GENEL GEREKÇE
Günümüzde siber güvenlik, dijitalleşmenin hız kazandığı bir dünyada kritik önceliklerden biri haline gelmiştir. Hem bireylerin hem de kurumların dijital varlıklarını koruma ihtiyacı, gelişmiş ülkelerde stratejik Öneme sahip olan siber güvenlik politikalarım ve teknolojik yatırımları beraberinde getirmiştir. Yapay zekâ, blok zincir, büyük veri, kuantum ve bulut bilişim gibi teknolojilerin yaygınlaşması, siber tehditlerin karmaşıklığını artırırken, aynı zamanda savunma mekanizmalarımn gelişimini de tetiklemiştir. Kritik altyapıların korunması ve kamu kurumlarının dijital süreç ve varlıklarının güvence altına alınması, modern siber güvenlik stratejilerinin merkezinde yer almaktadır. Bununla beraber, Milli Teknoloji Hamlesi kapsamında ülkemizin yaşadığı teknolojik dönüşüm ve gelişim sürecinde siber güvenlik en temel gerekliliklerinden biri haline gelmiştir.
Ülkemizin özellikle son 20 yılda teknolojide yaptığı atılım internet kullanıcı sayısını da artırmıştır. Araştırmalara göre, ülkemizde internet kullanıcıları günlük ortalama 7,5 saat internette zaman geçirmekte ve bunun yaklaşık 3 saatini sosyal medya üzerinde harcamaktadır. Mobil abone sayısı 93,3 milyona, mobil genişbant abone sayısı 72,7 milyona ve sabit genişbant kullanıcıları yaklaşık 19,9 milyona ulaşmıştır. Mobil internet kullanıcılarının ortalama aylık veri tüketimi 16,7 GB iken, sabit genişbant abonelerinin aylık ortalama kullanımı 272 GB olarak ölçülmüştür. Bu veriler, ülkemizin iletişim altyapısındaki hızlı gelişimi ve dijitalleşmenin günlük hayattaki etkisini açıkça ortaya koymaktadır.
Diğer taraftan, bağlı cihaz sayısının ve akıllı uygulamaların artmasıyla tüm dünyada üretilen veri miktarında ciddi bir artış yaşanmaktadır. Üretilen verinin 2024 itibarıyla 180 zettabayt sınırlarına ulaşması, veri işlemeye dayalı hizmetler ile çözümlerin gerek iş hayatında gerekse gündelik yaşamda önemli bir yer tutmasına yol açmıştır. 2004 yılında üretilen toplam veri miktarmın yalnızca 5 exabayt civarında olduğu göz önüne alındığında, geçen süre zarfında üretilen veri miktarının yaklaşık 36 bin kat arttığı görülmektedir. Bu artış, dijitalleşmenin hızını ve veri odaklı teknolojilerin hayatımızdaki etkisini çarpıcı bir şekilde ortaya koymaktadır.
Konvansiyonel savaşlar yerini hibrit ve asimetrik savaşlara bırakmış, devlet destekli siber saldırılar başta olmak üzere terör örgütleri, organize suç örgütleri ve bireysel motivasyonla hareket eden siber tehdit aktörleri tarafından devlet kurumlan, enerji, finans, sağlık ve haberleşme sistemleri gibi kritik altyapılar ile her türlü teknolojik cihaz hedef alınmaya başlanmıştır. Siber saldırıların devlet politikalarımn bir aracı olarak kullanılmasındaki artış, savaş ve barış halleri arasındaki sınırı belirsizleştirmiş, ülkeler direkt askeri misillemeden kaçınmak için siber saldırıları; siyasi, ekonomik ve askeri hedeflere yönelik düşük maliyetli yüksek etkili bir strateji haline getirmiştir. Ayrıca tedarik zincirlerine yönelik saldırılar sonucunda, birçok sektörde kritik sistemler çökmüş ve kesintiler yaşanmıştır.
2024 yılı itibarıyla siber saldırılar, küresel ölçekte her gün yoğunlaşarak karmaşık bir tehdit oluşturmaya devam etmiştir. Üçüncü çeyrekte, her bir kuruluş başına haftalık ortalama 1.876 siber saldırı gerçekleştirilmiş, bu da 2023’ün aynı dönemine göre %75Tik bir artışı ifade etmektedir.
Bir ülkenin siber güvenlik alanında ön plana çıkarak rol model olabilmesi, kapsamlı bir siber güvenlik çatı mevzuatının varlığı ve merkezi bir otoritenin etkin işleyişiyle doğrudan ilişkilidir. Çatı bir mevzuat, ulusal düzeyde siber güvenlik politikalarımn tutarlılığını sağlamanın yanı sıra kamu kurumlan, özel sektör ve bireyler için bağlayıcı standartlar sunmaktadır. Ayrıca, uluslararası iş birliği ve karşılıklı tanınabilirlik açısından temel bir çerçeve sağlayarak, bir ülkenin küresel siber güvenlik eko sistemindeki konumunu güçlendirmektedir. Bu mevzuatın etkili bir şekilde uygulanması, merkezi bir otoritenin varlığıyla mümkün hale gelmektedir. Çünkü, merkezi bir yapı, kaynakların verimli kullanımını, hızlı ve koordineli karar alma mekanizmalarım desteklemekte ve aynı zamanda, tehditlerin daha etkili tespit edilmesi,
müdahale süreçlerinin uyum içinde yürütülmesi ve stratejik hedeflere odaklanılması için bir temel oluşturmaktadır.
2024 yılında Uluslararası Telekomünikasyon Birliği tarafından yayımlanan Küresel Siber Güvenlik Endeksi verilerine göre “Rol Model Ülke” kategorisi içerisinde yer alan 46 ülkenin siber güvenlik yapısı ve mevzuatı incelendiğinde; bu ülkelerin yaklaşık %91’i, kapsamlı bir çatı mevzuata sahip olup kişisel verilerin korunması, siber suçların önlenmesi ve kritik altyapıların güvenliği gibi konularda net bir hukuki çerçeve sunmaktadır. Ancak ülkemiz, “Rol Model Ülke” kategorisinde yer almasına rağmen gerçek anlamda çatı mevzuat özelliği teşkil edecek kapsamlı bir siber güvenlik kanununa sahip değildir. Ülkemizdeki siber güvenlik yapılanmasmda Ulaştırma ve Altyapı Bakanlığı, Sanayi ve Teknoloji Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi başta olmak üzere birçok kamu kurumunun sorumlulukları bulunmaktadır. Ayrıca çatı mevzuat eksikliği; veri güvenliği, ekosistem iş birlikleri, mevzuat düzenlemeleri, teşvik ve destekleri yönlendirme, uluslararası iş birlikleri, makro politika oluşturma ve benzeri birçok açıdan koordinasyon problemleri oluşturmaktadır. Çatı mevzuatın oluşturulması ülkemizin küresel endekslerde üst sıralara yükselmesine katkı sağlayacaktır.
Tüm bu hususlar; ülkemizde halen farklı yapılar altında sürdürülmeye çalışılan siber güvenlik yaklaşımının, yeniden yapılandırılması ihtiyacını ortaya koymaktadır.
Bu kapsamda Teklifle;
Ülkemizin siber güvenlikle ilgili politika ve stratejisini belirlemek üzere Siber Güvenlik Kurulunun kurulması,
Siber güvenlik alanında geliştirilen politikaların ulusal satıhta etkin bir şekilde uygulanması,
Kamu kurumlan ile kritik altyapı kuruluşlarının siber mukavemetinin ve siber olgunluk seviyesinin artırılması,
Güncel teknolojik gelişmelerin takip edilmesi ve siber güvenlik süreçlerine entegre edilmesi,
Kamu kurumlan ve kritik altyapı kuruluşlannın bilişim sistemlerinde oluşabilecek siber güvenlik olaylarının merkezi bir bakış açısıyla izlenmesi, tespiti ve bertaraf edilmesi,
Eylem planlarının ve ikincil mevzuatların hayata geçirilmesi,
Denetim ve özellikle caydırıcı yaptırım süreçlerinin işletilmesi,
Siber güvenlik ekosisteminin güçlendirilmesi,
Standardizasyon, sertifikasyon ve yetkilendirme süreçlerinin düzenlenmesi,
Siber suçlara yönelik cezaların artırılması suretiyle caydırıcılığın sağlanması amaçlanmaktadır.
Genel gerekçe metni, Türkiye’de siber güvenliği kapsamlı ve merkezi bir yapıya kavuşturma ihtiyacını oldukça net ortaya koyuyor. Dijitalleşmenin hızlanması, kritik altyapıların dijital süreçlere giderek daha fazla bağımlı hale gelmesi ve siber tehditlerin çeşitlenerek milli güvenliğin parçası konumuna gelmesi, siber güvenliği sıradan bir teknik mevzudan çıkarıp stratejik bir gereklilik haline dönüştürmüştür. Metinde yer alan internet kullanıcı sayısı, artan veri trafiği ve mobil genişbant verileri gibi istatistikler, ülkemizin dijitalleşme sürecinde ne denli yol aldığını, ancak aynı zamanda da siber risklerin ne kadar büyüdüğünü göstermektedir. Hibrit ve asimetrik savaşların yükselişiyle birlikte devlet destekli siber saldırıların, terör örgütlerinin ve organize suç ağlarının kritik altyapıları hedef alması dünya genelinde büyük bir endişe kaynağı haline gelmiştir. Dolayısıyla konvansiyonel güvenlik tedbirlerinin yanı sıra siber uzayda da güçlü, merkezi bir güvenlik mekanizması kurulması elzem hale gelmiştir.
Gerekçe kısmında, özellikle “Milli Teknoloji Hamlesi” ve Türkiye’nin “Rol Model Ülke” kategorisinde yer aldığı vurgulanmakla birlikte, siber güvenlikte çatı bir mevzuatın eksikliği çeşitli koordinasyon sorunlarına yol açtığı ifade edilmektedir. Mevcut yapı altında Ulaştırma ve Altyapı Bakanlığı, Sanayi ve Teknoloji Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi gibi kurumların farklı sorumluluk ve yetki alanları bulunmaktadır. Ancak ulusal düzeyde tek elden yürütülen bir stratejik yaklaşım olmaması, veri güvenliğinden başlayarak teşvik ve destek mekanizmalarına kadar birçok konuda parçalı bir yönetim sistemine sebebiyet vermektedir. Bu durum, siber saldırılara karşı hızlı müdahale etme kapasitesini düşürdüğü gibi siber güvenlik ekosistemini de zayıflatmaktadır. Gerekçe, ayrıca uluslararası iş birliği imkânlarının da merkezi ve kapsamlı bir düzenleme çatısı altında daha verimli hale geleceğinin altını çiziyor. Bu teklifin amaçladığı düzenlemeler aslında; kamu kurumları ile kritik altyapı kuruluşlarının siber direnç seviyelerini yükseltmek, siber olayların tek noktadan tespiti ve takibi için merkezi bir mekanizma oluşturmak, caydırıcı yaptırım süreçlerini etkin kılmak, yerli ve milli çözümlerin tercih edilmesini ve geliştirilmesini desteklemek, siber suçlara yönelik cezaları artırarak daha güçlü bir caydırıcılık sağlamak gibi geniş bir yelpazeyi kapsıyor. Dünyadaki eğilimlere paralel olarak, siber güvenliğin yalnızca teknolojik tedbirler değil, aynı zamanda hukuki, idari ve stratejik boyutuyla da ele alınması gerektiği vurgulanıyor. Gerekçe metninde bahsedilen veriler ve küresel eğilimler, Türkiye’nin uluslararası endekslerde daha üst sıralara yükselmesi ve küresel siber güvenlik ekosistemindeki konumunu güçlendirmesi için böyle bir kapsamlı kanunun gerekliliğini desteklemektedir. Türkiye’de son zamanlarda özellikle de KVKK kapsamındaki Teknik Tedbirler aracılığı ile ve özellikle finans, enerji ve siber güvenlik kuruluşları başta olmak üzere, birçok direktif, önlem ve alınması zorunlu husus ortaya çıkmıştır. Bu alanlarda çalışan uyum görevlileri için ise yeni bir mevzuatın eklendiğini belirtmek hiç de yanlış olmaz. Ülkemiz adına atılacak bu adımın ve sürecin devamındaki yönetmeliklerin sıkı takipçisi olacağız. Maddelerin gerekçelerine teker teker veya genel bir yorum yapmayacağız fakat maddelerin kendilerine yaptığım yorumlarda gerekçelerle ilgili yorumlarımız da bulunmaktadır.
MADDE 2- Madde ile Kanunun kapsamına ilişkin genel çerçevenin belirlenmesi amaçlanmakta, milli güvenlik istihbaratını Devlet çapında oluşturmakla görevli Milli İstihbarat Teşkilatının yürüttüğü faaliyetleri ile Emniyet Genel Müdürlüğü ve Jandarma Genel Komutanlığının yürüttükleri istihbari nitelikteki faaliyetler kanun kapsamı dışında tutulmaktadır.
MADDE 3- Madde ile Kanunda yer alan tanım ve kısaltmaların açıklamalarına yer verilmektedir.
