Türkiye'de Yeni Siber Güvenlik Kanunu: Kapsamı ve Uygulanması

Dijital çağın hızla gelişmesiyle birlikte, siber tehditler ulusal güvenliğin ayrılmaz bir parçası haline gelmiştir. 7545 sayılı Siber Güvenlik Kanunu'nun yürürlüğe girmesiyle Türkiye, siber alanda daha güvenli bir yapının kurulmasını hedeflemektedir. Bu yazıda, Kanun'un temel hükümlerini, getirilen yenilikleri ve kurumlar ile bireyler üzerindeki etkilerini özgün bir anlatımla ele alıyoruz.

Bilgi teknolojilerinin yaygınlaşması, beraberinde ciddi siber riskleri ve tehditleri gündeme getirmektedir. Ülkemizde kamu kurumlarından özel sektöre kadar her kesimi ilgilendiren siber saldırılar, hem ekonomik hem de toplumsal düzende aksamalara yol açabilmektedir. 7545 sayılı Kanun, Türkiye Cumhuriyeti'nin siber gücünü korumak, siber olayların etkisini en aza indirmek ve kamu ile özel sektörün yükümlülüklerini netleştirmek için düzenlenmiştir.

Kanun; kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşlar dahil olmak üzere, siber uzayda faaliyet gösteren tüm aktörleri kapsar. Yani, ister bir devlet kurumu olun isterse özel bir şirket, eğer bilişim sistemi kullanıyor ve veri işliyorsanız Kanun kapsamındasınız.

Sadece belirli istihbari ve askeri faaliyetler, kendi özel mevzuatlarına tabi olmaları nedeniyle kapsam dışında tutulmuştur.

7545 sayılı Kanun'un temel amacı:

• Türkiye'nin siber varlıklarının korunması,
• Siber tehditlerin tespiti ve önlenmesi,
• Olası siber olayların etkisinin azaltılması,
• Ulusal siber güvenlik stratejisinin belirlenmesi,
• Siber Güvenlik Kurulu'nun oluşturulmasıdır.

Kanunun temel ilkeleri arasında siber güvenliğin milli güvenliğin bir parçası olduğu, kritik altyapıların korunmasının öncelikli hedef olduğu ve siber güvenlik uygulamalarında hesap verebilirlik ile sürdürülebilirliğin esas alınması öne çıkar. Ayrıca, yerli ürünlerin teşviki ve insan kaynağının geliştirilmesi de önemli ilkeler arasında yer alır.

Siber Güvenlik Başkanlığı (SGB), kanunun uygulanmasında merkezi otorite olarak belirlenmiştir. Başkanlık; kritik altyapıların ve bilişim sistemlerinin siber dayanıklılığını artırmak, siber olaylara müdahale ekipleri (SOME'ler) kurmak ve denetlemek, kurumlar arası koordinasyonu sağlamak ve siber güvenlik standartlarını belirlemekle yükümlüdür.

Başkanlık ayrıca, siber güvenlik ürün ve hizmetlerinin sertifikasyonunu, denetimini ve standartlara uygunluğunu da denetler. Gerekli gördüğünde, şirketlerin veya kurumların bilgi, belge ve kayıtlarını talep edebilir, yerinde veya uzaktan müdahale ve inceleme yapabilir.

Cumhurbaşkanı başkanlığında oluşturulan Siber Güvenlik Kurulu, ulusal siber güvenlik politikalarının, stratejilerinin ve eylem planlarının belirlenmesinden sorumludur. Kurul, kritik altyapı sektörlerini belirleyebilir, teşvik politikalarını karara bağlayabilir ve kurumlar arası ihtilafları çözebilir.

Başkanlık, denetim yetkisini kullanarak hem kamu hem de özel sektördeki uygulamaları kontrol edebilir. Denetim sırasında gerekli görülen durumlarda kolluk kuvvetlerinden destek alınabilir ve gerektiğinde adli makamlardan arama, el koyma gibi işlemler için izin talep edilebilir.

Kanun kapsamına giren kurum ve kişilerden beklenen başlıca yükümlülükler şunlardır:

• Başkanlık tarafından talep edilen bilgi, belge ve teknik desteği zamanında sağlamak,
• Tespit edilen siber zafiyet ve olayları gecikmeden bildirmek,
• Sadece sertifikalı ve yetkilendirilmiş siber güvenlik ürün ve hizmetlerini kullanmak,
• Mevzuata uygun olarak faaliyet göstermek ve gerekli izin, onay ve belgeleri almak,
• Veri gizliliği ve sır saklama yükümlülüğüne uymak.

Kurumlar ve ilgili kişiler için öne çıkan pratik adımlar:

• İç bünyede siber güvenlikten sorumlu bir ekip veya kişi atanması,
• Siber olaylara müdahale planı ve iletişim protokollerinin oluşturulması,
• Yetkilendirilmiş siber güvenlik şirketlerinden hizmet alınması,
• Olay ve zafiyet raporlarının düzenli olarak Başkanlığa iletilmesi,
• Tüm personelin gizlilik ve siber farkındalık konularında eğitilmesi,
• Denetimlere hazır halde veri ve sistemlerin bulundurulması.

Bir enerji şirketinde, kritik altyapıya yönelik bir saldırı tespit edildiğinde, şirketin vakit kaybetmeden Siber Güvenlik Başkanlığı'na bildirimde bulunması gerekir. Bildirim yapılmaz veya kanuna aykırı şekilde niteliksiz bir ürün kullanılırsa, hem yüksek idari para cezaları hem de sorumlu yöneticiler hakkında cezai işlem uygulanabilir.

Kanun, siber güvenlik yükümlülüklerini ihlal edenler için ağır yaptırımlar öngörmektedir:

• Bilgi, belge ve donanım sağlamayanlar için 1-3 yıl hapis ve adli para cezası,
• Yetkisiz faaliyet yürütenler için 2-4 yıl hapis ve para cezası,
• Sır saklama yükümlülüğünü ihlal edenlere 4-8 yıl hapis,
• Kişisel veya kritik verileri izinsiz paylaşanlara 3-5 yıl hapis,
• Gerçeğe aykırı siber olay içerikleri yayanlara 2-5 yıl hapis,
• Milli siber güce saldıranlara 8-12 yıl, verileri sızdıranlara 10-15 yıl arası hapis,
• Suçun kamu görevlisi veya örgüt faaliyetiyle işlenmesi halinde cezalar artırılır,
• İdari para cezaları, ihlalin niteliğine göre 1 milyon TL'den 100 milyon TL'ye kadar çıkabilir.

7545 sayılı Siber Güvenlik Kanunu ile Türkiye, siber tehditlere karşı kapsamlı ve güncel bir mevzuat altyapısı kazanmıştır. Kanun; kamudan özel sektöre, bireylerden şirketlere kadar geniş bir kapsama sahiptir ve siber güvenliğin sağlanması için net sorumluluklar ile ciddi yaptırımlar öngörmektedir. Tüm kurum ve kişilerin, yeni yasal düzenlemelere hızla uyum sağlaması, hem kendi güvenlikleri hem de ülke bütünlüğü açısından hayati önem taşımaktadır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.