Siber Güvenlik Kanunu Yürürlüğe Girdi

Son günlerde gündemi meşgul eden Siber Güvenlik Kanunu nihayet Resmi Gazete’de yayımlanarak yürürlüğe girdi. Siber Güvenlik Başkanlığı’nın kurulmasıyla ülkemizin siber güvenliğe verdiği önem bir kez daha gözler önüne serildi. Bu kanun ile siber güvenlik alanında daha kapsamlı bir koruma mekanizması oluşturulmuş oldu. Yazımızda Siber Güvenlik Kanunu’nun genel hatlarını özetlemeye çalıştık:

Kanunun Amaçları:

Bu kanunun temel amacı, Türkiye Cumhuriyeti’nin siber alandaki milli varlığını oluşturan tüm unsurların iç ve dış tehditlere karşı korunmasıdır. Ayrıca, ülke genelinde siber olayların doğurabileceği olumsuz etkilerin en aza indirilmesi için gerekli önlemlerin belirlenmesi ve kamu kuruluşları, meslek kuruluşları, gerçek ve tüzel kişilerle tüzel kişiliği bulunmayan kuruluşlar için siber saldırılara karşı korunma düzenlemelerinin yapılması hedeflenmektedir. Bu bağlamda, etkili siber güvenlik stratejilerinin geliştirileceği ve uygulanacağı Siber Güvenlik Kurulu’nun oluşturulması için yasal çerçeve çizilmektedir.

1. Milli Güç Tespiti: Türkiye’nin siber alandaki milli varlığını korumak ve güçlendirmek.
2. Tehdit Analizi: İçten ve dıştan gelen mevcut ve muhtemel tehditleri belirleyip bertaraf etmek.
3. Etkilerin Azaltılması: Siber olayların olası etkilerini azaltacak tedbirlerin titizlikle geliştirilmesi.
4. Kamu Kuruluşları Koruma: Kamu ve özel sektör kuruluşlarının siber saldırılara karşı korunmasını sağlamak için idari düzenlemelerin yapılması.
5. Strateji ve Politika Geliştirme: Ülkenin siber güvenliği için uygun strateji ve politikaların belirlenmesi.
6. Siber Güvenlik Kurulu: Siber güvenlik alanında koordinasyon ve yönlendirme sağlamak üzere kurulacak kurulun yapısı ve işlevleri.

Siber Güvenlik Kanunu Kapsamı

Bu kanun, siber alanda faaliyet gösteren, hizmet sunan ve siber saldırılara maruz kalabilecek tüm kamu kurumları ve kuruluşları, ilgili meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği olmayan kuruluşlar için geçerlidir. Ancak belirli istihbari faaliyetler, Türk Silahlı Kuvvetleri ve diğer güvenlik güçlerinin görevleri kapsamında yürütülen işlemler bu kanunun kapsamı dışındadır. Bu maddenin amacı, siber güvenliğin sağlanmasında hangi aktörlerin rol aldığını net bir şekilde tanımlamaktır.

1. Hedef Kitle: Siber alanda faaliyet gösteren kamu kurumları, meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği olmayan kuruluşlar.
2. İstihbari Faaliyetler: Bazı yasa ve yönetmeliklerle yürütülen istihbari faaliyetler bu kanunun dışında kalmaktadır.

Tanım ve Kısaltmalar

1. Barındırma: Verilerin dış veri merkezlerinde saklanması.
2. Bilişim Sistemleri: Donanım, yazılım ve sistemlerin bütününü içeren tanım.
3. Kritik Altyapı: Can ve mal kaybına ya da büyük ekonomik zarara neden olabilecek kritik sistemler.
4. Siber Güvenlik: Siber alanda veri ve sistemlerin güvenliği ile ilgili tüm tedbirlerin alınmasını kapsar.
5. Siber Olay: Bilgi sistemlerinin gizliliği, bütünlüğü veya erişilebilirliğini ihlal eden durumlar.
6. Siber Saldırı: Bilgi sistemlerine yönelik kötü niyetli girişimler.
7. Siber Tehdit: Veri güvenliğini tehdit eden potansiyel riskler.
8. SOME: Siber olaylara müdahale ekipleri.
9. Zafiyet: Saldırıya açık olan sistem ve süreçlerin varlığı.