MADDE 4- Madde ile siber güvenlik için temel alınan; kurumsallık, süreklilik, sürdürülebilirlik, hesap verilebilirlik, hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması gibi ilkelere yer verilmektedir.
MADDE 5- Madde ile Siber Güvenlik Başkanlığının; Cumhurbaşkanlığı Kararnamesi ile belirlenen görevlerinin yam sıra; kritik altyapı ve bilişim sistemlerinin siber dayanıklılığını artırmak, bunları siber saldırılara karşı korumak, sertifıkasyon, yetkilendirme ve belgelendirme faaliyetleri yürütmek, siber mukavemeti artırmak, siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları belirlemek gibi görevleri düzenlenmekte ve KamuNet kamu sanal ağ altyapısımn ve ulusal kamu entegre veri merkezlerinin kurulmasına ilişkin görevler Başkanlığa devredilmektedir.
MADDE 6- Madde ile Siber Güvenlik Başkanlığının görevlerini yerine getirmesi esnasında, Cumhurbaşkanlığı Kararnamesi ile belirlenen yetkilerinin yanı sıra kullanacağı; kamu kurumlan ve kritik altyapı kuruluşlarından veri ve log kayıtlarım kendi yönetiminde bulunan bilişim sistemlerine aktarabilme, yürüttüğü faaliyetlerle sınırlı olmak kaydıyla ilgili kurum, kuruluş ve şahıslardan gerekli bilgi, belge, veri ve kayıtları alabilme, siber güvenlik denetim faaliyetlerini yürütme gibi yetkilerine ilişkin düzenleme yapılmaktadır.
MADDE 7- Madde ile bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin, siber güvenliğe ilişkin görev ve sorumluluklarının belirlenmesi sağlanmaktadır.
MADDE 8- Madde ile siber güvenlik alanında Başkanlık tarafından gerçekleştirilecek rutin veya olay üzerine denetim faaliyetine ilişkin esaslar ile mahallinde yapılacak incelemelere yönelik hususlar belirlenmektedir.
MADDE 9- Madde ile siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlere yönelik kararları almak üzere Siber Güvenlik Kurulu oluşturulmakta ve Kurulun kimlerden oluşacağı düzenlenmektedir.
MADDE 10- Madde ile Başkanlıkta sözleşmeli uzman personel istihdam yöntemi ile ücretlerine ilişkin esaslar belirlenmektedir.
MADDE 11- Madde ile ilgili mevzuat kapsamında bir kamu kurum veya kuruluşuna karşı zorunlu hizmet yükümlülüğü bulunanların Başkanlıkta geçen hizmet sürelerinin, ilgili kurumun muvafakati ile söz konusu hizmet yükümlülüğünden sayılabilmesi öngörülmektedir.
MADDE 12- Madde ile Başkanlıkta görev alanlar ile Başkanlıktan herhangi bir nedenle ilişiği kesilenlerin yükümlülüklerine yer verilmektedir.
MADDE 13- Madde ile Başkanlık tarafından yürütülen görev ve faaliyetler kapsamında edinilen sırların saklanmasına ilişkin yükümlülükler düzenlenmektedir.
MADDE 14- Madde ile Başkanlığın gelir kalemleri belirlenmektedir.
MADDE 15- Madde ile Başkanlığın hizmetlerini yürütürken ihtiyaç duyacağı her türlü araç, malzeme gibi hususlar yönüyle tabi olduğu muafiyet ve istisnalar belirlenmektedir.
MADDE 16- 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununda bazı suçların bilişim sistemleriyle işlenmesi, suçun nitelikli hali (madde 142, madde 158, madde 228) olarak düzenlenmektedir. Aynı Kanunun 243 ila 246 ncı maddelerinde ise “Bilişim Alanında Suçlar” başlığı altında özel bir bölüm yer almaktadır. Türk Hukuk Sisteminde siber suçlarla ilgili olarak farklı kanunlarda da çeşitli düzenlemeler olduğu görülmektedir. 5/12/1951 tarihli ve 5846 sayılı Fikir ve Sanat Eserleri Kanununda siber suçlara konu olabilecek eylemler düzenlenmektedir. Yine siber suçların internet ortamında artan oranda işlenmesi, internetle alakalı bazı özel kurumların oluşması ve belli bir düzenin geliştirilmesi 4/5/2007 tarihli ve 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ile belirlenmekte, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla, yer ve erişim sağlayıcılar üzerinden mücadeleye ilişkin esas ve usuller düzenlenmektedir.
Öte yandan;teknolojik gelişmelerle birlikte kritik altyapılara yönelik tehditlerin artması ve siber olayların daha karmaşık hale gelmesi nedeniyle, bu alanın tekrar gözden geçirilmesi ve farklı bir bakış açısıyla ele alınması elzemdir.
Bu nedenle madde ile, siber güvenliğe ilişkin caydırıcı yaptırım süreçlerinin işletilmesine yönelik olarak; bazı fiillere (siber saldırı gerçekleştirilmesi, kişisel veya kurumsal verilerin sızdırılması, sızdırılan verilerin yayılması vb.) hapis cezası, diğer bazı fiillere ise (mevzuatın öngördüğü tedbirlerin alınmaması, denetim faaliyetlerinin engellenmesi vb.) idari para cezası verilmesi düzenlenmektedir.
MADDE 17- Madde ile Başkanlık tarafından verilen idari para cezalarının uygulanmasına ilişkin esaslar belirlenmektedir.
MADDE 18- Madde ile Kanun kapsamında kamu kurum ve kuruluşlarının sağladığı destekle kurulan, geliştirilen veya desteklenen siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı ile bunları üreten şirketlerin bölünme, birleşme, pay devri veya satış işlemleri Başkanlığın uygun görüşüne tabi kılınmaktadır.
Milli güvenlik ve kamu kaynaklarının verimli kullanımı amacıyla, kamu kurum ve kuruluşları ve kritik altyapıların bilişim sistemlerinde, yeni tedarik sözleşmeleri kapsamında kullanılacak siber güvenlik ürün, sistem, yazılım, donamm ve hizmetlerin yurt dışına satışı veya bunları üreten şirketlerin bölünme, birleşme, pay devri veya satış işlemlerinin onayına ilişkin usûl ve esasların Başkanlık tarafından belirleneceği hüküm altına alınmaktadır.
MADDE 19- Madde ile diğer ilgili bazı Kanun ve Kanun Hükmünde Kararnamelerde uyum düzenlemelerinin yapılması öngörülmekte, bu kapsamda 5018, 5809 ve 5651 sayılı Kanunlar ile 375 sayılı Kanun Hükmünde Kararnamede muhtelif düzenlemeler yapılmaktadır.
geçici madde 1- Madde ile Kanunun yürürlüğe girmesiyle ilgili uyum, geçiş ve kuruluş işlemlerine ilişkin düzenlemelerin belirlenmesi sağlanmaktadır.
MADDE 20- Yürürlük maddesidir.
MADDE 21- Yürütme maddesidir.
SİBER GÜVENLİK KANUNU TEKLİFİ
BİRİNCİ BÖLÜM
Başlangıç Hükümleri
Amaç
MADDE 1- (1) Bu Kanunun amacı, Türkiye Cumhuriyetinin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ilişkin esasları düzenlemektir.
Madde 1, esasen Türkiye Cumhuriyeti’nin siber uzaydaki millî gücünü hedef alan mevcut ve olası tehditlerin tespiti, bu tehditlerin bertaraf edilmesi, siber olayların muhtemel etkilerinin en aza indirilmesi ve bu alana ilişkin strateji ile politikaların belirlenmesi amacıyla hazırlanmıştır. Bu kapsamda, ülkenin siber güvenliğini güçlendirmek üzere hem kamu kurumlarını hem de özel sektörü kapsayacak geniş bir çerçeve oluşturulması öngörülmekte ve “Siber Güvenlik Kurulu” benzeri, merkezi bir koordinasyon mekanizmasına sahip çatı bir otoritenin kurulması hedeflenmektedir. Türkiye’de hâlihazırda 5651 sayılı Kanun, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve Elektronik Haberleşme Kanunu gibi çeşitli yasal düzenlemeler bulunsa da, bunların hiçbiri siber güvenliği kapsamlı biçimde ele alan ve bağlayıcılığı yüksek bir çerçeve oluşturmamaktadır. Bu nedenle Madde 1, geçmişte hazırlanan ulusal eylem planlarında — özellikle 2025 yılında öngörülen GDPR ve KVKK eşlenikliği ile kısa vadeli eylem planları çerçevesinde belirlenen stratejileri — kanun düzeyine çıkarmayı amaçlamaktadır.
Avrupa Birliği’nde ise, 2016/1148 sayılı Ağ ve Bilgi Sistemlerinin Güvenliği (NIS) Direktifi ile daha sonra çıkarılan (AB) 2022/2555 sayılı NIS2 Direktifi, kritik altyapılar ve dijital hizmet sağlayıcılarının siber saldırılara karşı korunması ile olay raporlama usullerini standart hâle getirmiştir. Bu düzenlemeler, Avrupa Birliği genelinde siber güvenlik alanında ortak asgari gereklilikleri belirleyerek, üye devletlerde ENISA (European Union Agency for Cybersecurity) koordinasyonunda ortak bir siber savunma yaklaşımı geliştirilmesini sağlamaktadır. Yeni Türk kanunu da benzer şekilde, olay bildirim ve müdahale süreçlerini yasal bir zemine oturtarak, kurumlar arası bilgi paylaşımını teşvik etmeyi ve böylece ulusal siber dayanıklılığı artırmayı amaçlamaktadır. Bu hususta, Regulation (EU) 2019/881 (AB Siber Güvenlik Yasası) ve akademik kaynaklarda yer alan (örneğin, bkz. Koops, B.-J., “Cybersecurity in the European Union: Resilience and Adaptation”, Tilburg University Legal Studies Paper, 2017) çalışmalar da Avrupa Birliği’nde siber güvenliğin kurumsal çerçevesini detaylı biçimde ele almaktadır. Amerika Birleşik Devletleri’nde ise, Cybersecurity Information Sharing Act (CISA) of 2015 ve çeşitli Başkanlık Kararnameleri (örneğin, Executive Order 13636 ile Executive Order 14028) doğrultusunda, kamu-özel sektör arasında siber tehdit istihbaratının paylaşılması önceliklendirilmiştir. Ayrıca, kritik altyapıları korumak ve ülke çapında koordinasyonu sağlamak amacıyla federal düzeyde Cybersecurity and Infrastructure Security Agency (CISA) kurulmuştur. Bu kurum; tehdit analizi, olay müdahalesi ve siber güvenlik politikalarının belirlenmesi gibi işlevleri üstlenmektedir. Türkiye’nin kurmayı planladığı Siber Güvenlik Kurulu, işlevsel açıdan hem ENISA’nın Avrupa’daki rolüne hem de ABD’deki CISA’nın koordinasyon ve denetim görevine benzer bir konumda olacaktır. Bu yeni kanun, siber güvenliği bir “ulusal güvenlik” meselesi olarak ele almakta ve hem kamunun hem de özel sektörün katılımını zorunlu kılan düzenlemelerle, ülke çapında siber dayanıklılığın artırılmasını hedeflemektedir. Bu doğrultuda, uluslararası örneklerin de ışığında Türkiye’de kapsamlı bir yasal çerçevenin oluşturulması amaçlanmaktadır.
Kapsam
MADDE 2- (1) Bu Kanun, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsar.
4/7/1934 tarilıli ve 2559 sayılı Polis Vazife ve Salahiyet Kanununun ek 7 nci maddesi ve 10/3/1983 tarihli ve 2803 sayılı Jandarma Teşkilat, Görev ve Yetkileri Kanununun ek 5 inci maddesi uyarınca yürütülen istihbari faaliyetler ile 1/11/1983 tarihli ve 2937 sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu uyarınca yürütülen faaliyetler bu Kanun kapsamı dışındadır.
