EKS Yetkinlik Modeli Uyum Danışmanlığı

EPDK kapsamındaki kuruluşlar için EKS Yetkinlik Modeli, yalnızca bir uyum zorunluluğu değil; operasyonel güvenliği, erişim kontrolünü ve olay yönetimini aynı çatı altında sürdüren bir yönetmeliktir.

Cato Teknoloji olarak seviye hedeflerini, teknik gereksinimleri ve kurum içi aksiyon planlarını birlikte ele alıyor; dökümantasyon üretiminden teknik kontrollerin takibine kadar uçtan uca destek veriyoruz.

Bu hizmet kimler için uygundur?

EPDK düzenlemelerine tabi enerji üretim, dağıtım ve rafineri kuruluşları
EBİS yükleme süreci öncesinde eksiklerini net görmek isteyen ekipler
Yönetmelik kontrollerini operasyon akışına dönüştürmek isteyen yönetim ve teknik ekipler

Neler teslim ediyoruz?

Seviye bazlı mevcut durum ve gap analizi
Kontrol maddelerine göre aksiyon planı ve önceliklendirme
Politika, prosedür ve kayıt seti hazırlığı
Teknik kontrollerin koordinasyonu ve aylık ilerleme raporları

06/06/2023 tarihinde Enerji Piyasası Düzenleme Kurumu (EPDK) tarafından resmi gazetede yayınlanan "Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği", kuruluşların Endüstriyel Kontrol Sistemlerinin (EKS) güvenliğini ve güvenilirliğini sağlamak için uygulanacak usul ve esasları belirler. Bu yönetmelik kapsamında, aşağıda belirtilen lisans sahibi tüzel kişilerin yükümlülükleri bulunmaktadır.

Elektrik Dağıtım lisansı sahibi
Black-Start özelliğine sahip olup ulusal şebekeye katkı verebilecek olan üretim lisansı sahibi
TEİAŞ SCADA/EMS sistemi ile seri tabanlı iletişim yöntemlerini kullanmadan haberleşmekte olan elektrik üretim lisansı sahibi
100MWe ve üzerinde olan üretim lisansı sahibi
Sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi
Rafinerici Lisansı sahibi

Enerji Kontrol Sistemlerinde (EKS), 13 ana başlık altında toplamda 566 kontrol maddesi ve kurumları üç farklı seviyede bilgilendirmek üzere posta yoluyla iletilmiştir. Bu ana başlıklar şu şekildedir:

Endüstriyel ağ güvenliği
Endüstriyel istemci ve sunucu güvenliği
Endüstriyel tehdit ve zafiyet yönetimi
Endüstriyel siber güvenlik risk yönetimi
Endüstriyel varlık, değişim ve konfigürasyon yönetimi
Endüstriyel kimlik ve erişim yönetimi
Endüstriyel olay yönetimi ve süreklilik
Akıllı cihaz güvenliği
Endüstriyel operasyon güvenliği
İnsan kaynakları güvenliği
Fiziksel güvenlik
Tedarikçi yönetimi
PLC güvenliği

Enerji Piyasası Denetleme Kurumu tarafından tüzel kişilerin seviye kontrollerini sağlamak ve EPDK bildirim sistemi olan EBİS'e yükleme tarihleri aşağıdaki tabloda belirtilmiştir.

Seviye	Açıklama	Hedeflenen Tamamlama Süresi
Seviye 1	Giriş seviyesi kontroller bu grupta yer almaktadır. İlgili kontrollerin hali hazırda uygulandığı ya da kolayca uygulanabileceği değerlendirilen maddeler bu grupta toplanmıştır.	18 Ay
Seviye 2	İkinci aşama kontroller, bu grupta yer almaktadır. İlgili kontrollerin uygulanabilmesi için kurum içi değişikliklerin yapılması gerekli kontroller bu grupta toplanmıştır.	24 Ay
Seviye 3	Üçüncü seviye kontroller bu grupta yer almaktadır. Bu grupta yer alan kontroller yeni bir projelendirme ya da uzun soluklu değişim gerektirmektedir.	30 Ay
Ek Kontrol	Zorluluk derecesi yüksek ya da uygulamasının faydalı olabileceği değerlendirilen kontroller bu grupta toplanmış olup zorunlu değildir.	-

Biz ne yapıyoruz?

