ENERJİ SEKTÖRÜNDE SİBER GÜVENLİK YETKİNLİK MODELİ YÖNETMELİĞİ 6 TEMMUZ 2023’TE YAYINLANDI
6 Temmuz 2023’te Enerji Piyasası Düzenleme Kurumu tarafından “Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği”ni yayınlamış ve aynı gün yürürlüğe girmiştir.
Enerji Piyasası Düzenleme Kurumu bu yönetmeliğin amacını “Enerji sektöründe kullanılan endüstriyel kontrol sistemlerinin siber güvenliğini sürekli olarak gelişen ihtiyaç ve tehditlere göre iyileştirmeye, asgari kabul edilebilir güvenlik seviyesini tanımlamaya ve bu kontrol sistemlerinin siber dayanıklılığına, yeterliliğine ve olgunluğuna ilişkin usul ve esasları düzenlemektir” şeklinde ifade etmiştir.
BDO GRC ekibi olarak yönetmelikte bahsedilen yetkinlik modeli uygulaması ve uyumluluk gereksinimleri konusunda yorumlarımızı paylaşmak isteriz.
Yetkinlik Modeli Bileşenleri Nelerdir?
Enerji Piyasası Düzenleme kurulunun hazırladığı yönetmelik yetkinlik modeli bilgi sistemleri altyapı uyumluluğu için Cumhurbaşkanlığı Dijital Dönüşüm Ofisi(CDDO) tarafından hazırlanan Bilgi ve İletişim Güvenliği Rehberini, Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemleri(EKS) İçin Güvenlik Analiz ve Test Usul ve Esaslarını, Yetkinlik modeline kapsayıcı ve EKS odaklı TS ISO/IEC 27001 kapsamında yeni kontroller eklenmesini, yine Yetkinlik modeli kapsamına EKS odaklı TS ISO/IEC 27019 kapsamında yeni kontroller eklenmesini ve Enerji sektöründe EKS güvenlik kontrolleri dokümanında yer alan kontrolleri adreslemektedir.
Yetkinlik modeli enerji alt sektöründe farklılık gösterebilmekle beraber Enerji Piyasası Düzenleme Kurulu ana kontrol başlıklarının tanımını yapmıştır:
Endüstriyel ağ güvenliği: Endüstriyel altyapılar için yerel ağ güvenliği, geniş alan ağı güvenliği, iletişim güvenliği, protokol güvenliği, kablosuz ağ güvenliği, entegrasyon güvenliği kontrollerini içerir.
Endüstriyel istemci ve sunucu güvenliği: Endüstriyel altyapıda yer alan tüm istemci ve sunuculara ilişkin mantıksal ve fiziksel güvenlik kontrollerini içerir.
Endüstriyel tehdit ve zafiyet yönetimi: Endüstriyel altyapılarda uygulanan tehdit ve zafiyet yönetimi kontrollerini içerir.
Endüstriyel siber güvenlik risk yönetimi: Endüstriyel altyapının dinamiklerine uygun endüstriyel siber güvenlik risk yönetimi kontrollerini içerir.
Endüstriyel varlık, değişim ve konfigürasyon yönetimi: Endüstriyel altyapılarda bulunan varlıkların yönetimi, bileşenlerin değişim ve konfigürasyon yönetimi kontrollerini içerir.
Endüstriyel kimlik ve erişim yönetimi: Endüstriyel altyapıda bulunan bileşenler için kimlik ve erişim yönetimi kontrollerini içerir.
Endüstriyel olay yönetimi ve süreklilik: Endüstriyel siber güvenlik olay yönetimi, süreklilik, yedekleme ve yedeklilik kontrollerini içerir.
Akıllı cihaz güvenliği: Sayaç ve nesnelerin interneti teknolojisinin kullanıldığı endüstriyel altyapılar için güvenlik kontrollerini içerir.
Endüstriyel operasyon güvenliği: Endüstriyel operasyon güvenliğine yönelik kontrolleri içerir.
İnsan kaynakları güvenliği: Kritik enerji altyapılarında çalışan tüm personel için istihdam öncesi, sırası ve sonrasında uygulanması gereken kontrolleri içerir.
Fiziksel güvenlik: Endüstriyel altyapıların sektörlerine uygun, dağıtık veya tekil yapıdaki fiziksel ortamların güvenlik kontrollerini içerir.
Tedarikçi yönetimi: Endüstriyel altyapılar için teknoloji, insan ve altyapı tedarikçilerine ilişkin siber güvenlik kontrollerini içerir.
PLC (Programmable Logic Controller) güvenliği: PLC güvenliğine ilişkin güvenlik kontrollerini içerir.
Ayrıca her ana kontrol başlığı içerisinde alt kontrol başlıklarını da barındırmaktadır.
Yetkinlik modeli kapsamında Enerji Piyasası Düzenleme Kurumu tarafından belirlenen sektörel kritiklik derecesi ile tespit edilen üç temel yetkinlik seviyesi (Seviye 1, Seviye 2, Seviye 3) bulunmaktadır. Enerji alt sektörleri (Yönetmeliğe göre Elektrik Dağıtım ve Doğal Gaz Dağıtım) için Enerji Piyasası Düzenleme Kurumu’nun belirlediği asgari seviye elektrik dağıtım şirketleri için seviye 2, doğal gaz dağıtım şirketleri için seviye 1’dir. Yetkinlik seviyeleri(Seviye 1, Seviye 2, Seviye 3), Enerji Piyasası Düzenleme Kurumu tarafından belirlenen kritiklik dereceleri ile tespit edilir.
Sektörde yer alan yükümlü kuruluşların kritiklik dereceleri ise Enerji Piyasası Düzenleme Kurumu tarafından kullanılan belli parametreler sonucu belirlenmektedir.
Bu parametreler ve kritiklik dereceleri 3 yıllık periyotlarla güncellenebilir. Herbir seviyede yer alan kontrollerin beklenen tamamlanma süreleri “Şekil-1” ve “Şekil-2” teki tablolarda belirtilmiştir. Enerji Piyasası Düzenleme Kurumu tarafından belirlenen seviyelere uyum koşulları aşağıdaki gibidir:
Seviye 1: Giriş seviyesi kontrollerin hali hazırda uygulandığı ya da kolayca uygulanabileceği değerlendirilen kontroller giriş seviyesi kontrolleri olarak belirlenmiş ve seviye 1’in gereksinimleri olarak belirlenmiştir.
Seviye 2: İkinci aşama kontrollerin uygulanabilmesi için yükümlü kuruluş sistemlerinde veya süreçlerinde değişiklik yapılmasını gerektiren maddeler bu seviyede toplanır.
Seviye 3: Üçüncü seviye kontroller, yeni bir projelendirme ya da uzun soluklu değişim gerektirdiği düşünülen kontrollerdir.
Ek kontrol: Zorluk derecesi yüksek ya da uygulanması faydalı olabileceği değerlendirilen kontroller olup, uygulanması zorunlu değildir.
Tüm seviyelerle ilgili uyum gerekliliği kontrol açıklamalarıyla birlikte yönetmeliğin EK-1 ve EK-2’sinde yer almaktadır.
Kurumca çeşitli parametreler kullanılarak belirlenen kritiklik derecesine göre:
- En yüksek kritiklik derecesine sahip “A Sınıfı” kuruluşların uyması gereken asgari “Seviye 3”,
- Orta kritiklik derecesine sahip “B Sınıfı” kuruluşların uyması gereken asgari “Seviye 2”,
- “C sınıfı” kuruluşların ise uyması gereken asgari “Seviye 1” olarak ifade edilmiştir.