Türkiye'deki siber varlıkların siber saldırılara karşı korunmasına yönelik stratejileri belirleyen ve siber güvenliği merkezi denetim ve düzenleme yetkisiyle güçlendiren Siber Güvenlik Kanunu (“Kanun”) 19 Mart 2025 tarihinde kabul edilerek Resmi Gazete’de yayımlandı ve yürürlüğe girdi. Tasarı 10 Ocak 2025 tarihinde Türkiye Büyük Millet Meclisi'ne sunulmuştu. Kanun uyarınca, Siber Güvenlik Kurulu (“Kurul”) ve Siber Güvenlik Başkanlığı (“Başkanlık”) kurulacak.
Kapsam
Doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemleri ve bunları birbirine bağlayan ağlardan oluşan ortamı ifade eden ‘siber uzay’ Kanuni düzenlemenin uygulama kapsamını teşkil ediyor. Kanun, siber güvenlik politika ve stratejilerinin yürütülmesi, siber saldırıların önlenmesi ve etkisinin azaltılmasına yönelik tedbirlerin alınmasından bütün kamu kurum ve kuruluşları ile gerçek ve tüzel kişileri sorumlu tutuyor.
Siber Güvenlik Başkanlığı: Geniş Sorumluluk ve Yetkiler
Kanun ile, özellikle kamu kurum ve kuruluşları ile kritik altyapıların siber olaylardan etkilenmemesi amacıyla kapsamlı görev ve yetkiye sahip Başkanlık kuruluyor. Başkanlığın sorumluluk alanında, Kanun kapsamında bulunanların siber saldırılara karşı korunmasına yönelik faaliyet yürütmek, kritik altyapılar ile ait oldukları kurumları ve konumları belirlemek; Siber Olaylara Müdahale Ekipleri’nin (“SOME”) kurulması ve denetlenmesi; siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esaslar ile standartları düzenleme; bu alandaki yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifikasyon işlemlerini yürütme gibi görevler yer alıyor.
Kanun ile Başkanlık’a oldukça geniş bir denetim yetkisi tanınıyor. Öyle ki millî güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hâkim kararı üzerine veya gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısının yazılı emri ile konutta, işyerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilecek, uzun süreli hizmet aksamasına yol açmayacak ve kesintisiz şekilde kopya çıkarma ve el koyma işlemi gerçekleştirilebilecek.
Sektörel Düzenlemeler ve Siber Güvenlik Şirketleri
Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlere çeşitli sorumluluklar getirildi. Temel olarak Başkanlık ile işbirliği yapmaya dayalı bu görev ve sorumlulukları aşağıda özetledik:
- Hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek.
- Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri, Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmek.
- Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerinin faaliyete geçmeden önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını alması.
Kanun, siber güvenlik şirketlerine özgü yükümlülükleri ayrıca belirtiyor. Buna göre, siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı, Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılacak. Ayrıca, siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemlerinin Başkanlığa bildirilmesi gerekiyor. Bu işlemler kapsamında gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler, Başkanlık onayına tabi tutuluyor. Başkanlık onayı alınmaksızın gerçekleştirilen işlemlerin hukuki geçerlilik kazanmayacağı belirtilmiş. Bu yükümlülüklerin, Başkanlıkça hazırlanacak ikincil düzenleme ile detaylandırılacağı anlaşılıyor.
Halihazırda siber güvenlik alanında faaliyet gösterenlerin, ikincil düzenlemelerin yürürlüğe girmesinden itibaren bir yıl içerisinde sertifikasyon, yetkilendirme ve belgelendirme işlemlerini tamamlamaları gerekiyor.
Yaptırımlar
Kanun’a aykırılık hapis cezası, hapis cezasına ek olarak adli para cezası ve idari para cezası olmak üzere üç farklı yaptırımla sonuçlanabilir.
Cezai Yaptırım Öngörülen Haller |
İdari Para Cezası Öngörülen Haller |
---|---|
Denetimde istenen bilgi, belge, vb. vermemek veya bunların alınmasına engel olmak |
Tespit edilen zafiyet veya siber olayları Başkanlık’a bildirmemek (on milyon Türk lirasına kadar) |
Alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütmek |
Kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri yetkilendirilmiş taraflardan tedarik etmemek (on milyon Türk lirasına kadar) |
Sır saklama yükümlülüğünü yerine getirmemek |
Siber güvenlik şirketlerine özgü görev ve sorumlulukların yerine getirilmemesi (yüz milyon Türk lirasına kadar), |
Kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri erişime açmak, paylaşmak veya satışa çıkarmak |
Denetime ilişkin yükümlülüklerin yerine getirilmemesi (bir milyon Türk lirasına kadar, - ticari şirketler için yüzbin Türk lirasından az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar) |
Siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturmak |
|
Siber saldırıda bulunmak, saldırı neticesinde elde edilen her türlü veriyi siber uzayda yaymak, başka bir yere göndermek veya satışa çıkarmak |
|
Görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet vermek. |
Sonuç
Siber güvenlik ile ilgili düzenleme eksikliğinin giderilmesi uzun süredir beklenen bir konuydu. Bununla birlikte Kanun’da tanımlanan yetkilerin ve yükümlülüklerin kapsamı, uygulamada pek çok endişeyi de beraberinde getirebilir. Bu Kanunun uygulanmasına ilişkin düzenlemelerin, bir yıl içinde yürürlüğe konulacağı belirtiliyor.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.