Kamu hizmetlerinin sunumu bakımından kritik enerji altyapısı olarak nitelendirilen enerji tesislerinde kullanılan endüstriyel kontrol sistemlerinin bilişim süreçlerinin izlenmesi, sistem güvenliğinin ve sürekliliğinin sağlanması ile siber güvenliğinin sağlanmasına ilişkin Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği Yönetmeliği (“Yönetmelik”) Enerji Piyasası Düzenleme Kurumu (“Kurum”) tarafından yayımlandı.

Yönetmelik kapsamında aşağıdaki kuruluşlar, kritik enerji altyapısı yükümlüsü olarak değerlendirilerek, “Yükümlü Kuruluş” olarak tanımlanmıştır:

  • elektrik iletim lisansı sahibi,
  • elektrik dağıtım lisansı sahibi,
  • geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi,
  • boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi,
  • sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi,
  • doğal gaz depolama lisansı sahibi (LNG, yer altı depolama),
  • ham petrol iletim lisansı sahibi ve
  • rafinerici lisansı sahibi.

Yükümlü Kuruluşlar, Yönetmelik kapsamında başlıca;

  • Kritik Enerji Altyapılarında kullanılan endüstriyel kontrol sistemlerinin (“EKS”) bilişim süreçlerinin izlenmesi ve güvenliğinin sağlanması için risk envanteri oluşturmak;
  • Azaltılması kararlaştırılan riskler için kuruluşun sorumluluğunda olacak risk azaltıcı aksiyonların açıkça planlandığı bir tedavi planı oluşturmak;
  • EKS’lere ilişkin işlettikleri süreçlerin, bilgi güvenliği konusunda yaptıkları çalışmaların ve kaynak bilgilerin yer aldığı EKS tanıma formunu, Kurum’a bildirmek

ile yükümlü kılınmıştır.

Yönetmelik, 13 Temmuz 2017 tarih ve 30123 numaralı Resmi Gazete’de yayımlanmış olup, yayımı tarihinden itibaren iki ay sonra yürürlüğe girecektir. Yönetmelik’in tam metnine bu linkten ulaşabilirsiniz.