EPDK Siber Güvenlik Yönetmeliği Kapsamında Denetim Hizmetleri

National Keep Siber Güvenlik Hizmetleri

Enerji sektörü, kritik altyapılar arasında en yüksek öneme sahip alanlardan biridir. Bu kapsamda, Enerji Piyasası Düzenleme Kurumu (EPDK) tarafından yayımlanan Enerji Sektöründe Siber Güvenlik Yetkinlik Modeli Yönetmeliği, sektörde faaliyet gösteren tüm kuruluşlar için siber güvenlik olgunluğunu artırmayı zorunlu hale getirmiştir.

National Keep Siber Güvenlik Hizmetleri olarak, EPDK tarafından yetkilendirilmiş bir denetçi firma olarak; enerji üretim, iletim ve dağıtım süreçlerinde kullanılan tüm bilgi teknolojileri (IT) ve operasyonel teknolojiler (OT) için kapsamlı, standartlara uyumlu ve teknik derinliği yüksek denetim hizmetleri sunmaktayız.

Hizmetin Amacı

EPDK Siber Güvenlik Yönetmeliği kapsamında sunduğumuz denetim hizmetlerinin temel amacı:

• Kuruluşların mevcut siber güvenlik olgunluk seviyesini belirlemek
• EPDK düzenlemelerine ve uluslararası standartlara uyum düzeyini analiz etmek
• Kritik zafiyetleri ve riskleri ortaya çıkarmak
• Sürdürülebilir ve uygulanabilir iyileştirme planları oluşturmak
• ICS/SCADA sistemlerinin güvenliğini sağlamak

Kapsam: IT ve OT Entegrasyonlu Denetim Yaklaşımı

Denetimlerimiz yalnızca klasik IT sistemleri ile sınırlı değildir. Enerji sektörüne özel olarak:

🔹 Operasyonel Teknolojiler (OT)

1. • SCADA sistemleri
   • DCS (Distributed Control Systems)
   • PLC (Programmable Logic Controllers)
   • RTU (Remote Terminal Units)
   • HMI (Human Machine Interface)
   • Historian sistemleri

🔹 Bilgi Teknolojileri (IT)

• • Kurumsal ağ altyapısı
  • Sunucu ve istemci sistemleri
  • Active Directory ve kimlik yönetimi
  • Uygulama ve veri güvenliği

🔹 Ağ ve İletişim Katmanları

• • Purdue Model uyumluluğu
  • VLAN segmentasyonu
  • OT-DMZ mimarisi
  • Endüstriyel protokoller (IEC 60870-5-104, Modbus TCP, OPC-UA, DNP3

Denetim Metodolojimiz

Denetimlerimiz, ulusal ve uluslararası standartlara uyumlu olarak yapılandırılmıştır:

• ISO/IEC 27001:2022
• ISO/IEC 27019 (Enerji sektörü)
• IEC 62443 (Endüstriyel siber güvenlik)
• NIST Cybersecurity Framework
• BİGR (Bilgi ve İletişim Güvenliği Rehberi)
• USOM SOME Rehberi

      1. Hazırlık ve Kapsam Belirleme

• Varlık envanteri analizi
• Kritik sistemlerin belirlenmesi
• Denetim kapsamının netleştirilmesi

     2. Teknik Değerlendirme

• Ağ topolojisi analizi
• Segmentasyon kontrolleri
• Erişim kontrol mekanizmaları
• Zafiyet taramaları ve konfigürasyon analizleri
• Ağ segmentasyonu (çoğu yerde zayıf)
• Yetkisiz erişimler
• Güncellenmeyen sistemler
• OT ve IT’nin yanlış şekilde birbirine bağlı olması
• Olay müdahale planının olmaması
• Tedarikçi erişimlerinin kontrolsüz olması

     3. Yerinde ve Uzaktan Denetim

• SCADA ve OT sistemlerinin yerinde incelenmesi
• Log ve olay yönetimi kontrolleri
• Fiziksel güvenlik değerlendirmeleri

    4. Olgunluk Seviyesi Analizi

• EPDK Yetkinlik Modeline göre skorlandırma
• Kontrol bazlı değerlendirme
• Gap analizi

    5. Raporlama ve Yol Haritası

• Yönetici özeti
• Teknik bulgular ve risk seviyeleri
• Önceliklendirilmiş aksiyon planı
• Uyum ve iyileştirme roadmap’i

Denetim Alanlarımız

Denetim kapsamında ele alınan başlıca kontrol alanları:

• Endüstriyel Ağ Güvenliği
• Kimlik ve Erişim Yönetimi (IAM)
• Varlık ve Konfigürasyon Yönetimi
• Zafiyet ve Patch Yönetimi
• Olay Müdahale ve Süreklilik
• Fiziksel Güvenlik
• Tedarik Zinciri Güvenliği
• Operasyonel Güvenlik Prosedürleri
• İnsan Kaynakları Güvenliği
• PLC ve saha cihaz güvenliği

Neden Bu Denetim Kritik?

Enerji sektöründe yaşanabilecek bir siber saldırı:

• Elektrik üretim ve dağıtım kesintilerine
• Fiziksel hasarlara
• Ulusal güvenlik risklerine
• Regülasyon cezalarına

Sebep olabilir.

Bu nedenle EPDK uyumlu denetimler yalnızca bir zorunluluk değil, aynı zamanda kritik bir güvenlik yatırımıdır.

Neden National Keep?

✔️ EPDK tarafından yetkilendirilmiş denetim yetkinliği

✔️ ICS/SCADA odaklı uzman ekip

✔️ Enerji sektörü tecrübesi

✔️ Teknik derinliği yüksek analiz ve raporlama

✔️ Uygulanabilir ve gerçekçi çözüm önerileri

 Bizimle İletişime Geçin +90 312 666 76 36

Enerji sektöründe faaliyet gösteriyorsanız ve EPDK Siber Güvenlik Yönetmeliği kapsamında denetim hizmeti almak istiyorsanız, bizimle iletişime geçerek sürecinizi güvence altına alabilirsiniz.

National Keep Siber Güvenlik Hizmetleri olarak, kritik altyapıların güvenliği için yanınızdayız.