Enerjide bilişim sistemi güvenliği zorunluluğu

Enerji Piyasası Düzenleme Kurumunca (EPDK), yükümlü kuruluşlara, kritik enerji altyapılarında kullanılan endüstriyel kontrol sistemlerinin (EKS) bilişim süreçlerinin izlenmesi ve güvenliğinin sağlanması için risk envanteri oluşturulması zorunluluğu getirildi.

EPDK'nın, Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği, Resmi Gazete'nin bugünkü sayısında yayımlandı.

Buna göre, enerji piyasasında faaliyet gösteren ve EPDK tarafından kritik altyapı olarak belirlenen yükümlü kuruluşlar, EKS’lere ilişkin işlettikleri süreçlerin ve bilgi güvenliği konusunda yaptıkları çalışmaların yer aldığı formu Enerji Piyasası Bildirim Yönetmeliği kapsamında belirlenen süre içinde EPDK'ya bildirecek.

Yükümlü kuruluşların EKS’lere yönelik risklerinin tespiti için yaptırdıkları güvenlik analizi ile testlerinin usul ve esaslarını belirlemek, EPDK'nın yetkisinde olacak.

EPDK tarafından belirlenerek risk envanterine eklenen unsurlar, yükümlü kuruluşlarca kendi EKS’leri dikkate alınarak değerlendirilecek. Değerlendirme sonucunda çok yüksek, yüksek ve normal risk seviyesinde bulunan unsurlar işleme tabi tutulacak. Yükümlü kuruluş tarafından risk azaltma yöntemi belirlenen riskler için azaltmaya yönelik çalışma yapılacak.

Ayrıca, EPDK tarafından belirlenen risklerin yanında yükümlü kuruluşlar da kendi faaliyetleri doğrultusunda belirledikleri riskleri değerlendirecek. Bu risklerin yer aldığı geri dönüşler değerlendirilerek risk envanterinin zenginleştirilmesi sağlanacak.

Belirlenen risklerde hangilerinin azaltılması gerektiği, hangilerinin kabul edildiği yükümlü kuruluş tarafından kararlaştırılacak. Azaltılması kararlaştırılan riskler için kuruluşun sorumluluğunda olacak risk azaltıcı eylemlerin açıkça planlandığı bir plan oluşturulacak.

EPDK, ayrıca yükümlü kuruluşların söz konusu yönetmelikte belirtilen yükümlülüklerini yerine getirip getirmediğini denetleyecek veya denetlettirecek.