Enerji sektörü yıllardır fiziksel güvenlik önlemleriyle korunur, altyapılar doğrudan tehditlere karşı çeşitli katmanlarla çevrelenirdi. Ancak artık tehditler fiziksel değil — görünmeyen, dijital, karmaşık ve sürekli evrilen bir zeminden geliyor. Bu nedenle 6 Haziran 2023 tarihinde yayımlanan “Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği”, enerji piyasasında faaliyet gösteren tüm paydaşlar için bir dönüm noktası niteliğinde.
Yönetmelik, yalnızca bir dizi teknik düzenleme sunmuyor; aynı zamanda sektördeki tüm oyunculara yeni bir perspektif kazandırıyor. Artık siber güvenlik bir tercih değil, yükümlülük. Üstelik bu yükümlülük, yalnızca bilgi teknolojileri (IT) altyapılarını değil, enerji üretiminden dağıtımına kadar kullanılan endüstriyel kontrol sistemlerini de kapsıyor. SCADA, DCS, RTU ve PLC gibi sistemler, yani enerjinin üretimi, taşınması ve dağıtımını yöneten kalp atışları, artık doğrudan yönetmelik kapsamına alınmış durumda.
Bu yeni model, enerji sektöründe faaliyet gösteren elektrik iletim ve dağıtım şirketlerinden, doğal gaz dağıtım ve iletim lisansı sahiplerine, LNG depolayıcılarından rafinerilere kadar geniş bir kuruluş yelpazesini kapsıyor. Özellikle doğrudan sahada çalışan sistemlerin güvenliği artık daha net tanımlanıyor. Bu açıdan, yeni düzenlemenin yalnızca veri merkezlerini değil, doğrudan vanaları, boru hatlarını ve sahadaki sensörleri de korumayı hedeflediği söylenebilir.
Yönetmelik yapısal olarak oldukça dikkat çekici bir modele sahip. Enerji altyapılarında güvenlik, burada on bir ana başlık altında toplanmış. Bunlar arasında ağ güvenliği, istemci ve sunucu sistemlerinin güvenliği, tehdit ve zafiyet yönetimi, kimlik doğrulama, akıllı cihaz güvenliği ve tedarikçi yönetimi gibi kritik alanlar yer alıyor. Her bir başlık altında onlarca alt kriter bulunuyor. Bu detaylı yapı, EKS sistemlerinin doğasına uygun şekilde modellenmiş.
Ancak bu sistematik sadece kontrol alanlarıyla sınırlı değil. Yönetmelik, her kuruluşun sektörel önemi ve risk düzeyine göre üç farklı yetkinlik seviyesinde sınıflandırılmasını da öngörüyor. Bu, kurumların yalnızca “uyumlu” veya “uyumsuz” değil, hangi derinlikte uyumlu olduğunu da ortaya koyuyor. Seviye 1, hali hazırda uygulanabilir güvenlik önlemlerini ifade ederken; Seviye 3, daha çok uzun vadeli yatırımlar gerektiren projelendirmeleri içeriyor. Elektrik dağıtım şirketleri için asgari seviye 2 olarak belirlenmişken, doğal gaz dağıtımı yapan firmalar için bu seviye 1 olarak tanımlanmış.
Bu yaklaşımın belki de en önemli kısmı, uyumluluğun denetlenebilir ve aşamalı bir süreç olarak tanımlanmış olması. Önce kurumlar kendi içlerinde bir fark analizi yapıyor. Ardından, bağımsız denetim firmaları tarafından gerçekleştirilen sektörel denetimler geliyor. Son olarak da EPDK’nın kendi kaynaklarıyla gerçekleştirdiği çapraz denetimler süreci tamamlıyor. Her aşama belirli bir zaman diliminde tamamlanmak zorunda ve sonuçları Enerji Piyasası Bildirim Sistemi üzerinden Kurum’a raporlanıyor. Bu bağlamda yönetmelik, yalnızca bir çerçeve değil; kurumları adım adım yönlendiren bir yol haritası da sunuyor.
Eutech olarak biz bu yeni dönemi yalnızca bir yasal zorunluluk olarak değil, aynı zamanda enerji sektörünün geleceğini şekillendirecek bir fırsat olarak görüyoruz. Özellikle OT sistemlerine odaklanan Claroty çözümleri ile endüstriyel varlık yönetimi, ağ segmentasyonu ve tehdit izleme gibi pek çok kontrol maddesini doğrudan adresleyebilen yapılar sunuyoruz. Sektördeki bu dönüşüm sürecine rehberlik etmek, bizim için stratejik bir öncelik.
Enerji sektörü için siber güvenlik artık yalnızca “olursa iyi olur” değil, “olmazsa olmaz” bir hal aldı. Yönetmelik, bu dönüşümün bir sembolü ve aynı zamanda katalizörü. Tüm enerji firmalarının bu sürece bütüncül bir yaklaşımla hazırlanması, yalnızca yasal uyum için değil, aynı zamanda hizmet sürekliliği ve toplum güvenliği için de elzem hale geldi. Bu dönüşümün yalnızca teknik değil, aynı zamanda stratejik bir dönüşüm olduğuna inanıyoruz.
Kaynaklar:
Enerji Piyasası Düzenleme Kurumu. (2023). Enerji sektöründe siber güvenlik yetkinlik modeli (Resmî Gazete Tarihi: 06.06.2023 – Sayı: 32213). EPDK. https://www.epdk.gov.tr/Detay/Icerik/4-13050/enerji-sektorunde-siber-guvenlik-yetkinlik-modeli
