevcut sistemler mümkün olduğunca değerlendirilmeli, ek yatırımlardan önce mevcut altyapının en üst düzeyde kullanımı hedeflenmelidir.