Kapsam dışında tutulan ilgili kurumlara baktığımızda işbu hususun makul ve mantıklı olduğu görülmektedir. Kapsam içerisinde kalanlar ise geri kalan her kurum ve kuruluş hatta adi ortaklık bile sayılabilecektir. Özellikle tek başına yazılım geliştiren kişiler açısından avrupada da olduğu gibi uyum süreçleri gittikçe zorlaşmakta, girişimciler için uyum konusunda ise devletin bir diğer parmak basması gerektiği husus olarak dikkatleri bu noktaya çekmek isteriz. Başka bir yazımızda ise bu hususa ayrıca değiniyor olacağız. Detaylı okuma yapmak isteyenleri ilgili linke davet etmekteyiz. Bkz: https://techbullion.com/navigating-legal-challenges-for-eu-startups-insights-and-strategies/
Tanım ve kısaltmalar
MADDE 3- (1) Bu Kanunda geçen;
Barındırma: Bilişim sistemlerinin harici bir veri merkezinde bulundurulmasını,
Başkan: Siber Güvenlik Başkanını,
Başkanlık: Siber Güvenlik Başkanlığını,
ç) Bilişim sistemleri: Bilgi ve iletişim teknolojileri vasıtasıyla sağlanan her türlü hizmetin, işlemin ve verinin sunumunda kullanılan donamm, yazılım, sistem ve aktif veya pasif durumda bulunan tüm diğer bileşenleri,
Kritik altyapı: İşlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barmdıran altyapıları,
Kritik kamu hizmeti: Ulusal, toplumsal veya ekonomik faaliyetlerin sürdürülmesi İçin gerekli olan ve kesintiye uğraması veya zarar görmesi halinde ulusal güvenlik, ülkenin sosyal veya ekonomik refahı, kamu düzeni veya sağlığı ya da diğer hizmetlerin sunumu üzerinde önemli bir etki oluşturabilecek ülke genelinde tekel veya sınırlı ikame ile sunulan hizmeti,
Siber güvenlik: Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye alınmasını ve sonrasında yaşanan siber olay öncesi duruma geri döndürülmesin! kapsayan faaliyetler bütününü,
Siber olay: Bilişim sistemlerinin veya bu sistemler tarafından işlenen verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesini,
ğ) Siber saldırı: Siber uzaydaki bilişim sistemlerinin ve bu sistemler tarafından işlenen verinin gizliliği, bütünlüğü veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın herhangi bir yerindeki kişi veya bilişim sistemlerine yönelik olarak kasıtlı yapılan işlemleri,
Siber tehdit: Bilişim sistemlerinin, bu sistemlerde bulunan veya bu sistemler tarafından işlenen verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesine neden olabilecek potansiyel tehlikeleri,
ı) Siber tehdit istihbaratı: Siber uzaydaki varlıklara yönelik mevcut veya potansiyel siber tehdit unsurları ile siber saldırılar hakkında bir araya getirilmiş, dönüştürülmüş, analiz edilmiş, yorumlanmış veya zenginleştirilmiş bilgiyi,
Siber uzay: Doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortamı,
SOME: Siber olaylara müdahale ekibini,
Varlık: Elektronik veya fiziksel ortamlarda yer alan ve iletişim yoluyla aktarılabilen veriyi içeren tüm bilgi ve bilgi işleme olanaklarını, veriyi kullanan veya taşıyan personeli ve veriyi barındıran fiziksel mekânları,
Zafiyet: Siber uzayda yer alan varlıkların herhangi bir siber tehdit tarafından istismar edilebilecek zayıflık ve güvenlik açıklarını,
ifade eder.
Temel ilkeler
MADDE 4- (1) Siber güvenliğin sağlanmasında temel ilkeler şunlardır:
Siber güvenlik milli güvenliğin ayrılmaz bir parçasıdır.
Kritik altyapı ve bilişim sistemlerinin korunması ile güvenli bir siber uzay oluşturulması temel hedeftir.
Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülür.
ç) Siber güvenlik tedbirlerinin hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanması esastır.
Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünler tercih edilir.
Siber güvenlik politika ve stratejilerinin yürütülmesi ile siber saldırıların önlenmesi veya etkisinin azaltılmasına yönelik gerekli tedbirlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumludur.
Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esastır.
Siber güvenlik politika ve strateji geliştirme çalışmaları sürekli gelişim yaklaşımı ile yürütülür.
ğ) Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilir.
Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenir.
ı) Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkeleri temel esas kabul edilir.
Madde 4, siber güvenliğin millî güvenliğin ayrılmaz bir boyutu olduğunun altını çizerken, özellikle kritik altyapıların korunması ve güvenilir bir siber ortam yaratılmasını temel hedef olarak belirlemektedir. Bu hedef, kurumsallık, süreklilik ve sürdürülebilirlik ilkelerinin esas alınmasına dayanmaktadır. Söz konusu ilkeler, her türlü ürün ve hizmetin geliştirilme ve işletilme süreçlerinin tamamına siber güvenlik tedbirlerinin entegre edilmesini öngörür. Avrupalı düzenlemelerde de (örneğin, NIS2 Direktifi veya Regulation (EU) 2019/881 – AB Siber Güvenlik Yasası) benzer yaklaşım benimsenmiş olup, özellikle kritik altyapıların korunması, kuruluşların siber dayanıklılığının artırılması ve kurumsal işbirliğinin güçlendirilmesi önemli birer prensip olarak karşımıza çıkmaktadır. Bu maddede ayrıca, yerli ve millî ürünlerin tercihinin stratejik özerkliği güçlendirme amacıyla öne çıkarıldığı ve teknolojik bağımlılığın azaltılmasının vurgulandığı görülmektedir. Bununla birlikte, yerli ürün geliştirme sürecinin yeni teknolojilere hızla adapte olma gerekliliğini ve mevcut küresel ekosistemde hâlihazırda yazılmış veya uygulanmakta olan unsurların yeniden kullanılması ihtiyacını doğurduğu da göz ardı edilmemelidir. Maddenin devamında, siber güvenlik tedbirlerinden tüm paydaşların (kamu, özel sektör ve bireyler) sorumlu tutulacağı, hesap verebilirliğin vazgeçilmez bir unsur olduğu ve politika/strateji geliştirme süreçlerinde sürekli iyileştirme yaklaşımının benimseneceği açıkça ifade edilmektedir. Ayrıca nitelikli insan kaynağı oluşturulması ve bu kapasitenin sürekliliğinin sağlanması hedefi, kanunun gerekçesinde de özel olarak vurgulanmakta; siber güvenlik ekosisteminin insan boyutunun güçlendirilmesi için kapsamlı eğitim ve ölçüm mekanizmaları önerilmektedir.
İşbu ilkeler, Avrupa Birliği’nde NIS2 çerçevesi doğrultusunda tesis edilen kurumlar arası koordinasyon ve sürekli gelişim prensipleriyle örtüştüğü gibi, ABD’deki CISA (Cybersecurity and Infrastructure Security Agency) uygulamalarını yansıtan kritik altyapı koruması ve kurumlar arası işbirliği anlayışıyla da benzerlik göstermektedir. Özellikle ABD’de yayımlanan Başkanlık Kararnameleri çerçevesinde, kamu-özel sektör işbirliği, hesap verebilirlik ve güvenlik önlemleri bakımından kapsamlı düzenlemeler yapılmıştır. Hem Avrupa Birliği düzenlemelerinde hem de ABD uygulamalarında, mahremiyetin ve temel hakların korunması siber güvenlik politikalarının merkezinde yer almaktadır. Türkiye’deki bu yeni düzenleme de benzer şekilde, hukukun üstünlüğü ve özgürlük-güvenlik dengesini gözeterek evrensel değerlerle uyumlu bir yaklaşım benimsendiğini göstermektedir. İşbu bağlamda kanunun, siber güvenliği millî güvenlik perspektifiyle ele alırken bireysel hak ve özgürlüklere de güçlü bir vurgu yapması, uluslararası düzeyde kabul görmüş iyi uygulama örnekleriyle paralel bir çizgide ilerlediğini göstermektedir.
İKİNCİ BÖLÜM
Görev, Yetki, Sorumluluk, Denetim ve Siber Güvenlik Kurulu
Başkanlığın görevleri
MADDE 5- (1) Başkanlığın görevleri şunlardır:
a- İlgili mevzuatta yer alan görevleri yapmak.
b- Kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber saldırılara karşı korunmasına, gerçekleştirilen siber saldırıların tespitine, muhtemel saldırıların önlenmesine ve etkilerinin azaltılmasına veya ortadan kaldırılmasına yönelik faaliyet yürütmek, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri yapmak veya yaptırmak, siber tehditlerle mücadele etmek, siber tehdit istihbaratı elde etmek, oluşturmak ve paylaşmak, zararlı yazılım inceleme faaliyetleri yürütmek.
c- Kritik altyapılar ile ait oldukları kurumlan ve konumları belirlemek.
ç- Kamu kurum ve kuruluşları ile kritik altyapıların veri envanteri dâhil olmak üzere tüm varlıklarının envanterinin tutulmasım ve varlıklara yönelik risk analizinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşlan ile kritik altyapıların sahip olduğu varlıkların kritikliğine göre güvenlik tedbirlerini almak veya aldırmak.
d- SOME’ler(Siber olaylara müdahale ekibini) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk seviyelerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, diğer ülkelerin siber olaylara müdahale ekipleriyle koordinasyon kurmak, her türlü siber müdahale aracının ve milli çözümlerin üretilmesi ve geliştirilmesi amacıyla çalışmalar yapmak, yaptırmak ve bunları teşvik etmek.
e- Siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları düzenlemek.
f- Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak amacıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına güvenli sistem ve altyapılar üzerinden barındırma hizmeti sunmak veya sunulmasım sağlamak, bu faaliyetlere yönelik uygulama usul ve esaslarını belirlemek.
g- Siber güvenlik alanına ilişkin standartları hazırlamak, diğer kişi veya kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğu takdirde standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek.
ğ- Siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifıkasyon işlemlerini yürütmek, buna yönelik test altyapıları kurmak, kurdurmak ve işletmek ile siber güvenlik uzmanlan ve şirketlerine yönelik sertifıkasyon, yetkilendirme ve belgelendirme işlemlerini ilgili kurumlarla koordineli olarak yürütmek.
h- Siber güvenlik denetimini gerçekleştirmek ve sonucuna göre yaptırım uygulamak.
ı- Kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunlann denetimini yapmak ya da yaptırmak, denetimleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi geçici olarak durdurmak ya da iptal etmek.
Madde 5, siber güvenlik alanında icracı bir makam olarak görevlendirilen Başkanlığın sorumluluklarının kapsamını çizmekte ve bu makamın çok yönlü işlevlerini ortaya koymaktadır. Başkanlık, yürürlükteki yasal düzenlemeleri uygulamak, kritik altyapılar ile bilişim sistemlerinde zafiyet tespiti, sızma testleri ve risk analizleri gibi teknik operasyonları organize etmekle yükümlüdür. Bu kapsamda, tehdit istihbaratı toplama, zararlı yazılım analizleri yapma veya yaptırma, kritik altyapıların belirlenmesi, bu alanlardaki varlıkların envanterini tutma ve güvenlik tedbirlerini sınıflandırıp uygulama hususlarında da yetkilidir. Tüm bu görevler, kamu kurumları ve ülke genelindeki dijital varlıkların güvenliğini sağlamaya yönelik stratejik bir yaklaşımı zorunlu kılar. Madde 5 ayrıca, siber olaylara müdahale ekipleri (SOME) oluşturma, bu ekiplerin koordinasyonunu sağlama ve uluslararası işbirliklerini geliştirme yetki ve sorumluluklarını da Başkanlığa verir. Böylesi bir yapı, siber tehditlerin önceden tespit edilmesi ve olay anındaki reaksiyon süresinin kısaltılması açısından büyük önem taşımaktadır. Ek olarak, standartlar geliştirme, test ve sertifikasyon altyapıları kurma, siber ürün ve hizmetlerin belgelendirilmesi ile yetkilendirilmesi gibi konuların da Başkanlığın görev alanına dahil edilmesi dikkat çekicidir. Türkiye’de kamu-özel iş birliği çerçevesinde siber güvenlik alanında sertifikasyon süreçlerinin henüz yaygın olmadığını göz önünde bulundurursak, devletin bu konuyu bizzat üstlenmesi kayda değer bir yenilik olarak öne çıkmaktadır. Tıpkı Rekabet Kurumu ya da SPK’nın düzenlediği eğitim programları ve verdiği sertifikalar gibi bir modelin izlenmesi, siber güvenlik ekosisteminde denetim, yaptırım ve hesap verebilirlik mekanizmalarının kurumsallaşmasına imkân tanıyacaktır. Böylelikle kamu kurumları ve kritik altyapı sağlayıcıları, hangi siber ürün veya hizmetlerin hangi standart ve niteliklere göre seçileceğini net bir çerçevede takip edebilecektir. Eklemek gerekir ki, Avrupa Birliği’nin NIS2 Direktifi (Direktif (AB) 2022/2555) ile oluşturulan siber güvenlik standartları ve kritik altyapı denetim mekanizmalarıyla paralellik göstermektedir. AB’de ayrıca, Regulation (EU) 2019/881 (AB Siber Güvenlik Yasası) kapsamında ENISA (European Union Agency for Cybersecurity), benzer sertifikasyon ve koordinasyon faaliyetlerini yürütmektedir (bkz. European Commission, “The EU Cybersecurity Act”, 2019). Amerika Birleşik Devletleri’nde ise CISA (Cybersecurity and Infrastructure Security Agency), kritik altyapılar üzerinde risk analizleri, siber tatbikatlar ve tehdit istihbaratı paylaşımı gibi görevler üstlenmektedir. Ayrıca başkanlık kararnameleri aracılığıyla (örneğin, Executive Order 14028) federal kuruluşlarla özel sektör arasında standartların belirlenmesi ve uyumluluğun sağlanması hedeflenmiştir. Türkiye’de kurulacak yeni Başkanlık, Avrupa’daki ENISA ve ABD’deki CISA’nın fonksiyonlarını kısmen bünyesinde birleştirerek hem düzenleyici hem de icracı bir merkezî otorite rolü üstleneceğe benzemektedir. İşbu sayede siber güvenlik alanındaki ulusal kapasite, uluslararası örneklerle uyumlu ve entegre bir yapıya kavuşacaktır.