Siber Güvenlik Kanunu’ndaki Temel İlkeler

Bu maddenin amacı, siber güvenliğe dair temel ilkeleri belirlemektir. Siber güvenlik, milli güvenliğin ayrılmaz bir parçasıdır. Kritik altyapılar korunmalı ve güvenli bir siber alan oluşturulmalıdır. Ayrıca, yerli ve milli ürünler öncelikle tercih edilerek siber güvenliğin sağlanması hedeflenmektedir. Süreklilik, sürdürülebilirlik ve hesap verebilirliğin sağlanması da önemli unsurlardır. Toplumda siber güvenlik kültürünün yaygınlaştırılması amacıyla eğitim çalışmaları desteklenecektir.

1. Milli Güvenlik: Siber güvenliğin milli güvenliğin bir parçası olduğu.
2. Koruma Hedefi: Kritik altyapı ve sistemlerin korunmasına öncelik verme.
3. Karmaşıklık ve Süreklilik: Siber güvenlik çalışmalarının sürekli ve karmaşık bir yapıda yürütülmesi gerekliliği.
4. Yerlilik ve Millilik: Yerli ürünlerin tercih edilmesi.
5. Sorumluluk Dağılımı: Kamu kurumları ve gerçek/tüzel kişilerin siber güvenlik politikalarını yürütme yükümlülüğü.
6. Hesap Verebilirlik: Süreçlerin şeffaf ve denetlenebilir olması.
7. Sürekli Gelişim: Politika ve stratejilerin sürekli gelişim esasına dayalı olarak güncellenmesi.
8. Eğitim ve Bilinçlendirme: Toplumda siber güvenlik kültürünü yaygınlaştırmak.

2. Bölüm: Görev, Yetki, Sorumluluk, Denetim ve Siber Güvenlik Kurulu

Siber Güvenlik Başkanlığı’nın Görevleri

Siber Güvenlik Başkanlığı’nın görevleri arasında siber saldırılara karşı önleyici tedbirler almak, kritik altyapıları korumak, siber tehditleri tespit etmek ve bu tehditlerle mücadele etmek gibi önemli görevler yer alır. Başkanlık, kamu kurumlarının veri envanterlerini tarayarak risk analizleri gerçekleştirecek ve zafiyet testleri yapacaktır. Ayrıca, bu alanda siber olaylara müdahale ekipleri (SOME) kurmak ve bu ekiplerin olası seviyelerini artıracak tatbikatlar gerçekleştirmek de görevleri arasındadır.

1. Mevzuat Görevleri: İlgili mevzuat çerçevesinde görevlerini yerine getirmek.
2. Siber Dayanıklılığı Artırma: Kritik altyapıların dayanıklılığını artırmak için gerekli önlemleri almak.
3. Zafiyet Testleri: Altyapılara yönelik güvenlik testleri ve analizler gerçekleştirmek.
4. Veri Envanteri: Kamu kurumlarının veri envanterlerinin toplanmasını sağlamak.
5. SOME Kurma: Siber olaylara müdahale ekiplerinin kurulması ve denetimi.
6. Siber Güvenlik Politikaları: Ürünlerin siber güvenlik standartlarını belirleme ve denetleme.

Yetkiler

Başkanlık, belirlediği yetkiler dahilinde gerekli tedbirleri almak ve siber saldırılara karşı caydırıcılık sağlamakla görevlidir. Bilişim sistemlerine yönelik yazılım ve donanım ürünlerinin kurulmasını sağlamakla birlikte, siber olay anında müdahale desteği verme yetkisine de sahiptir. Ayrıca, kamu ve özel sektörle işbirliği içinde çalışarak uluslararası kuruluşlarla bilgi alışverişinde bulunma yetkisi bulunmaktadır.

1. Görev Yetkisi Kullanma: İlgili yasalar gereği görev yetkilerini kullanma hakkı.
2. Koruma Önlemleri: Siber saldırılara karşı müdahale sağlayacak önlemleri alma yetkisi.
3. Olay Müdahale Desteği: Siber olaylar ile karşılaşan kuruluşlara destek verme.

Sorumluluklar ve İşbirliği

1. Veri İletimi: Başkanlığın talep ettiği verilerin zamanında iletilmesi.
2. Zafiyet Bildirimi: Tespit edilen zafiyetlerin gecikmeden bildirilmesi.
3. Ürün Temini: Güvenli siber güvenlik ürünlerinin temin edilmesi.
4. Politika Uygulama: Geliştirilen strateji ve eylem planlarının uygulanması.

Denetim

1. Denetim Yetkisi: Başkanlık, gerekli durumlarda denetim yapmak için yetkilidir.
2. Mahallinde İnceleme: Denetim sırasında gerekli verilerin toplanma yetkisi.
3. Denetim Koordinasyonu: Bağımsız denetim kuruluşlarıyla işbirliği sağlama.