İşimiz, Enerji Piyasası Denetleme Kurumu (EPDK) ile olan ilişkinizi, bir danışmanlık firması gibi değil, tam anlamıyla bir ortak gibi yönetiyoruz. Yıl boyunca, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nin bilgi ve iletişim rehberi, İSO 27701, EKS güvenlik testleri ve sızma testleri gibi gereksinimlerini karşılamak için yanınızdayız. Süreçlerinizin başından sonuna kadar sizinle birlikte çalışarak, politika ve prosedürlerinizi oluşturuyor ve sürdürülebilirliğini sağlıyoruz. Ayrıca, yama yönetimi, güncellemeler, sistem kurulumları, personel eğitimleri, sızma testleri ve oltalama saldırıları gibi teknik konularda da size düzenli olarak destek sağlıyoruz. Her ay düzenli raporlar sunarak, işlerinizin durumunu detaylı bir şekilde takip ediyor ve size bilgi veriyoruz. Çözümlerimizi, belirli bir marka veya model donanıma veya yazılıma bağlı kalmadan, açık kaynak kodlu ve test edilmiş çözümlere öncelik vererek sunuyoruz. Bu sayede, lisans maliyetlerinizi en aza indirerek güvenli sistemler kuruyor ve yönetiyoruz.

Hangi senaryolarda devreye giriyoruz?

EBİS bildirimi ve kanıt hazırlığı
EKS varlık envanteri ve ağ segmentasyonu planı
Kimlik, erişim ve yama yönetimi disiplininin kurulması
Yıllık denetim veya yönetim sunumu öncesi hazırlık

Sonraki adımlar

Projenizi netleştirmek için önce teknik kapsam ve önceliklerinizi belirliyoruz. Ardından iletişim sayfamız üzerinden ekiplerinizle hizalanıp gerekli adımları planlıyoruz. Güncel örnekler ve açıklamalar için blog yazılarımızı de inceleyebilirsiniz.

Sık Sorulan Sorular

EKS Yetkinlik Modeli çalışması sadece dokümantasyon projesi midir?

Hayır. Dokümantasyon tek başına yeterli değildir. Kontrol maddelerinin teknik ortama karşılık gelmesi, sorumlularının atanması ve kanıt üretimiyle birlikte yönetilmesi gerekir.

Kuruluş içinde teknik ekip yoksa destek sağlayabilir misiniz?

Evet. İç ekiplerle birlikte çalışabildiğimiz gibi dış kaynak koordinasyonu, teknik yönlendirme ve tedarikçi takibi tarafında da aktif rol alıyoruz.

Süreç ne kadar sürer?

Başlangıç olgunluğu, lisans tipi ve mevcut kontrol seviyesine göre değişir. İlk analiz ve yol haritası kısa sürede hazırlanır; uygulama fazı ise seviye hedeflerine göre kademeli ilerler.

İlgili hizmetler

Güvenlikte Öncü Hizmetlerimiz

Güçlü Güvenlik

Verilerinizi en üst düzeyde koruyun.

Kişiselleştirilmiş Hizmet

İhtiyaçlarınıza özel çözümler sunuyoruz.

Hızlı Destek

Sorularınıza anında yanıt alın.

Güncel Teknoloji

En son güvenlik teknolojileriyle donatılmış sistemler.

700+

Güvenli Müşteri

1000+

Güvenli Sistem Kurulumu

24/7

Destek

Cato Teknoloji ile Bilgi İşlem ve Siber Güvenlik Planınızı Netleştirin

Bilgi işlem destek hizmetleri, siber güvenlik projeleri ve kritik altyapı ihtiyaçlarınız için ekibimizle doğrudan iletişime geçin.

İletişime Geç →

EKS Siber Güvenlik Yetkinlik Modeli