Yetkiler
MADDE 6- (1) Başkanlık, görevlerini yerine getirirken aşağıdaki yetkileri kullanır:
İlgili mevzuatta yer alan yetkileri kullanmak.
Bu Kanun kapsamındakilerin siber saldırılara karşı korunması ve bu saldırıların kaynağına karşı caydırıcılık sağlanması için gerekli tedbiri alır veya aldırır. Bu kapsamda bilişim sistemlerine uygun bulunan yazılım ve donamm ürünlerinin kurulum ve entegrasyonunu sağlayabilir, bu ürünler tarafından üretilen veya toplanan veri ve log kayıtlarını Başkanlık yönetiminde bulunan bilişim sistemlerine aktarabilir, siber olayların tespitine yönelik gerekli yöntemi ve aracı kullanabilir.
Bu Kanun kapsamındakilerden siber olaya maruz kalanlara yerinde veya uzaktan siber olay müdahale desteği sağlayabilir, siber uzayda bulunan veya elde ettiği veri, imaj veya log kayıtları üzerinden saldırılara ait izleri takip edebilir, bunları inceleyerek delillendirebilir, suç teşkil ettiği değerlendirilen bulguları adli makamlar ve diğer ilgililer ile paylaşır, yurt içi ve yurt dışındaki paydaşlar ile koordinasyon sağlayabilir.
ç) Bu Kanun kapsamındakilerden, yürüttüğü faaliyetlerle sımrlı olmak üzere bilgi, belge, veri ve kayıtları alabilir ve değerlendirmesini yapabilir, bunlara ait arşivlerden, elektronik bilgi
işlem merkezlerinden ve iletişim alt yapısından yararlanabilir ve bunlarla irtibat kurabilir. Bu kapsamda elde edilen bilgi, belge, veri ve kayıtlar, en fazla iki yıl süreyle çalışmaya konu edilir ve çalışma süresi sonrasında imha edilir. Bu kapsamda talepte bulunulanlar, kendi mevzuatındaki hükümleri gerekçe göstermek suretiyle talebin yerine getirilmesinden kaçınamazlar.
Bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilir, saklayabilir, değerlendirebilir. Bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilir.
Başkanlık, bakanlıklar ve diğer kamu kurum ve kuruluşları ile koordineli olarak siber güvenlik konularında ihtiyaç halinde personel tefrik edebilir.
Görev alanına giren konularda uluslararası kuruluşlar ve ülkelerle ilişkiler yürütebilir, bilgi alışverişinde bulunabilir, ülkemizi temsil edebilir ve koordinasyonu sağlayabilir, uluslararası kuruluşların çalışmalarına katılabilir, alınan kararların uygulanmasını takip edebilir ve gereldi koordinasyonu sağlayabilir.
Bu Kanun kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları sınıflandırabilir, faaliyetlerini icra ederken gerektiğinde sadece belirli bir kısmını kapsayan hükümler oluşturabilir.
ğ) Siber güvenlik denetimi gerçekleştiren bağımsız denetçiler ve bağımsız denetim kuruluşlarını yetkilendirebilir, yetkisini süreli veya süresiz iptal edebilir.
Kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe etkisi olan yazılım, donanım, ürün ve hizmetlere kullanım öncesinde uygunluk verir.
Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin asgari güvenlik kriterlerini belirler. Bunları sağlayacak veya tedarik edecek gerçek ve tüzel kişilere yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetir. Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin belirlenecek standartlara uygun hale getirilmesini talep edebilir, bu talebe uyum sağlamayanların kullanılmasını önleyici tedbirler alabilir.
Bu Kanun uyarınca yürütülen iş ve işlemler kapsamında kişisel veriler; hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde güncel olmak kaydıyla, belirli, açık ve meşru amaçlarla, işlendiği amaçla bağlantılı, sınırlı ve ölçülü olmak kaydıyla ve işlendiği amaç için gerekli olan süre kadar muhafaza edilmek üzere işlenir. Bu Kanunda belirtilen yetkiler çerçevesinde elde edilecek kişisel veriler ve ticari sırlar; bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinir, yok edilir veya anonim hale getirilir.
Bu maddenin uygulanmasına ilişkin usul ve esaslar Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenir.
Madde 6, siber güvenlik alanında yetkili olacak Başkanlığın görevlerini yerine getirirken kullanabileceği geniş yetkileri ayrıntılı biçimde düzenlemektedir. İşbu yetkiler, kamu kurumları başta olmak üzere özel sektör ve tüzel kişiliği olmayan kuruluşlar da dâhil olmak üzere geniş bir yelpazeyi kapsar. Buna göre Başkanlık, kanun kapsamındaki kişi ve kurumların bilişim sistemlerinde zafiyet tespit etme, sızma testleri yapma, risk ve tehdit analizleri yürütme, siber olay log kayıtlarını inceleme, delillendirme ve gerektiğinde yerinde veya uzaktan müdahale etme gibi teknik operasyonları organize edebilecektir. Aynı zamanda, kullanılacak yazılım, donanım, ürün veya hizmetlerin standartlarını belirleme ve bunların uygunluğunu onaylama yetkisi de Başkanlığa tanınmaktadır. Bu uygunluk ve sertifikasyon süreçlerinin esasları ile düzenleme ve müdahale yöntemlerinin ayrıntıları, yönetmelik ile netleştirilmesi öngörülen konular arasında yer almaktadır. Kamu-özel iş birliği yaklaşımının ve farklı sektörleri ilgilendiren düzenlemelerin nasıl şekilleneceği, bu yönetmeliklerin en çok merak uyandıran yönünü oluşturmaktadır. Bu maddeye göre, veri ve log kayıtlarının iki yıla kadar saklanması, sonrasında re’sen imha, silme veya anonim hâle getirme yükümlülüğü getirilmiştir. İşbu düzenleme, Kişisel Verilerin Korunması Kanunu (KVKK) ile uyumlu şekilde “belirli, açık ve meşru amaçlarla sınırlı, ölçülü veri işleme” prensibini gözetmeye çalışmaktadır. Ancak “talepte bulunulanların, kendi mevzuatlarındaki hükümleri gerekçe göstererek bilgi vermekten kaçınamayacağı” hükmü, Başkanlığın siber güvenlik amacıyla veri talep etme ve işleme yetkisini oldukça genişletmektedir. Bu durum, özel hayatın gizliliği ve veri minimizasyonu ilkeleriyle hassas bir denge kurulmasını zorunlu kılar. Uygulamada, orantılılık ve amaçla sınırlılık ilkelerinin nasıl işletileceği, kanun ve yönetmelik düzeyindeki hükümlerle şekillenecektir. Benzer yetkilerin, Avrupa Birliği düzenlemelerinde NIS2 Direktifi çerçevesinde de görüldüğü, ancak AB’de siber güvenlik ve veri koruması arasında güçlü bir dengeyi GDPR (Genel Veri Koruma Tüzüğü) sağlamaktadır. Türkiye’de yeni kanunun, KVKK ile eşgüdüm içinde uygulanması ve gelecekte tam GDPR uyumluluğunun sağlanması, özellikle 2025 hedefleri doğrultusunda, uluslararası normlarla uyumluluk açısından önemli bir gereklilik olarak öne çıkmaktadır. Amerika Birleşik Devletleri’nde ise veri talebi ve log tutma uygulamaları daha çok sektör bazlı (örneğin finans, sağlık) düzenlemelerle yönetilirken, federal kurumların yetkileri başkanlık kararnameleri ve CISA (Cybersecurity and Infrastructure Security Agency) aracılığıyla belirlenmektedir. Bu bağlamda, Türkiye’deki yeni sistem, ABD’deki CISA benzeri bir yapı kurmayı hedeflerken, yetkileri daha merkezi ve kapsamlı şekilde toplamayı amaçlar. 2025 yılına doğru GDPR ile uyum çalışmalarının hızlanması hâlinde, bu kanunda da değişikliklerin gündeme gelmesinin yüksek ihtimal dâhilinde olduğu değerlendirilmektedir. Son olarak Madde 6, siber güvenlik denetimi yapacak bağımsız denetçilerin yetkilendirilmesi veya iptali, siber güvenlikle ilgili tüm ürün, hizmet ve süreçlerin sertifikasyona tabi tutulması gibi hususlara vurgu yaparak, ulusal standartların belirlenmesini ve siber güvenlik ekosistemindeki kaliteyi artırmayı hedefler. Böylelikle Başkanlık, yalnızca siber olay müdahale ve veri toplama süreçlerinden sorumlu olmakla kalmayacak; piyasanın niteliklerini düzenleme ve denetleme görevlerini de üstlenen, merkezi ve güçlü bir otorite niteliği kazanacaktır. İşbu yaklaşım, Avrupa Birliği’nde ENISA (European Union Agency for Cybersecurity)’nın yürüttüğü belirli yönetsel fonksiyonları, operasyonel güçle birlikte birleştiren bir modeldir ve Türkiye’nin siber güvenlik sahasında millî, bağımsız ve güçlü bir yapı tesis etme çabasını teyit etmektedir.
Sorumluluklar ve iş birliği
MADDE 7- (1) Bu Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin siber güvenliğe ilişkin görev ve sorumlulukları şunlardır:
a- Başkanlığın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında Başkanlığa iletmek.
b- Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek.
c- Kamu kurumlan ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanları ve şirketlerden tedarik etmek.
ç) Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayım almak.
Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan tavsiye ve benzeri belgelerde yer alan hususları yerine getirmek ve gerekli tedbirleri almak.
Başkanlık, bu Kanunda belirtilen faaliyetlerin yürütülmesinde kamu kurum ve kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşlarla iş birliği içerisinde çalışır.
Madde 7, siber güvenlik konusunda Kanun kapsamındaki tüm paydaşların (kamu kurumları, özel sektör, tüzel kişiliği olmayan kuruluşlar vb.) sorumluluklarını belirleyerek, Başkanlığın siber olaylara müdahale ve koordinasyon çalışmalarını güçlendirmeyi amaçlamaktadır. Bu çerçevede, siber güvenlik odaklı veri, donanım ve yazılıma ilişkin talepler ile belgelendirme süreçlerinde tüm paydaşların Başkanlık ile tam işbirliği içinde hareket etmesi zorunlu kılınmıştır. Özellikle tespit edilen zafiyetlerin veya yaşanan siber olayların derhâl bildirilmesi yükümlülüğü, Avrupa Birliği’nde NIS2 Direktifi ile öngörülen “zorunlu olay bildirimi” kuralını andırırken, Amerika Birleşik Devletleri’nde de kritik altyapılar ve belirli sektörler için federal düzeyde benzer “hızlı ihbar” esaslarının uygulandığı görülmektedir. Bu maddeye göre, “belgelendirmeye tabi siber güvenlik şirketlerince” ifadesi uyarınca kamu veya özel kuruluşların siber güvenlik hizmeti alırken, Başkanlık tarafından onaylanmış ya da belirli standartlara göre yetkilendirilmiş şirketlerle çalışması zorunlu hale gelecektir. Mevcut koşullarda, KEP veya UETS gibi alanlarda daha önce uygulanan “onaylı kuruluş aracılığı ile yürütme” modeline benzer bir yöntem öngörülmektedir. Ancak bu tür düzenlemeler, piyasada faaliyet gösteren veya yeni girecek yerli ve yabancı yatırımcılar açısından çoğu zaman rekabet endişelerini beraberinde getirir; zira resmî onaylı kuruluşlarla yapılacak işbirlikleri, rekabetin bozulma olasılığı ve şeffaflık konusundaki çekinceler nedeniyle eleştiri toplayabilmektedir. Maddenin dikkat çeken bir başka yönü, kamu kurumları ve kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetlerinin, yalnızca Başkanlık tarafından yetkilendirilmiş uzmanlar veya şirketler aracılığıyla tedarik edilmesi gerekliliğidir. İşbu seçimin nasıl yapılacağı ve hangi esaslara dayandırılacağı ise büyük olasılıkla yönetmelikler vasıtasıyla netleştirilecektir. Söz konusu yaklaşım, Türkiye’de millî güvenlik ve kritik altyapı bakış açısıyla siber güvenlik ekosistemini düzenlemeyi ve standart dışı veya yüksek riskli ürünlerin kullanımını engellemeyi hedeflemektedir. Avrupa Birliği’nde ENISA (European Union Agency for Cybersecurity) benzer şekilde belirli ürün ve hizmet kategorilerine yönelik sertifikasyon şemaları oluştururken, ABD’de ise CISA (Cybersecurity and Infrastructure Security Agency) ile birlikte NIST (National Institute of Standards and Technology) tarafından geliştirilen standartlar, federal kurumların ve kritik sektörlerin uyması gereken ölçütleri belirlemekte önemli rol oynamaktadır. Ancak hem AB hem de ABD örneklerinde, devletin özel bir şirketle anlaşmasından ziyade, kendi kurduğu veya doğrudan yetkilendirdiği kurum ve kuruluşlar aracılığıyla bu sürecin idare edildiği göze çarpmaktadır. Siber güvenlik alanında kamunun özel sektörle kurduğu resmî işbirlikleri, geçmişte de benzer endişeler ve kamuoyunda soru işaretleri doğurabildiğinden, burada da süreç yönetiminin şeffaf olması büyük önem taşımaktadır. Kamusal ya da özel fark etmeksizin, bilişim sistemleri üzerinden hizmet sunan tüm paydaşların Başkanlıkla sürekli iletişim hâlinde olmasını şart koşarak, “ortak sorumluluk” anlayışını siber güvenlikte temel ilke haline getirildiği görülmektedir. Böylelikle ulusal düzeyde benimsenen politika ve stratejilerin hayata geçirilmesi, güvenlik açıklarının hızla kapatılması ve standartların uygulanması kolaylaşacaktır. Özellikle kamusal ve özel denetim süreçlerinin şeffaf yürütülmesi, kamuoyu nezdinde olumlu bir etki yaratabilecektir. Gün sonunda; Türkiye, bu maddede öngörülen düzenlemelerle, siber risklerin paylaşılmış kurallar ve standartlar çerçevesinde asgariye indirilmesini ve millî siber güvenlik ekosisteminin merkezî bir erk eliyle etkin biçimde yönetilmesini hedeflemektedir.
