Yayıncı İmtiyaz Sahibi: Ali ERŞİN © 2021 Tüm Hakları Hukuk ve Bilişim Dergisi'ne aittir.
Yayıncı İmtiyaz Sahibi: Ali ERŞİN © 2021 Tüm Hakları Hukuk ve Bilişim Dergisi'ne aittir.
Siber Güvenlik Hukuku

Siber Güvenlik Kanunu Yürürlüğe Girdi!

Okuma Süresi: 5 Dakika

Siber Güvenlik Kanunu Yürürlüğe Girdi

Geçtiğimiz günlerde gündemde olan Siber Güvenlik Kanunu nihayet RG’de yayınlanarak yürürlüğe girdi. Siber Güvenlik Başkanlığı kurularak Ülkemizin siber güvenliğe verdiği önemi bir kez daha anladık, bu Kanun ile de siber güvenlik alanında çok daha önemli bir koridor oluşturuldu. Bu yazımızda Siber Güvenlik Kanunu’nu genel hatlarıyla anlatmaya çalıştık:

Kanun Amacı:

Bu kanunun temel hedefi, Türkiye Cumhuriyeti’nin siber uzayda var olan milli gücünü oluşturan tüm unsurların içten ve dıştan gelen mevcut ve muhtemel tehditlerine karşı korunmasıdır. Ayrıca, ülke genelinde siber olayların doğurabileceği olumsuz etkilerin en aza indirilmesi için gerekli esasların belirlenmesi ve kamu kurumları, meslek kuruluşları, gerçek ve tüzel kişilerle tüzel kişiliği bulunmayan kuruluşlar için siber saldırılara karşı korunma düzenlemelerinin yapılması hedeflenmektedir. Bu bağlamda, etkili siber güvenlik stratejilerinin geliştirileceği ve yürütüleceği Siber Güvenlik Kurulunun oluşturulması için yasal çerçeve çizilmektedir.

  1. Milli Güç Tespiti: Türkiye’nin siber uzaydaki milli gücünü korumak ve güçlendirmek. 
  2. Tehdit Analizi: İçten ve dıştan gelen mevcut ve muhtemel tehditleri belirleme ve bertaraf etme.
  3. Etkilerin Azaltılması: Siber olayların olası etkilerini azaltacak esasların geliştirilmesi için titizlikle çalışma.
  4. Kamu Kuruluşları Koruma: Kamu ve özel sektör kuruluşlarının siber saldırılara karşı korunmasını sağlamak için idari düzenlemelerin yapılması.
  5. Strateji ve Politika Geliştirme: Ülkenin siber güvenliği için uygun strateji ve politikaların belirlenmesi.
  6. Siber Güvenlik Kurulu: Siber güvenlik alanında koordinasyon ve yönlendirme sağlamak üzere kurulacak kurulun yapı ve işlevleri.

Siber Güvenlik Kanunu Kapsamı

Bu kanun, siber uzayda faaliyet gösteren, hizmet sunan ve siber saldırılara maruz kalabilecek tüm kamu kurum ve kuruluşları, ilgili meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği olmayan kuruluşlar için geçerlidir. Ancak belirli istihbari faaliyetler, Türk Silahlı Kuvvetleri ve diğer güvenlik güçlerinin görevleri kapsamında yürütülen işlemler bu kanunun kapsamı dışındadır. Bu maddenin amacı, siber güvenliğin sağlanmasında hangi aktörlerin sorumlu olduğunu net bir şekilde tanımlamaktır.

  1. Hedef Kitle: Siber uzayda faaliyet gösteren kamu kurumları, meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği olmayan kuruluşlar.
  2. İstihbari Faaliyetler: 2559 sayılı Polis Vazife ve Salâhiyet Kanunu, 2692 sayılı Sahil Güvenlik Komutanlığı Kanunu ve 2803 sayılı Jandarma Teşkilat Kanunu gibi kanunlarla yürütülen istihbari faaliyetlerin bu kanun dışı olması.

 

Tanım ve Kısaltmalar 

  1. Barındırma: Verilerin harici veri merkezlerinde tutulması.
  2. Bilişim Sistemleri: Donanım, yazılım ve sistemlerin bütününü içeren tanım.
  3. Kritik Altyapı: Can ve mal kaybına veya büyük ekonomik zarara neden olabilecek kritik sistemler.
  4. Siber Güvenlik: Siber uzayda veri ve sistemlerin güvenliği ile ilgili tüm tedbirlerin alınmasını kapsar.
  5. Siber Olay: Bilgi sistemlerinin gizlilik, bütünlük veya erişilebilirliğini ihlal eden olaylar.
  6. Siber Saldırı: Bilgi sistemlerine yönelik kötü niyetli girişimler.
  7. Siber Tehdit: Veri güvenliğini tehdit eden potansiyel riskler.
  8. SOME: Siber olaylara müdahale ekipleri.
  9. Zafiyet: Saldırıya açık olan sistem ve süreçlerin varlığı.

