EPDK, siber saldırılara karşı endüstriyel kontrol sistemlerinin daha dirençli ve güvenli hale getirilmesi için Enerji Sektöründe Kullanılan Endüstriyel Kontrol Sistemlerinde Bilişim Güvenliği yönetmelik taslağı hazırladı. Görüşe açılan yönetmelik taslağıyla kritik enerji altyapılarında kullanılan endüstriyel kontrol sistemlerinin bilişim süreçlerinin izlenmesi ve güvenliğinin sağlanmasına ilişkin esaslar düzenlenecek. Firmalardan siber güvenlik tehditleri, aldıkları önlemlerin bildirilmesi istenecek. Yönetmelikle, enerji piyasasında faaliyet gösteren kuruluşların kullandığı sistemlerde bilişim sistemlerinin güvenliği ve güvenilirliğinin sağlanması için tehditlerden ve zafiyetlerden kaynaklanan risklerin azaltılması veya ortadan kaldırılması için uygulanacak esasları belirledi. Böylece enerji zincirindeki kritik sistemlerin tehdit ve zafiyetlere karşı güvenliğinin artırılması hedefleniyor. Elektrik dağıtım lisansı sahipleri, 100 MW ve üzeri üretim tesisi sahipleri, boru hattı ile iletim yapan doğalgaz iletim lisansı sahipleri, doğalgaz dağıtım lisansı sahibi, ham petrol iletim lisansı sahibi ile rafinerici lisansı sahibi tüzel kişiler yükümlü olacaklar.
EPDK, öncelikle mühendislerin operatörlerin kullandıkları bilgisayarlar, ağlara yönelik envanterler çin hazırlanan bildirim formlarının doldurulmasını isteyecek. Daha sonra riskleri tanıyacak, bunların gerçekleşme ihtimallerini anlayacak. Bunun için kuruluşlara, “Firmanızın siber güvenlik tehditleri algısı nedir, aktif güvenlik önlemleri nelerdir? Son 12 ay içinde meydana gelen güvenlik ihlallerinin temel sebepleri nelerdir? Firmanızda son 12 ay içerisinde gerçekleşen siber güvenlik olayı sayısı kaçtır? Endüstriyel kontrol sistemlerinin operatör/mühendis bilgisayarlarının dahil olduğu ağın internete erişimi var mıdır? Endüstriyel kontrol sistemleriniz için fiziksel güvenlikte tesisin izlenmesini sağlıyor musunuz? (Kamera vb.)” gibi sorular yöneltecek. Firmalar daha sonra risk değerlendirmesine yönelik formu dolduracak. Risklerin gerçekleşme ihtimalleri “imkansız, düşük, normal, yüksek, muhtemel” gibi kategorilere ayrılacak ve riski azaltmak için alınacak önlemler de bildirilecek.