Siber Güvenlik Kurulu
MADDE 9- (1) Siber Güvenlik Kurulu; Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakam, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savumna Sanayii Başkanı ve Siber Güvenlik Başkanından oluşur. Cumhurbaşkanının katılmadığı hallerde Kurula Cumhurbaşkanı Yardımcısı başkanlık eder.
Kurul toplantılarına üyeler dışında, gündemin özelliğine göre ilgili bakan ve kişiler de çağrılarak bilgi ve görüş alınabilir.
Kurul görevleri kapsamında gerekli görmesi halinde komisyon ve çalışma grupları oluşturabilir. Komisyon ve çalışma grupları, Kurulun görev alamna giren hususlarda teknik düzeyde çalışmalar yapar ve karar önerileri oluşturur. Komisyon ve çalışma grubu toplantılarına görüşlerinden faydalanmak üzere alanında uzman kişiler davet edilebilir.
Kurulun görevleri şunlardır:
Siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlere yönelik kararları almak, alınan kararların tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek.
Başkanlık tarafından hazırlanan siber güvenlik alanına ilişkin teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararlar almak.
Siber güvenlik alanında teşvik verilecek öncelikli alanları belirlemek, siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar almak.
ç) Kritik altyapı sektörlerini belirlemek.
Başkanlık ile kamu kurum ve kuruluşları arasında meydana gelebilecek ihtilaflar hakkında karar almak.
Kurulun sekretarya hizmetleri Başkanlık tarafından yürütülür. Kurul, komisyon ve çalışma gruplarının çalışma usul ve esasları Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenir.
Madde 9, devletin en üst düzeyinde ve geniş bir katılımla toplanacak bir “Siber Güvenlik Kurulu” oluşturularak, siber güvenlik politikalarının doğrudan devlet yönetiminin zirvesinden koordine edilmesini öngörmektedir. Kurulun Cumhurbaşkanı, ilgili bakanlar ve güvenlik bürokrasisiyle bağlantılı üst düzey yöneticilerden meydana gelmesi, siber güvenliği millî güvenlik perspektifiyle ele alan ve geleneksel güvenlik konseptine dâhil eden bir yaklaşımın izlerini yansıtır. İşbu doğrultuda Kurul, siber güvenlik alanında oluşturulacak politika, strateji, eylem planı ve diğer düzenleyici işlemlere ilişkin kararlarda son sözü söyleyen merci konumunda olacaktır. Ayrıca, teknoloji yol haritaları, kritik altyapı sektörlerinin belirlenmesi ve siber güvenlikle ilgili teşvik mekanizmalarının hangi alanlara odaklanacağı gibi kilit konuların da belirleyicisi Kurul olacaktır. Bunun yanında, Başkanlık tarafından hazırlanan karar taslaklarını veya yol haritalarını onaylama, kamu kurumları arasındaki uyuşmazlıkları sonuçlandırma ve istisna kapsamlarını belirleme yetkileri de doğrudan bu Kurulun yetki alanına dâhil edilmiş görünmektedir. Avrupa Birliği ülkelerinde benzer yapılanmalar genellikle bakanlar arası koordinasyon komiteleri veya konseyler şeklinde karşımıza çıkar. Örneğin, bazı üye devletler NIS2 Direktifi (??)2022/2555 (AB)2022/2555 çerçevesinde “ulusal siber güvenlik otoritesi”ni tayin ederken, ulusal siber güvenlik stratejisini bakanlar düzeyinde kurulan üst kurullar aracılığıyla yürütmektedir (bkz. ENISA, “National cyber security strategies in the EU”, 2022). Amerika Birleşik Devletleri’nde ise Ulusal Güvenlik Konseyi (NationalSecurityCouncil) ve Beyaz Saray bünyesindeki Ulusal Siber Direktörlük (OfficeoftheNationalCyberDirector) gibi organlar, federal kurumlar arasında siber güvenlik politikalarının eşgüdümünü sağlamaktadır. Bu yapı, ABD’de kritik sektörlerin korunması ve ulusal siber savunma stratejisinin belirlenmesi açısından temel karar mekanizması işlevi görür (örneğin, bkz. National Security Act of 1947; ayrıca Executive Order 14028 ile güçlendirilen siber güvenlik koordinasyonunda da benzer hususlar vardır). Ülkemizdeki taslaktaki Madde 9’da ortaya konan model, Cumhurbaşkanı başkanlığında toplanacak olan bu Kurulun, siber güvenliği savunma, istihbarat ve kritik altyapı yönetimi gibi alanlarla aynı stratejik düzeyde değerlendirilmesini sağlamayı hedeflemektedir. Böylece, bürokratik süreçlerin hızlandığı ve siyasetin doğrudan müdahil olduğu merkezi bir sistem kurulurken, millî güvenlik anlayışı siber alana da yansıtılmış olacaktır. Öngörülen bu yaklaşım, hızlı karar alma ve çeşitli kurumlar arasındaki koordinasyonu güçlendirme potansiyeli taşır. Aynı zamanda, siber güvenlik meselesinin devletin en yüksek politik önceliklerinden biri hâline getirilerek stratejik düzlemde yönetilmesi, Türkiye’nin küresel siber tehditler karşısında daha bütüncül ve etkili bir savunma mekanizması geliştirme iradesini de net biçimde ortaya koymaktadır.
ÜÇÜNCÜ BÖLÜM
Personele İlişkin Hükümler
Sözleşmeli uzman personel istihdamı
MADDE 10- (1) Başkanlıkta siber güvenliğin sağlanması ile ilgili görevleri yürütmek üzere sayısı Cumhurbaşkanınca belirlenecek sözleşmeli uzman personel çalıştırılabilir. Bu personelin nitelikleri, atanma şartları gibi istihdamlarına ilişkin hususlar ile bunlara verilecek her türlü ödemeler dahil net ücretler, 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun 4 üncü maddesinin (B) bendine göre çalıştırılanlar için uygulanmakta olan sözleşme ücret tavanının beş katını aşmamak üzere Siber Güvenlik Kurulu tarafından ilgililerin yürüteceği görevler göz önüne alınarak tespit edilir. Bu fıkra kapsamındaki personel, 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 4 üncü maddesinin birinci fıkrasının (a) bendi kapsamında sigortalı sayılır. Kanunlardaki özel hükümler saklı kalmak kaydıyla, bu statüde çalıştırılma, sözleşme bitiminde kamu kurum ve kuruluşlarında herhangi bir pozisyon, kadro veya statüde çalışma açısından kazanılmış hak teşkil etmez.
Başkanlıkta; geçici olarak görevlendirilenler de dahil olmak üzere, görev alan tüm personele 7/4/2021 tarihli ve 7315 sayılı Güvenlik Soruşturması ve Arşiv Araştırması Kanunu uyarınca güvenlik soruşturması ve arşiv araştırması birlikte yapılır.
Zorunlu hizmet yükümlülüklerinin devri
MADDE 11- (1) Başkanlıkta istihdam edilen personelden ilgili mevzuatı kapsamında diğer kamu kurum ve kuruluşlarına karşı zorunlu hizmet yükümlülüğü bulunanların Başkanlıkta geçen hizmet süreleri, ilgili kamu kurum ve kuruluşunun da muvafakati alınmak kaydıyla, söz konusu yükümlülük sürelerinden düşülür.
Yasak hükümler
MADDE 12-(1) Başkanlıkta kadrolu veya sözleşmeli statüde görev yapanlardan Başkanlık ile herhangi bir nedenle ilişiği kesilenler Başkanlıktan muvafakat almadan iki yıl süreyle yurt içi veya yurt dışında siber güvenlik alanında resmi veya özel başka hiçbir görev alamaz ve bu alanda ticaretle uğraşamaz, serbest meslek faaliyetinde bulunamaz ve özellikle bu sektörde faaliyet gösteren bir şirkette hissedar veya yönetici olamaz.
Başkanlıktaki görev ve faaliyetler kapsamında edinilen bilgi, belge ve benzeri her türlü verinin, Siber Güvenlik Başkanlığınca yetki verilen durumlar hariç olmak üzere, radyo,
televizyon, internet, sosyal medya, gazete, dergi, kitap ve diğer tüm medya araçları ile her türlü yazılı, görsel, işitsel ve elektronik kitle iletişim araçları vasıtasıyla yayımlanması veya açıklanması yasaktır.
Madde 12, Başkanlık (Siber Güvenlik Başkanlığı) bünyesinde görev yapan personelin, kurumla ilişikleri kesildikten sonra iki yıl süreyle siber güvenlik alanında herhangi bir özel veya kamu kuruluşunda çalışma, ticari faaliyette bulunma ya da bu sektörde faaliyet gösteren şirketlerde hissedar veya yönetici olma yasağını düzenlemektedir. Bu hüküm, kurum personelinin kritik bilgilere erişebilmesi nedeniyle, ayrıldıktan hemen sonra aynı sektörde çalışarak söz konusu bilgileri kullanması veya paylaşması ihtimalini en aza indirmeye ve çıkar çatışması riskini azaltmaya yöneliktir. Benzer şekilde, “cooling-off” veya “bekleme süresi” şeklinde anılan uygulamalar, özellikle istihbarat, savunma ve siber güvenlik gibi stratejik öneme sahip alanlarda ABD ve bazı AB ülkelerinde de uygulanmaktadır. Örneğin, ABD’de 18 U.S. Code § 207 çerçevesinde belirlenen kurallar, federal kurumlarda üst düzey görev yapan personelin ayrıldıktan sonra aynı sektörde faaliyet göstermesiyle ilgili sıkı kısıtlamalar öngörmektedir. Avrupa Birliği’nde de bazı üye ülkeler, NIS2 Direktifi ve ulusal güvenlik mevzuatı kapsamında siber güvenlik alanında çalışan kamu personeline geçici süreli çalışma kısıtlamaları getirmektedir. Türkiye’de bu madde, bir bakıma “döner kapı” (revolving door) sorununu hafifletmeyi amaçlarken, Türkiye Borçlar Kanunu’ndaki rekabet yasağı hükümleriyle de kısmen örtüşmektedir. İlgili kanun hükümleri uyarınca, en fazla iki yıla kadar rekabet yasağı düzenlenebileceği öngörülmüştür. Ancak siber güvenlik alanının uzmanlık gerektiren, istihdam olanaklarının görece sınırlı olduğu ve bu personelin sahip olduğu uzmanlığı başka alanlarda kolayca kullanamayabileceği göz önüne alındığında, söz konusu iki yıllık bekleme süresinin personel açısından zorlayıcı olabileceği açıktır. İşbu nedenle, kanunun yürürlüğe girmesi halinde, ilgili düzenlemenin hangi istisnaları içereceğinin veya personelin mağdur olmaması için ne tür önlemlerin (örneğin, ayrılan personele kamu bünyesinde başka bir pozisyonda görev vermek gibi) alınacağının ayrıca belirlenmesinin yerinde olacağı düşünülmektedir. Sonuçta, bir devletin kendi vatandaşının zor koşullara mahkûm olmasına izin veremeyeceği gerçeği, bu konudaki düzenlemelere rehberlik etmelidir.
Maddenin ikinci fıkrası, Başkanlıkta görev yapıldığı süre boyunca edinilen bilgi ve belgelerin, herhangi bir yetki olmaksızın medya veya iletişim kanalları aracılığıyla paylaşılmasını açıkça yasaklamaktadır. Böylece, devletin stratejik öneme sahip siber güvenlik verilerinin veya hassas nitelikli bilgilerin ifşa edilmesi engellenmek istenmektedir. Bu durum, pek çok ülkede “devlet sırrı” ya da “kurumsal gizlilik” düzenlemeleri çerçevesinde de görülmektedir. Örneğin, ABD’de ulusal güvenlikle ilgili görev yapan personelin Executive Order 13526 ve diğer ilgili mevzuatlar uyarınca sıkı gizlilik yükümlülüklerine tabi olduğu, AB ülkelerinde de özellikle kritik altyapıların korunmasından sorumlu kamu personeli için benzer kuralların uygulandığı bilinmektedir. Türkiye’de de son dönemde kamu kurumlarının sosyal medya kullanımı üzerine getirilen kısıtlamalar, bu hususla kısmen bağlantılı görülmektedir. Netice itibarıyla, Madde 12 bir yandan ülke güvenliği ve çıkar çatışmasının önlenmesi amacıyla siber güvenlik personeline ilişkin kısıtlar getirirken, öte yandan gizlilik yükümlülükleri aracılığıyla stratejik verilerin korunmasına özel önem atfetmektedir. Bu yaklaşım, uluslararası norm ve örneklerle uyumlu olmakla birlikte, uygulamada personelin mağdur olmaması için ek düzenlemeler ve istisnalar ile desteklenmesinin yararlı olacağı değerlendirilmektedir.