 

Siber Güvenlik Kanunu’nda Temel İlkeler

Bu maddenin amacı siber güvenliğe dair temel ilkeleri belirlemektir. Siber güvenlik, milli güvenliğin ayrılmaz bir parçasıdır. Kritik altyapılar korunmalı ve güvenli bir siber alan oluşturulmalıdır. Ayrıca, yerli ve milli ürünler öncelikle tercih edilerek siber güvenliğin sağlanması hedeflenmektedir. Süreklilik, sürdürülebilirlik ve hesap verebilirliğin sağlanması da önemli unsurlardır. Toplumda siber güvenlik kültürünün yaygınlaştırılması amacıyla eğitim çalışmaları desteklenecektir.

 

  1. Milli Güvenlik: Siber güvenliğin milli güvenliğin bir parçası olduğu.
  2. Koruma Hedefi: Kritik altyapı ve sistemlerin korunmasına öncelik verme.
  3. Kurumsallık ve Süreklilik: Siber güvenlik çalışmalarının sürekli ve kurumsal bir yapıda yürütülmesi gerekliliği.
  4. Yerlilik ve Millilik: Yerli ürünlerin tercih edilmesi.
  5. Sorumluluk Dağılımı: Kamu kurumları ve gerçek/tüzel kişilerin siber güvenlik politikalarını uygulamakla yükümlü olmaları.
  6. Hesap Verebilirlik: Süreçlerin şeffaf ve denetlenebilir olması.
  7. Sürekli Gelişim: Politika ve stratejilerin sürekli gelişim esasında güncellenmesi.
  8. Eğitim ve Bilinçlendirme: Toplumda siber güvenlik kültürünü yaygınlaştırmak.

 

2. Bölüm: Görev, Yetki, Sorumluluk, Denetim ve Siber Güvenlik Kurulu

Siber Güvenlik Başkanlığı’nın Görevleri

Siber Güvenlik Başkanlığı’nın görevleri arasında, siber saldırılara karşı önleyici tedbirler alma, kritik altyapıları koruma, siber tehditleri tespit etme ve bu tehditlerle mücadele etme gibi önemli görevler yer alır. Başkanlık, kamu kurumlarının veri envanterlerini tutarak risk analizleri gerçekleştirecek ve zafiyet testleri yapacaktır. Aynı zamanda, bu alanda siber olaylara müdahale ekipleri (SOME) kurmak ve bu ekiplerin olgunluk seviyelerini artıracak tatbikatlar gerçekleştirmek de görevleri arasındadır.

 

  1. Mevzuat Görevleri: İlgili mevzuat çerçevesinde görevlerini yerine getirme.
  2. Siber Dayanıklılığı Artırma: Kritik altyapıların dayanıklılığını artırmak için gerekli önlemleri almak.
  3. Zafiyet Testleri: Altyapılara yönelik güvenlik testleri ve analizler gerçekleştirme.
  4. Veri Envanteri: Kamu kurumlarının veri envanterlerinin tutulmasını sağlama.
  5. SOME Kurma: Siber olaylara müdahale ekiplerinin kurulması ve denetimi.
  6. Siber Güvenlik Politikaları: Ürünlerin siber güvenlik standartlarını belirleme ve denetleme.
  7. İşbirlikleri: Uluslararası ve ulusal düzeyde işbirlikleri oluşturma.

Yetkiler

Başkanlık, belirlediği yetkiler dâhilinde gerekli tedbirleri almak ve siber saldırılara karşı caydırıcılık sağlamakla görevlidir. Bilişim sistemlerine uygun yazılım ve donanım ürünlerinin kurulumunu sağlamanın yanı sıra, siber olay anında müdahale desteği sunma yetkisine de sahiptir. Ayrıca, kamu ve özel sektörle işbirliği içinde çalışarak uluslararası kuruluşlarla bilgi alışverişinde bulunma yetkisi bulunmaktadır.

 

  1. Görev Yetkisi Kullanma: İlgili yasalar uyarınca görev yetkilerini kullanma hakkı.
  2. Koruma Önlemleri: Siber saldırılara karşı müdahele sağlayacak önlemleri alma yetkisi.
  3. Olay Müdahale Desteği: Siber olaylar ile karşılaşan kurumlara destek verme.
  4. Bilgi ve Veri Alma: Gereken durumlarda bilişim sistemlerindeki verileri değerlendirme hakkı.
  5. Uluslararası İlişkiler: Yurt dışındaki kurumlarla işbirliği yapma yetkisi.

 

Sorumluluklar ve İşbirliği

  1. Veri İletimi: Başkanlığın talep ettiği verilerin zamanında iletilmesi.
  2. Zafiyet Bildirimi: Tespit edilen zafiyetlerin gecikmeden bildirilmesi.
  3. Ürün Temini: Güvenli siber güvenlik ürünlerinin temin edilmesi.
  4. Politika Uygulama: Geliştirilen strateji ve eylem planlarının uygulanması.