Siber Güvenlik Kurulu

1. Kurul Oluşumu: Cumhurbaşkanı, bakanlar ve güvenlik başkanından oluşmaktadır.
2. Toplantılar: Gündeme göre ilgili kişilerin toplantılara davet edilmesi.
3. Komisyon Oluşturma: Gerekli görüldüğünde teknik çalışma grupları oluşturma yetkisi.
4. Kurul Görevleri: Siber güvenlikle ilgili politikaları belirleme ve uygulama.

3. Bölüm: Personele İlişkin Hükümler

Sözleşmeli Uzman Personel İstihdamı

1. Uzman Personel Alımı: Siber güvenlik alanında uzman personel istihdamı.
2. İstihdam Koşulları: Çalışma koşulları ile ilgili düzenlemeler.

Zorunlu Hizmet Yükümlülüklerinin Devri

1. Hizmet Sürelerinin Düşülmesi: Başkanlıkta geçen sürelerin diğer kamu kuruluşlarından düşülmesi.

Yasak Hükümler

1. Yasaklı Faaliyetler: Başkanlıkla ilişiği kesilenlerin siber güvenlik alanında görev alması yasaktır.

Sır Saklama Yükümlülüğü

1. Gizlilik Yükümlülüğü: Görev sırasında edinilen bilgilerin gizli tutulması.

4. Bölüm: Gelir ve Muvafakatler

Başkanlığın Gelirleri

1. Hazine Yardımları: Genel bütçeden alınan yardımlar.
2. Faaliyet Gelirleri: Başkanlığın kendi faaliyetlerinden elde ettiği gelirler.
3. İdari Para Cezaları: Verilen cezaların gelir olarak kaydedilmesi.
4. Diğer Gelirler: İlgili fonlardan elde edilen gelirler.

Muvafakatler

1. İthalat İstisnaları: Başkanlığın malzeme ve donanım ithalatında gümrük vergisinden muafiyeti.

5. Bölüm: Cezai Hükümler ve İdari Para Cezalarının Uygulanması

Cezai Hükümler

1. Cezalar: Bilgi, belge veya yazılımlarını vermeyen kişiler için hapis ve para cezası.
2. İzin Almadan Çalışma: Yetki ve izin almadan faaliyet yürütenler için ağır cezalar.
3. Veri Sızıntısı: Kişisel verilerin izinsiz paylaşılması durumunda hapis cezaları.
4. Yanlış Bilgilendirme: Yanlış içerik üretenler için cezai yaptırımlar.
5. Siber Saldırı: Siber alana yönelik saldırılar için ağır hapis cezası.

İdari Para Cezalarının Uygulanması

1. Savunma Hakkı: İdari para cezası verilirken ilgili kişinin savunmasının alınması.
2. Birden Fazla Kabahat: Aynı kabahatin birden fazla yapılması durumunda tek ceza uygulanması.

6. Bölüm: Çeşitli ve Son Hükümler

Siber Güvenlik Ürünleri ve Şirketleri

1. Yurt Dışına Satış: Siber güvenlik ürünlerinin yurt dışına satışında onay gerekliliği.
2. Şirket İşlemleri: Siber güvenlik şirketlerinin birleşme ve devri durumlarında Başkanlığa bildirilmesi.

Geçiş Düzenlemeleri (GEÇİCİ MADDE 1)

1. Devir İşlemleri: Mevcut siber güvenlik varlıklarının devri.
2. Atama Süreçleri: Daha önceki kuruluşlarda çalışanların yeni pozisyonlarına atanması.

Yürürlük

1. Yürürlüğe Giriş: Kanunun yayımından itibaren yürürlüğe girmesi.

Sonuç

Sonuç olarak, oldukça detaylı ve özellikle yerlilik ve millilik amaçlarını taşıyan bu kanunun, hem özel sektörü hem de devlet nezdinde siber güvenliğin gelişimini sağlayacağını düşünmekteyiz.

Yazarın tüm blog yazılarına bağlantıdan ulaşabilirsiniz. Yazarın “Siber Güvenlik Başkanlığı” hakkındaki yazısını bağlantıdan okuyabilirsiniz. Hukuk ve Bilişim Derneği’nin son sayısına buradan ulaşabilirsiniz.

Yazar: Av. Ali ERŞİN (LL.M.)
Hukuk ve Bilişim Derneği Genel Koordinatörü
Mail: bilgi@avaliersin.com

Telefon ve WhatsApp: +90 541 316 96 21    –     0312 911 64 52