Sır saklama yükümlülüğü
MADDE 13- (1) Başkanlık tarafından yürütülen görev ve faaliyetler kapsamında edinilen kamuya, ilgililere ve üçüncü kişilere ait gizlilik taşıyan bilgiler, kişisel veriler, ticari sırlar ve bunlara ait belgeler mevzuat gereği yetkili kılınan mercilerden başkasına açıklanamaz, gerçek ve tüzel kişilerin menfaatine kullanılamaz.
Yukarıda yazılan hususlar konusunda zaten yaptığımız yorumlar kendimizi tekrara düşmemek adına törpülenmiştir. İşbu konunun önemini anlamak ve anlatmak için ek bir açıklamaya ihtiyaç olmadığı düşüncesindeyiz.
DÖRDÜNCÜ BÖLÜM
Gelir ve Muafiyetler
Başkanlığın gelirleri
MADDE 14- (1) Başkanlığın gelirleri;
Genel bütçeden yapılacak hazine yardımlarından,
Başkanlığın faaliyetlerinden elde edilen gelirlerden,
Başkanlık tarafından verilen idari para cezalarından elde edilen gelirlerden,
ç) Kanun ve kararnamelerle kurulu bulunan ve kurulacak olan fonların gelirlerinden Cumhurbaşkanı kararıyla yüzde 10’una kadar aktarılacak tutarlardan,
Diğer gelirlerden,
oluşur.
Muafiyetler
MADDE 15- (1) Başkanlığın ihtiyaçları kapsamında yurt dışından ithalat veya hibe yoluyla sağlanacak her türlü malzeme, araç, gereç, makine, cihaz ve sistemleri ve bunların araştırma, geliştirme, eğitim, üretim, modernizasyon ve yazılımı ile yapım, bakım ve onarımlarında kullanılacak yedek parçalar, hammadde malzeme ile bedelsiz olarak dış kaynaklardan alınan yardım malzemeleri nedeniyle yapılacak işlemler gümrük vergisinden, fon ve resimlerden, harçlardan, bu işlemler nedeniyle düzenlenen kâğıtlar damga vergisinden istisnadır. Bu istisna, Başkanlık adına yurt dışına onarım, modernizasyon, bakım, mahrece iade, değişim maksadıyla kafi çıkış, geçici çıkış, bedelsiz ithalat ve giriş işlemlerinde de uygulanır.
Başkanlığın görevlerinin yürütülmesi sırasında ihtiyaç duyduğu her türlü malzeme, araç, gereç, makine, cihaz ve sistemlerin ithalatında ve yurt dışına çıkış aşamalarında, kamu kurum ve kuruluşlarından, gerçek ve tüzel kişilerden alınması gereken izin ve uygunluk belgesi aranmaz.
Kamu kurum ve kuruluşları ile diğer kurum ve kuruluşlar, bu Kanunda yazılı görevlerin yerine getirilmesi sırasında ihtiyaç duyulan hâllerde, kullanımlarında bulunan ve müsadere edilen her türlü malzeme, ekipman, teçhizat ve cihazı, diğer kanunların bu konudaki düzenlemelerine bakılmaksızın Başkanlığa geçici olarak tahsis edebilir veya bedelsiz devredebilirler.
BEŞİNCİ BÖLÜM
Cezai Hükümler ve İdari Para Cezalarının Uygulanması
Cezai hükümler ve idari para cezaları
MADDE 16- (1) Kamu kurum ve kuruluşları hariç olmak üzere bu Kanunla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar bir yıldan üç yıla kadar hapis ve beşyüz günden binbeşyüz güne kadar adli para cezası ile cezalandırılır.
Bu Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler iki yıldan dört yıla kadar hapis ve bin günden ikibin güne kadar adli para cezası ile cezalandırılır.
Sır saklama yükümlülüğünü yerine getirmeyenlere veya bu Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara dört yıldan sekiz yıla kadar hapis cezası verilir.
Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara üç yıldan beş yıla kadar hapis cezası verilir.
Siber uzayda veri sızıntısı olmadığı halde veri sızıntısı yapılmış gibi bu yönde algı oluşturmak suretiyle kurumlan veya şalıısları hedef almaya yönelik faaliyet yürütenlere iki yıldan beş yıla kadar hapis cezası verilir.
Türkiye Cumhuriyetinin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde sekiz yıldan oniki yıla kadar hapis cezası verilir. Bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara on yıldan onbeş yıla kadar hapis cezası verilir.
Yukarıdaki fıkralara göre verilecek ceza suçun kamu görevlisi tarafından işlenmesi halinde üçte bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından iki katına kadar artırılır.
12 nci maddeye aykırı davrananlara üç yıldan beş yıla kadar hapis cezası verilir.
Kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere bir yıldan üç yıla kadar hapis cezası verilir.
7 nci maddenin birinci fıkrasının (b) ve (c) bentlerindeki görev ve sorumluluklarını yerine getirmeyenlere bir milyon Türk Lirasından on milyon Türk Lirasına kadar, 18 inci maddedeki görev ve sorumluluklarını yerine getirmeyenlere ise on milyon Türk Lirasından yüz milyon Türk Lirasına kadar idari para cezası verilir.
8 inci maddenin dördüncü fıkrasındaki yükümlülüklerini yerine getirmeyenlere, yüz bin Türk Lirasından bir milyon Türk Lirasına kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde yüzbin Türk Lirasından az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının %1’i ile vergi öncesi karının %20’sinden yüksek olamna kadar idari para cezası verilir.
|
İhlal / Fiil |
Yaptırım / Ceza |
Dayanak |
Artırım Sebepleri |
|
Yetkilendirilmiş mercilerin talep ettiği bilgi, belge, yazılım, veri ve donanımı vermemek veya alınmasını engellemek(Kamu kurum ve kuruluşları hariç, bu Kanunla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında) |
1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adlî para cezası |
MADDE 16 (1. fıkra) |
• Suç kamu görevlisi tarafından işlenirse: 1/3 oranında artırılır• Birden fazla kişi tarafından işlenirse: 1/2 oranında artırılır• Bir örgütün faaliyeti çerçevesinde işlenirse: 1/2’den 2 katına kadar artırılır |
|
Kanun uyarınca gerekli onay, yetki veya izinleri almadan faaliyet yürütmek |
2 yıldan 4 yıla kadar hapis ve 1000 günden 2000 güne kadar adlî para cezası |
MADDE 16 |
Yukarıdaki artırım hükümleri geçerlidir. |
|
Sır saklama yükümlülüğünü ihlâl etmek veya Kanundan doğan görev ve yetkileri kötüye kullanmak |
4 yıldan 8 yıla kadar hapis cezası |
MADDE 16 |
Yukarıdaki artırım hükümleri geçerlidir. |
|
Siber uzayda veri sızıntısı neticesinde ortaya çıkan (kişisel veya kritik kamu hizmeti kapsamındaki) verileri, izinsiz şekilde erişime açmak, paylaşmak veya satışa çıkarmak |
3 yıldan 5 yıla kadar hapis cezası |
MADDE 16 |
Yukarıdaki artırım hükümleri geçerlidir. |
|
Siber uzayda veri sızıntısı olmadığı hâlde, bu yönde algı oluşturmak suretiyle kurumları veya çalışanları hedef almaya yönelik faaliyette bulunmak |
2 yıldan 5 yıla kadar hapis cezası |
MADDE 16 |
Yukarıdaki artırım hükümleri geçerlidir. |
|
Türkiye Cumhuriyeti’nin siber uzaydaki millî gücünü oluşturan unsurlara siber saldırıda bulunmak veya saldırı sonucu elde edilen verileri siber uzayda bulundurmak(Fiil daha ağır bir suçu oluşturmadığı takdirde) |
8 yıldan 12 yıla kadar hapis cezası |
MADDE 16 |
Yukarıdaki artırım hükümleri geçerlidir. |
|
Saldırı neticesinde elde edilen verileri siber uzayda yaymak, başka bir yere göndermek veya satışa çıkarmak |
10 yıldan 15 yıla kadar hapis cezası |
MADDE 16 |
Yukarıdaki artırım hükümleri geçerlidir. |
|
MADDE 12’deki yasak hükümlere aykırı davranmakMADDE 12 (özet) : 1) Başkanlıkta (Siber Güvenlik Başkanlığı) kadrolu veya sözleşmeli statüde görev yapanlardan, ayrıldıktan sonra 2 yıl süreyle, yurt içi veya dışında siber güvenlik alanında görev almaları, ticaret yapmaları, bu sektörde hissedar/yönetici olmaları yasaktır. 2) Görev sırasında edinilen bilgi, belge ve verilerin Başkanlık izni olmaksızın ifşası yasaktır. |
3 yıldan 5 yıla kadar hapis cezası |
MADDE 16 (son fıkraları) + Atıf: MADDE 12 |
Yukarıdaki artırım hükümleri geçerlidir (cezaî yaptırım). |
|
Kritik altyapıların siber saldırılara karşı korunmasında, görevin gereklerine aykırı hareket ederek veri ihlaline sebebiyet vermek |
1 yıldan 3 yıla kadar hapis cezası |
MADDE 16 |
Yukarıdaki artırım hükümleri geçerlidir. |
|
MADDE 7(b): “Siber güvenliğe yönelik olarak millî güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla, mevzuatın öngördüğü tedbirleri almak; hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek.”Bu yükümlülüğü yerine getirmemek |
1.000.000 TL’den 10.000.000 TL’ye kadar idari para cezası |
MADDE 16 ve 7(1)(b) |
İdari para cezası olduğu için artırım hükümleri uygulanmaz. |
|
MADDE 7(c): “Kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri, Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanları ve şirketlerden tedarik etmek.”Bu yükümlülüğü yerine getirmemek |
1.000.000 TL’den 10.000.000 TL’ye kadar idari para cezası |
MADDE 16 ve 7(1)(c) |
İdari para cezası olduğu için artırım hükümleri uygulanmaz. |
|
MADDE 8(4) (Denetim yükümlülükleri): “Denetimle görevlendirilenler; elektronik ortamdaki veriyi, belgeleri, cihaz, sistem, yazılım ve donanımları inceleyebilir, kopya alabilir, yazılı veya sözlü açıklama isteyebilir. Denetime tabi tutulanlar ise denetime açık tutmak, gerekli altyapıyı temin etmek, sistemleri çalışır vaziyette tutmakla yükümlüdür.”Bu yükümlülükleri yerine getirmemek |
100.000 TL’den 1.000.000 TL’ye kadar idari para cezası Ticarî şirketlerde: En az 100.000 TL olmak üzere, bağımsız denetimden geçmiş yıllık finansal tablolarındaki brüt satış hasılatının %1’i ile vergi öncesi kârının %20’sine kadar |
MADDE 16 ve 8(4) |
İdari para cezası olduğu için artırım hükümleri uygulanmaz. |
|
MADDE 18: “Kamu destekleriyle kurulan, geliştirilen veya desteklenen siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı; bunları üreten şirketlerin bölünme, birleşme, pay devri veya satış işlemleri, Başkanlığın uygun görüşüne tabidir. Kamu kurum ve kuruluşları ile kritik altyapılar için yeni tedarik sözleşmelerinde kullanılacak bu ürün/hizmetlerin yurt dışına satışı veya şirket işlemleri de Başkanlık onayına bağlanabilir.” |
10.000.000 TL’den 100.000.000 TL’ye kadar idari para cezası |
MADDE 16 ve 18 |
İdari para cezası olduğu için artırım hükümleri uygulanmaz |
Madde 16, siber güvenlikle ilgili suç ve kabahatlere ilişkin cezalandırma usullerini detaylı bir şekilde düzenleyerek, yaptırımları hem hapis cezaları hem de idari para cezaları şeklinde belirlemiştir. Kanun kapsamındaki görevli merciler tarafından talep edilen bilgi, belge, yazılım veya donanımı vermeyi reddetmek, bu verilere erişimi engellemek veya gerekli izinleri almadan siber güvenlik faaliyeti yürütmek gibi fiiller, aynı anda hem hapis cezası hem de adli para cezası ile karşılanabilmektedir.
Bunun yanı sıra, siber uzayda kişisel verileri veya kritik altyapıya ait önemli bilgileri paylaşan, satan yahut asılsız şekilde sızıntı varmış gibi göstererek kurumları hedef haline getiren kişilere de ciddi düzeyde hapis ve para cezaları öngörülmektedir. Hatta Türkiye Cumhuriyeti’nin siber uzaydaki millî gücüne yönelik saldırılarda, sekiz yıldan on beş yıla kadar uzayabilen hapis cezalarının belirlenmesi, bu suç kategorisini millî güvenlik kapsamına aldığına işaret etmektedir.