 

Denetim

  1. Denetim Yetkisi: Başkanlık, ilgili durumlarda inceleme yapmak için yetkilidir.
  2. Mahallinde İnceleme: Denetim sırasında gerekli verilerin toplama yetkisi.
  3. Denetim Koordinasyonu: Bağımsız denetim kuruluşlarıyla işbirliği sağlama.

 

Siber Güvenlik Kurulu

  1. Kurul Oluşumu: Cumhurbaşkanı, bakanlar ve güvenlik başkanından oluşur.
  2. Toplantılar: Gündeme göre ilgili kişilerin toplantılara davet edilmesi.
  3. Komisyon Oluşturma: Gerekli görüldüğünde teknik çalışma grupları oluşturma yetkisi.
  4. Kurul Görevleri: Siber güvenlikle ilgili politikaları belirleme ve uygulama.

3. Bölüm: Personele İlişkin Hükümler

 

Sözleşmeli Uzman Personel İstihdamı

  1. Uzman Personel Alımı: Siber güvenlik alanında uzman personel istihdamı.
  2. İstihdam Koşulları: Çalışma koşulları ile ilgili düzenlemeler.

 

Zorunlu Hizmet Yükümlülüklerinin Devri

  1. Hizmet Sürelerinin Düşülmesi: Başkanlıkta geçen sürelerin diğer kamu kurumlarından düşülmesi.

Yasak Hükümler

  1. Yasaklı Faaliyetler: Başkanlıkla ilişiği kesilenlerin siber güvenlik alanında görev almasının yasak olması.

Sır Saklama Yükümlülüğü

  1. Gizlilik Yükümlülüğü: Görev sırasında edinilen bilgilerin gizli tutulması.

 

  1. Bölüm: Gelir ve Muafiyetler

 

Başkanlığın Gelirleri

  1. Hazine Yardımları: Genel bütçeden alınan yardımlar.
  2. Faaliyet Gelirleri: Başkanlığın kendi faaliyetlerinden elde ettiği gelirler.
  3. İdari Para Cezaları: Verilen cezaların gelir olarak kaydedilmesi.
  4. Diğer Gelirler: İlgili fonlardan elde edilen gelirler.

 

Muafiyetler

  1. İthalat İstisnaları: Başkanlığın malzeme ve donanım ithalatında gümrük vergisi muafiyeti.

 

  1. Bölüm: Cezai Hükümler ve İdari Para Cezalarının Uygulanması

Cezai Hükümler

  1. Cezalar: Bilgi, belge veya yazılımlarını vermeyen kişiler için hapis ve para cezası.
  2. İzin Almadan Çalışma:** Yetki ve izin almadan faaliyet yürütenler için ağır cezalar.
  3. Veri Sızıntısı: Kişisel verilerin izinsiz paylaşılması durumunda hapis cezaları.
  4. Yanlış Bilgilendirme: Yanlış içerik üretenler için cezai yaptırımlar.
  5. Siber Saldırı: Siber uzaya yönelik saldırılar için ağır hapis cezası.

İdari Para Cezalarının Uygulanması

  1. Savunma Hakkı: İdari para cezası verilirken ilgilinin savunmasının alınması.
  2. Birden Fazla Kabahat: Aynı kabahatin birden fazla yapılması durumunda tek ceza uygulanması.

 

6. Bölüm: Çeşitli ve Son Hükümler

Siber Güvenlik Ürünleri ve Şirketleri

  1. Yurt Dışına Satış: Siber güvenlik ürünlerinin yurt dışına satışında onay gerekliliği.
  2. Şirket İşlemleri: Siber güvenlik şirketlerinin birleşme ve devri durumlarında Başkanlığa bildirilmesi.

 

Uyum, Geçiş Düzenlemeleri (GEÇİCİ MADDE 1)

  1. Devir İşlemleri: Mevcut siber güvenlik varlıklarının devri.
  2. Atama Süreçleri: Daha önceki kurumlarda çalışanların yeni pozisyonlarına atanması.

 

Yürürlük

  1. Yürürlüğe Giriş: Kanunun yayımından itibaren yürürlüğe girmesi.

Sonuç

Sonuç olarak çok ayrıntılı ve daha çok yerlilik ve millilik amacını taşıyan bu Kanun’un, hem özel sektörü hem de devlet nezdinde siber güvenliğin gelişimini sağlayacağını düşünmekteyiz.

Yazarın tüm Blog yazılarına bağlantıdan ulaşabilirsiniz.

Yazarın “Siber Güvenlik Başkanlığı” hakkındaki yazısını bağlantıdan okuyabilirsiniz.

Hukuk ve Bilişim Dergisinin son sayısına buradan ulaşabilirsiniz.

Yazar: Av. Ali ERŞİN (LL.M.)

Hukuk ve Bilişim Dergisi Genel Koor.

Mail: av.ersinali@gmail.com