Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği (mülga)

Kapsam

(1) Bu Yönetmelik; enerji piyasasında faaliyet gösteren ve Enerji Piyasası Düzenleme Kurumu tarafından kritik altyapı olarak belirlenen yükümlü kuruluşların EKS’lerinde kullanılan bilişim sistemlerinin güvenliği ve güvenilirliğinin sağlanması için risklerin değerlendirilerek azaltılması veya ortadan kaldırılmasına ilişkin uygulanacak usul ve esasları kapsar.

Dayanak

(1) Bu Yönetmelik; 20/2/2001 tarihli ve 4628 sayılı Enerji Piyasası Düzenleme Kurumunun Teşkilat ve Görevleri Hakkında Kanunun 5 inci maddesinin altıncı fıkrasının (e) bendi ile Ulusal Siber Güvenlik Stratejisi ve Eylem Planına dayanılarak hazırlanmıştır.

Tanımlar

(1) Bu Yönetmelikte geçen;

a) Başkan: Enerji Piyasası Düzenleme Kurumu Başkanını,

b) Bildirim: Yükümlü kuruluşlarca Kuruma verilen beyanı,

c) Endüstriyel Kontrol Sistemi (EKS): Enerjinin üretilmesi, enerji sağlayan ham petrol, taş kömürü ve benzeri hammaddelerin işlenip tüketime hazır hale getirilmesi, enerjinin iletim veya dağıtım katmanları aracılığı ile aktarılması gibi süreçlerin bir veya birden fazla merkezden izlenmesini, bazen de yönetilmesini sağlayan, kendisi ve/veya bileşenleri bilinen işletim sistemleri üzerinde koşan ya da bilinen zafiyetleri bulunan özel işletim sistemine sahip yönetim ve kontrol sistemlerini (Veri Tabanlı Kontrol ve Gözetleme Sistemi “SCADA”, Dağıtılmış Kontrol Sistemi “DKS”, Gelişmiş Süreç Kontrol Sistemi “APC”, Programlanabilir Mantık Kontrolcüsü “PLC”, Uzak Terminal Ünitesi (RTU) vb.),

ç) İlgili mevzuat: Enerji piyasasına ilişkin kanun, yönetmelik, tebliğ, genelge, lisans ve Kurul kararlarını,

d) Kanun: 20/2/2001 tarihli ve 4628 sayılı Enerji Piyasası Düzenleme Kurumunun Teşkilat ve Görevleri Hakkında Kanunu,

e) Kritik enerji altyapısı: İşlevlerini kısmen veya tamamen, yerine getiremediğinde, toplumsal düzenin sürdürülebilirliğinin ve/veya kamu hizmetlerinin sunumunun olumsuz etkileneceği enerji ağı, varlığı, sistemi ve yapıları bütününü,

f) Kurul: Enerji Piyasası Düzenleme Kurulunu,

g) Kurum: Enerji Piyasası Düzenleme Kurumunu,

ğ) Kurumsal Bilişim Sistemi (KBS): Kuruluş çalışanları tarafından kullanılan bilgisayarlar, bunlara hizmet veren dosya, uygulama, veri tabanı ve e-posta sunucusu ve ağ altyapısının tamamını,

h) Yükümlü kuruluş: Bu Yönetmelik çerçevesinde tanımlanan sorumlu tüzel kişileri,

ifade eder.

(2) Bu Yönetmelikte geçen ve birinci fıkrada yer almayan tanım ve kısaltmalar için ilgili mevzuatta geçen tanım ve kısaltmalar geçerlidir.

İlkeler

(1) Bu Yönetmeliğin uygulanmasında aşağıda belirtilen temel ilkeler gözetilir:

a) Hizmet kalitesinin yükseltilmesi ve enerji arzının sürekliliğinin sağlanması,

b) Ulusal düzenleme ile ulusal ve/veya uluslararası standartların dikkate alınması,

c) Kaynakların düzenli, şeffaf ve etkin kullanımının sağlanması,

ç) Lisans sahibi tüzel kişilerin bu Yönetmelik kapsamında EKS bilişim güvenlik önlemlerini almalarının ve uygulamalarının temini,

d) Enerji zincirindeki kritik sistemlerin tehdit ve zafiyetlere karşı güvenliğinin arttırılması.

İKİNCİ BÖLÜM

Yükümlü Kuruluşlar ve Yükümlülükleri

Yükümlü kuruluşlar

(1) Yükümlü kuruluşlar elektrik iletim lisansı sahibi, OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi, OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, doğal gaz depolama lisansı sahibi (LNG, yer altı depolama), ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişilerden oluşur.

EKS tanıma ve EKS envanter formları

(1) EKS tanıma formu, yükümlü kuruluşların EKS’lere ilişkin işlettikleri süreçlerin, bilgi güvenliği konusunda yaptıkları çalışmaların ve kaynak bilgilerinin yer aldığı formdur.

(2) Kurum tarafından EKS envanterine ilişkin talep edilecek varlık grupları, türleri ve bu varlıklara ilişkin özel bilgilerin yer aldığı form yükümlü kuruluşlara iletilir.

(3) EKS’ler ile ilişkili olmayan KBS bileşenleri kapsam dışındadır.

(4) EKS tanıma formunun yer aldığı bildirim, 27/5/2014 tarihli ve 29012 sayılı Resmî Gazete’de yayımlanan Enerji Piyasası Bildirim Yönetmeliği kapsamında bildirim yükümlülük tablolarında belirlenen yöntemlerle ve tanımlanan süreler içerisinde yükümlü kuruluşlarca Kuruma bildirilir, EKS envanter formu ise talep edildiğinde Kurum tarafından erişilebilecek bir altyapıda oluşturulur ve kuruluşun kendi sistemlerinde saklanır.