Suça ilişkin cezayı artırıcı nedenlere bakıldığında, fiilin kamu görevlisi tarafından işlenmesi, birden fazla kişinin ortaklaşa hareket etmesi veya örgüt faaliyeti çerçevesinde gerçekleştirilmesi cezayı ağırlaştırıcı unsurlar olarak düzenlenmiştir. Bu yöntem, siber saldırıların pek çok vakada organize gruplar tarafından gerçekleştirilmesinden hareketle, organize suç riskini caydırmayı amaçlamaktadır. Ayrıca kritik altyapıların korunmasında ihmali olan yetkililer veya yöneticiler için bir yıldan üç yıla kadar hapis cezasının öngörülmesi, siber güvenlik sorumluluğunun idari kademedeki kişilere de açıkça yüklendiğini göstermektedir.
Maddenin son fıkraları, idari para cezaları bakımından da oldukça yüksek tutarların öngörüldüğüne dikkat çekmektedir. Özellikle Madde 7 kapsamındaki yükümlülükleri yerine getirmeyenler için bir milyon ila on milyon Türk Lirası arasında, Madde 18’de belirtilen yükümlülükleri ihlal edenler için ise on milyon ila yüz milyon Türk Lirası arasında değişebilen cezalar söz konusudur. Hatta bazı durumlarda, ticari şirketlerin brüt satış hasılatının belirli bir yüzdesine kadar çıkabilen yaptırımlar öngörülmektedir. İşbu yaklaşım, Avrupa Birliği’nde GDPR (2016/679 sayılı Genel Veri Koruma Tüzüğü) ve NIS2 Direktifi (AB)2022/2555 bağlamında yüksek meblağlı para cezalarına benzer bir model sunmakta; ABD’de ise FTC (Federal Trade Commission) ve FCC (Federal Communications Commission) gibi kurumların uygulayabildiği geniş ölçekli yaptırımlarla kıyaslanabilir bir sertliği yansıtmaktadır. Özellikle GDPR kapsamında veri ihlallerinde öngörülen üst düzey cezalar, işletmelerde uyum ve güvenlik önlemlerini ciddiyetle artırırken, bu yeni kanun da benzer bir etkiyi daha geniş siber tehdit yelpazesinde sağlamayı hedeflemektedir. İleride hedeflenen GDPR eşlenikliği düşünülürse, bu hükümlerin uluslararası standartlara yakın ve caydırıcı olma niteliği daha da önem kazanacaktır.
Siber uzayda meydana gelebilecek ihlalleri yalnızca “idari bir kabahat” şeklinde değil, aynı zamanda kamu düzeni ve ulusal güvenliği tehdit eden fiiller olarak değerlendiren bir bakış açısı getirme yaklaşımı eğer ki kanun bu hali ile kabul edilirse pek kıymetli olacaktır. Hem hapis hem de yüksek para cezaları öngörülmesi, siber suçların stratejik güvenlik boyutuyla görüldüğünü ve bu doğrultuda en ağır ceza enstrümanlarının devreye sokulduğunu ifade etmektedir. Avrupa Birliği’nin ve ABD’nin katı düzenlemeleriyle benzer sertlikteki bu yaklaşım, Türkiye’de de siber güvenliğin “klasik suç” tanımlamalarının ötesine geçen, stratejik bir güvenlik meselesi olarak ele alındığını göstermektedir. 2025 yılına yönelik GDPR uyumluluğu ve benzeri reformlar dikkate alındığında, bu düzenlemenin pratikteki uygulamasını ve kamu kurumları dâhil olmak üzere tüm paydaşlara yansımalarını merakla beklemek gerekir. Zira ülkedeki siber güvenlik ekosisteminin gelişmesinde kamunun teşvik edici rolü bir realite olmakla birlikte, cezai yaptırımların kamu kurumlarını da kapsayıcı şekilde işletilmesi, şeffaflığın ve kamu güveninin artması açısından kritik bir eşik olacaktır.
İdari para cezalarının uygulanması
MADDE 17- (1) İdari para cezalarının uygulanmasından önce ilgilinin savunması alınır. Savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren otuz gün içinde savunma verilmemesi halinde, ilgilinin savunma hakkından feragat ettiği kabul edilir.
Bu Kanunda tanımlanan kabahatlerden birinin idari yaptırım kararı verilinceye kadar birden çok işlendiğinin tespit edilmesi halinde ilgili gerçek veya tüzel kişiye tek idari para cezası verilir ve verilecek ceza iki katını aşmayacak şekilde artırılarak uygulanır. Kabahatin işlenmesi nedeniyle bir menfaat temin edilmesi veya zarara sebebiyet verilmesi halinde verilecek idari para cezasının miktarı bu menfaat veya zararın üç katından az beş katından fazla olamaz.
Başkanlık tarafından verilen idari para cezaları, tebliğ tarihinden itibaren bir ay içinde ödenir. Bu süre içinde ödenmeyen ve kesinleşen idari para cezaları, Kurumun bildirimi üzerine
21/7/1953 tarihli ve 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun hükümlerine göre vergi dairelerince tahsil edilir.
Tahsil edilen idari para cezalarının yüzde ellisi Başkanlık bütçesine, yüzde ellisi genel bütçeye gelir kaydedilir. Başkanlığm tahsil ettiği idari para cezalarından ayrılan genel bütçe payı; vergi dairesince tahsil edilen idari para cezalarından ayrılan Başkanlık payı, tahsilatı takip eden ay sonuna kadar aktarılır.
Bu Kanun uyarınca verilen idari para cezası kararlarına karşı idari yargı yoluna başvurulabilir.
Cezaların Birleştirilmesi ve Tahsilat İdari yaptırımların uygulanması safhasında, ilgili tarafın savunmasının alınması temel bir hukuki güvencedir. İşbu madde, tebliğ tarihinden itibaren otuz günlük bir süre öngörerek, süresi içinde savunma sunulmadığı takdirde, kişinin savunma hakkından feragat etmiş sayılacağını belirtmektedir. Böylece, bir yandan idarenin hızlı karar alma ihtiyacı gözetilirken, diğer yandan muhataba makul bir savunma süresi tanınarak orantılılık ilkesi korunmuş olur. Bu yaklaşım, hem Türkiye’deki idari yargılama usulü prensipleri hem de Avrupa İnsan Hakları Sözleşmesi’nin (AİHS) adil yargılanma ile bağlantılı ilkeleriyle genel hatlarıyla uyumludur. Maddede ayrıca, birden fazla kabahatin aynı fiil kapsamında işlenmesi halinde tek ceza verileceği, ancak bu cezanın iki kata kadar artırılabileceği kuralına yer verilmektedir. Bu düzenlemeyle, fiillerin bütüncül biçimde değerlendirilmesi hedeflenirken, orantılılık ve caydırıcılık dengesinin sağlanması amaçlanmıştır. Bunun yanı sıra, suç nedeniyle menfaat elde edilmesi veya üçüncü kişilere zarar verilmesi hâlinde, idari para cezasının elde edilen menfaat veya oluşan zararın en az üç, en fazla beş katı olarak belirlenebileceği hüküm altına alınmıştır. Bu kural, özellikle yüksek ekonomik kazanç veya büyük çaplı zarar doğuran siber saldırılar ya da veri ihlallerinde, caydırıcılığı artırıcı bir unsur olarak dikkat çekmektedir. Avrupa Birliği’nde GDPR kapsamındaki yüksek para cezaları (örneğin, yıllık küresel cironun %4’üne kadar çıkabilen oranlar) ve ABD’de özellikle FTC ile FCC gibi federal kurumların sektöre özel yaptırımları, benzer bir caydırıcılık sağlama amacına dayanır. Tahsil edilmeyen cezaların 6183 sayılı Kanun çerçevesinde vergi dairelerince tahsil edileceğini belirtmektedir. Toplanan ceza bedelinin yarısının Siber Güvenlik Başkanlığı bütçesine, diğer yarısının ise genel bütçeye aktarılacağı düzenlenmiştir. Bu yöntem, idari para cezalarının kamu maliyesine katkısını sürdürürken, aynı zamanda Başkanlığın icraatları için maddi kaynak yaratmaktadır. İngiltere’deki ICO (Information Commissioner’s Office) uygulamalarında da benzeri bir model görülmekte; kesilen cezaların bir bölümü genel kamu kaynaklarına, bir bölümü ise ilgili denetleyici kurumun faaliyetlerini finanse etmeye ayrılmaktadır.
Son olarak, idari para cezası kararlarının yargı denetimine açık olduğu açıkça ifade edilmiştir. Bu hüküm, hukuki güvence sağlaması bakımından önemli olup cezaya maruz kalan kişinin veya kuruluşun idari yargıda itiraz etme hakkını güvence altına alır. Özellikle siber güvenlik bağlamında uygulanacak yüksek meblağlı cezaların, yargı sürecinde ayrıntılı bir incelemeye tabi tutulabilmesi, hak arama özgürlüğü ilkesinin işlerliğini pekiştirir. Kaldı ki, Avrupa Birliği hukuku ve ulusal mevzuatta da idari kararların etkin yargı denetimine tabi tutulması, hukuk devleti ilkesinin temel unsurlarından biri olarak kabul edilmektedir. Bu nedenle, uygulamada pek çok tarafın bu itiraz mekanizmasını kullanması kaçınılmaz olacaktır.
ALTINCI BÖLÜM
Çeşitli ve Son Hükümler
Siber güvenlik ürünleri ve şirketleri
MADDE 18- (1) Kamu destekleriyle kurulan, geliştirilen veya desteklenen siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı ile bunları üreten şirketlerin bölünme, birleşme, pay devri veya satış işlemleri, Başkanlığın uygun görüşüne tabidir. Kamu kurum ve kuruluşları ile kritik altyapılar için yeni tedarik sözleşmeleri kapsamında kullanılacak siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerinin yurt dışına satışı ile bunları üreten şirketlerin bölünmesi, birleşmesi, pay devri veya satış işlemlerinin Başkanlık onayına bağlanmasına ilişkin usul ve esaslar Başkanlık tarafından belirlenir. Başkanlık, bu kapsamda yer alan ürün, sistem, yazılım, donanım ve hizmetler ve şirketlerle ilgili olarak kamu kurum ve kuruluşlarından bilgi ve belge talep edebilir.
Birinci fıkraya ilişkin hususlar ve süreçler, Başkanlık tarafından çıkarılacak yönetmelikle belirlenir.
Madde 18, kamu destekleriyle geliştirilen ya da kamu kurumları ve kritik altyapılar için kullanılan siber güvenlik ürünleri ve bu ürünleri üreten şirketlerin yurtdışına satışı, pay devri, birleşme ve benzeri işlemlerinde Başkanlığın onayını zorunlu kılarak stratejik siber teknolojilerin kontrolsüz el değiştirmesini engellemeyi amaçlamaktadır. Bu hüküm, özellikle kamu desteğiyle geliştirilen ve kritik alanlarda kullanılan donanım, yazılım veya hizmetlerin ulusal güvenlik perspektifiyle denetim altına alınmasını sağlayarak, yabancı sermaye veya şüpheli aktörler tarafından yapılabilecek devralma işlemlerine karşı ek bir koruma katmanı oluşturur. Bahsedilen husus, dünya genelinde stratejik sektörlerde yaygın olan yatırım ve birleşme-denetleme (FDI screening) mekanizmalarını andırır. Örneğin, Avrupa Birliği çatısı altında FDI Regulation (AB) 2019/452 uyarınca üye devletler, savunma, enerji, telekomünikasyon ve siber güvenlik gibi kritik sektörlerdeki yabancı yatırımları veya birleşmeleri, ulusal güvenlik ve kamu düzeni temelinde inceleyebilir. Amerika Birleşik Devletleri’nde ise benzer bir işlevi CFIUS (Committee on Foreign Investment in the United States) üstlenir; yabancı yatırımların ülke güvenliğine potansiyel tehdit oluşturup oluşturmadığı titizlikle değerlendirilmektedir (bkz. Defense Production Act of 1950, Section 721). Türkiye’de Madde 18’in özellikle siber güvenlik ürünleri ve şirketleri odağında kurgulanması, milli teknolojilerin korunması ve ülkenin kritik altyapılarının savunulması konusundaki hassasiyetin altını çizer. Hüküm kapsamında, Başkanlık, kamu kurum ve kuruluşlarından bilgi veya belge talep edebilecek; böylece söz konusu şirketlerin ya da ürünlerin devrine ilişkin süreçleri ayrıntılı biçimde inceleyerek gerekirse sınırlandırma ya da onay verme yoluna gidebilecektir. Bu usul ve esaslar, Başkanlık tarafından hazırlanacak yönetmelikle daha da somutlaşacak olup, hem şirketler hem de potansiyel yatırımcılar bakımından öngörülebilir bir çerçeve oluşturacaktır. Örneğin, yönetmelik hükümleriyle hangi teknolojilerin “kritik” kabul edileceği, onay süreçlerinin hangi aşamalardan geçeceği veya hangi durumlarda kısıtlamaların uygulanacağı netleştirilebilir. Bu sayede, gerek yurtiçi yatırımcılar gerekse uluslararası aktörler, söz konusu iş ve işlemlerde hangi kurallara tabi olacaklarını önceden bileceklerdir. Bu düzenleme, ülke içinde geliştirilen stratejik siber güvenlik ürünlerinin ve bu ürünleri üreten şirketlerin geleceğine dair devlet kontrolü sağlamayı amaçlarken, aynı zamanda bu sektörün gelişimini koruyup teşvik edecek bir çerçeve sunar. Böylelikle “milli güvenlik” ve “milli teknolojilerin korunması” anlayışıyla, siber güvenlik alanında ülkenin kendi teknolojik birikimini ve altyapısını dış müdahalelere veya kontrol kaybına karşı güvenceye alma iradesi ortaya konmuş olur. Ayrıca, özel sektörde ulusal ve uluslararası ortaklıkların veya satın alma işlemlerinin tamamen önlenmesini hedeflemez; ancak kamu yararı ve stratejik önem gözetilerek, sürece baştan düzenleyici bir denetim mekanizmasının eklenmesini sağlar. Dolayısıyla kritik birleşme ve devralmaların onaya sunulması, rekabetten ziyade kamu güvenliği ve tüketicilerin korunması açısından genel anlamda olumlu bir uygulama olarak değerlendirilebilir.
Değiştirilen ve yürürlükten kaldırılan hükümler
MADDE 19- (1) 27/6/1989 tarihli ve 375 sayılı Kanun Hükmünde Kararnamenin ek 34 üncü maddesinin üçüncü fıkrasına aşağıdaki cümle eklenmiştir.
“Siber Güvenlik Başkanı, mali ve sosyal hak ve yardımlar ile emeklilik hakları bakımından, bu fıkrada belirtilen usul ve esaslar çerçevesinde bakanlık müsteşarına denk kabul edilir.”
5018 sayılı Kanuna ekli (II) sayılı Cetvelin “B) Özel Bütçeli Diğer İdareler” bölümüne aşağıdaki satır eklenmiştir.
“46) Siber Güvenlik Başkanlığı”
4/5/2007 tarihli ve 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunun 10 uncu maddesinin altıncı fıkrası aşağıdaki şekilde değiştirilmiştir.
“(6) Kurum, görevleri kapsamında, içerik, yer, erişim sağlayıcılar ve ilgili diğer kurum ve kuruluşlarla koordinasyon sağlar, gerekli tedbirlerin aldırılması konusunda faaliyet yürütür ve ihtiyaç duyulan çalışmaları yapar.”
5/11/2008 tarihli ve 5 809 sayılı Elektronik Haberleşme Kanununun;
5 inci maddesinin birinci fıkrasının (h) bendi yürürlükten kaldırılmış ve (ı) bendi aşağıdaki şekilde değiştirilmiştir.
“ı) Bakanlığın yürüttüğü görevler kapsamındaki veri ve sistemlerin barındırılacağı veri merkezleri ve verilerin transferi için gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek, bu merkezlere yönelik politika, strateji ve hedefleri belirlemek, eylem planlarını hazırlamak, eylem planlarını izlemek ve tüm bu faaliyetlere yönelik uygulama usul ve esaslarını belirlemek, kurulum, uygulama ve işletim süreçlerini planlamak, yürütmek ve koordine etmek.”
6 ncı maddesinin birinci fıkrasının (v) bendi aşağıdaki şekilde değiştirilmiştir.
“v) İnternet alan adları ve Kurum görevleri konularında Cumhurbaşkanı ve Bakanlık tarafından verilen görevleri yerine getirmek.”
60 inci maddesinin onbirinci fıkrası ile ek 1 inci ve ek 2 nci maddeleri yürürlükten kaldırılmıştır.
Uyum, geçiş düzenlemeleri ve kuruluş işlemleri
GEÇİCİ MADDE 1- (1) Bilgi Teknolojileri ve İletişim Kurumu Başkanlığına ait ve münhasıran ulusal siber güvenlik faaliyetleri kapsamında kullanılan her türlü taşınır, bilgi işlem alt yapısı ve sistemler, taşıt, araç, gereç ve malzeme, fiziki ve elektronik ortamdaki her türlü kayıt ve doküman ile diğer her türlü varlık envanteri ile mezkur Başkanlıkça söz konusu faaliyetlerin yürütülmesinden doğan her türlü borç ve alacaklar, hak ve yükümlülükler, Siber Güvenlik Başkanlığına bu Kanunun yayımından itibaren altı ay içerisinde devredilir.
Bilgi Teknolojileri ve İletişim Kurumu Başkanlığının kadro ve pozisyonlarında bulunan personelden ulusal siber güvenlik faaliyetleri kapsamında çalışanlar, taleplerinin bulunması ve Siber Güvenlik Başkanlığınca uygun görülmesi halinde Başkanlıkta görevlendirilebilirler. Bunlardan talepte bulunan ve Başkanlıkça uygun görülenler mevcut kadro veya pozisyon unvanları ve öğrenim durumları dikkate alınarak bu Kanunun yayımından itibaren dokuz ay içerisinde Başkanlıkta durumlarına uygun kadro veya pozisyonlara atanabilirler. Bu fıkra kapsamında ataması yapılan personelin önceki kurumlarında veya kadrolarında geçirdikleri süreler yeni kurumlarında veya kadrolarında geçirilmiş sayılır. Bu fıkra kapsamında ataması yapılan personelden mali hakları hususunda haklarında 375 sayılı Kanun Hükmünde Kararnamenin geçici 10 uncu maddesi veya ilgili diğer mevzuat hükümleri uygulananlar hakkında amlan düzenlemelerin uygulanmasına devam edilir.
Bilgi Teknolojileri ve İletişim Kurumu Başkanlığının ulusal siber güvenlik faaliyetleri ile ilgili yapılmış olan sözleşmeler, açılmış ve açılacak olan davalar ve icra işlemlerinde ikinci fıkradaki atama işlemlerinin tamamlanması tarihi itibarıyla Başkanlık taraf sıfatını kazanır, mevcut dava dosyaları ve icra takiplerine ilişkin dosyalar Başkanlığa devredilir.
Siber güvenlik alamnda faaliyet icra eden dernek, derneklerden oluşan federasyonlar, vakıflar ile ticaret şirketleri, bu Kanunun yayımından itibaren bir yıl içerisinde Başkanlığın belirlediği ilke ve esaslar çerçevesinde sertifikasyon, yetkilendirme ve belgelendirme işlemlerini tamamlamakla yükümlüdürler. Bu yükümlülüğün yerine getirilmemesi halinde siber güvenlik alanında faaliyette bulunulamaz. Bu süre sonunda söz konusu yükümlülüklerini yerine getirmeyen dernek, vakıf ve federasyonların tüzel kişiliklerine, Başkanlığın talebi üzerine 22/11/2001 tarihli ve 4721 sayılı Türk Medeni Kanununun ilgili hükümlerine göre mahkeme kararıyla son verilir ve mahkeme tarafından yargılama sürecinde gerekli tedbirler alınır. Ticaret şirketleri ise aynı süre içinde yükümlülüklerini yerine getirmediği takdirde ticaret unvanlarında ve faaliyet konularında yer alan siber güvenliğe ilişkin ibareleri şirket sözleşmelerinden çıkarır veya ticaret sicilinden terkin edilmeleri amacıyla tasfiye süreçlerini başlatır.
Bu hüküm, siber güvenlik alanında etkinlik gösteren dernek, federasyon, vakıf ve ticaret şirketlerinin, kanunun yürürlüğe girmesinden itibaren bir yıllık süre içinde Başkanlık tarafından öngörülen sertifikasyon ve yetkilendirme süreçlerini tamamlamasını şart koşmaktadır. Böylece, siber güvenlik çalışmalarında belirli bir kalite ve standart seviyesinin korunması, faaliyet gösteren tüm yapıların denetlenebilirliği ve öngörülebilir bir düzen içinde çalışmalarının sağlanması hedeflenir. Bu yükümlülüğün yerine getirilmemesi hâlinde, söz konusu kuruluşlar siber güvenlik faaliyetlerini fiilen sürdürmekten alıkonulacak; dernek, vakıf ve federasyonlar açısından mahkeme kararıyla tüzel kişiliğin sona erdirilmesi söz konusu olacaktır. Ticaret şirketleri için de benzer bir yaptırım öngörülmüş olup, “siber güvenlik” ibaresinin şirket unvanından veya faaliyet kapsamından çıkarılması ve akabinde tasfiye sürecinin başlatılması muhtemeldir. Bahsedilen hususın ardında, siber güvenliği sadece teknik bir konu olarak değil, aynı zamanda kamusal ve millî güvenlik boyutları olan bir alan şeklinde görmek vardır. Dolayısıyla, bu alanda faaliyet gösteren tüm aktörlerin, belirli standartlara uymakla yükümlü olması öngörülür. Avrupa Birliği’nde, NIS2 Direktifi (AB)2022/2555 kapsamında kritik altyapı hizmeti sağlayan veya siber güvenlik hizmeti sunan kuruluşlara yönelik zorunlu sertifikasyon, periyodik denetim ve uyum şartları dayatılmaktadır (bkz. European Commission, “The NIS2 Directive Explained”, 2022). Amerika Birleşik Devletleri’nde ise, CISA (Cybersecurity and Infrastructure Security Agency) çatısı altında, özel sektöre dahi asgari standartları karşılaması yönünde yaptırım uygulanabilmekte; federal kurumlar, özellikle kritik altyapı ve ulusal savunma ile ilişkili projelerde detaylı bir sertifikasyon ve izleme mekanizması kurmaktadır (örneğin bkz. Executive Order 14028, 2021). Türkiye’de öngörülen bu düzenleme, siber güvenlik ekosistemine dâhil olan tüm kuruluşların, kamusal otorite tarafından belirlenmiş yetkilendirme ve sertifikasyon prosedürleri çerçevesinde faaliyet göstermesini mecburi kılarak, daha bütüncül ve güvenli bir siber güvenlik sektörü oluşturmayı hedeflemektedir. Bu bağlamda, özellikle hukukçular ve uyum görevlileri açısından çok önemli bir düzenleme olarak değerlendirilmelidir. Zira, belirlenen bir yıllık uyum süresi içinde kuruluşlar sertifikasyon ve yetkilendirme işlemlerini tamamlamak zorunda kalacak; aksi hâlde çok ciddi yaptırımlarla karşılaşacaklardır. Mevzuatta öngörülen bu süreçler, yönetmelikler aracılığıyla daha da netleştirilecektir. Nitekim, geçmişte KVKK ve VERBİS sistemleriyle ilgili uyum sürelerinin defalarca uzatıldığı hatırlanırsa, bu kez benzer bir ertelemenin yaşanmamasının ve verilen sürenin sonunda hızlıca yaptırım süreçlerine geçilmesinin muhtemel olduğunu öngörebiliriz. Elbette, uygulamadaki netlik ve öngörülebilirlik, hem sektörün hem de kamunun menfaatine olacaktır. Kanun koyucunun amacı, millî siber güvenlik kapasitesini güçlendirmek ve bu alanda hizmet veren tüm aktörlerin belirlenen kurallara uygun hareket etmesini sağlamaktır. Şüphesiz, bu kapsamda çıkarılacak yönetmeliklerin resmî, şeffaf ve hukuken öngörülebilir kriterler içermesi, sektör oyuncularının adaptasyonunu kolaylaştıracak ve siber güvenlik ekosisteminin bütününe olumlu yansıyacaktır. Ek olarak söylemek isteriz ki; bu tür zorunlu sertifikasyon ve yetkilendirme yaklaşımları, Koops (2017) gibi akademik çalışmalarda da vurgulanan “siber güvenlikte kurumsal dayanıklılık ve düzenleyici uyum” hedefiyle örtüşmektedir. Benzer biçimde, Yar (2013) “cybercrime and society” bağlamında sertifikasyon mekanizmalarının, kamu-özel işbirliğini güçlendiren ve güvenlik farkındalığını yaygınlaştıran araçlar olduğunu ifade etmektedir. Türkiye’deki bu düzenlemenin de, uluslararası iyi uygulamalarla uyumlu şekilde, siber güvenliği ulusal güvenlik katmanıyla birlikte ele aldığı ve alandaki faaliyetleri kamusal gözetim altında sürdürülebilir kılmaya çalıştığı açıktır.
19 uncu maddenin üçüncü ve dördüncü fıkraları uyarınca yürürlükten kaldırılan hükümler kapsamında faaliyet gösteren kurumlar Başkanlığın teşkilatlanmasının tamamlanmasına kadar anılan hükümler çerçevesinde görevlerini yürütmeye devam ederler.
Bu Kanunun uygulanmasına ilişkin düzenlemeler, bir yıl içinde yürürlüğe konulur. Bu düzenlemeler yürürlüğe girinceye kadar mevcut düzenlemelerin bu Kanuna aykırı olmayan hükümlerinin uygulanmasına devam olunur.
Yürürlük
MADDE 20- (1) Bu Kanun yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 21- (1) Bu Kanun hükümlerini Cumhurbaşkanı yürütür.