Siber Güvenlik Kanun Teklifi Mecliste: Türkiye'nin Siber Güvenlikte Yeni Dönemi

Türkiye, siber güvenlik alanında önemli bir dönüm noktasına ulaştı: Siber Güvenlik Kanun Teklifi (Teklif) 10 Ocak 2025’te Türkiye Büyük Millet Meclisi’ne (Meclis) sunuldu. Bununla birlikte, yayımlanana kadar değişikliğe uğrayabilecek hükümler olması da bekleniyor.

Bugüne kadar siber güvenlik alanını düzenleyen, “Kişisel Verilerin Korunması Kanunu” veya “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun” gibi, kapsamlı bir çerçeve mevzuatımız yoktu. Şimdi Teklif ile birlikte siber güvenlik alanında çığır açan bir döneme girilecek.

Teklif’in esas amacı Türkiye Cumhuriyeti’nde siber güvenliğin güçlendirilmesine yönelik strateji ve politikaların belirlenmesi. Teklif, siber uzayda faaliyet gösteren tüm kamu kurum ve kuruluşlarını, meslek odalarını, gerçek ve tüzel kişileri kapsıyor. Milli İstihbarat Teşkilatının yürüttüğü faaliyetler ile Emniyet Genel Müdürlüğü ve Jandarma Genel Komutanlığının yürüttükleri istihbari nitelikteki faaliyetler ise Teklif kapsamı dışında tutuluyor.

Teklif’te hüküm altına alınan düzenlemeler aşağıdaki gibi:

▪️ Siber Güvenlik Kurulu’nun kurulması ve bu kurulun görev ve yetkileri,

▪️ Kamu kurumları ve kritik altyapı kuruluşlarının siber mukavemet ve olgunluk seviyelerinin artırılması,

▪️ Siber güvenlik olaylarının merkezi bir şekilde izlenmesi, tespit edilmesi ve bertaraf edilmesi,

▪️ Denetim süreçleri ile caydırıcı yaptırımların hayata geçirilmesi,

▪️ Standardizasyon, sertifikasyon ve yetkilendirme süreçlerinin düzenlenmesi,

▪️ Siber suçlar ve olaylara yönelik ağır cezaların uygulanması.

Teklif’te yer verilen önemli tanımlar ise aşağıdaki şekilde:

Başkan, Siber Güvenlik Başkanını; Başkanlık ise Siber Güvenlik Başkanlığını ifade ediyor. Bu noktada Başkanlık, siber tehditlere karşı proaktif bir rol üstleniyor. Bu rol kritik altyapıların siber dayanıklılığını artırmak, siber saldırıları tespit etmek, önlemek ve etkilerini azaltmak gibi sorumlulukları kapsıyor.

Bilişim sistemlerinin kapsamı, Teklif‘te oldukça geniş bir biçimde tanımlanmış. Buna göre bilişim sistemleri; bilgi ve iletişim teknolojileriyle sağlanan her türlü hizmeti, işlem ve verinin sunumunda kullanılan donanımı, yazılımı, sistemleri ve aktif ya da pasif durumdaki diğer tüm bileşenleri kapsıyor.

Siber uzay ise “internete veya elektronik ağlara bağlı bilişim sistemleri ile bu sistemleri birbirine bağlayan ağlardan oluşan ortam” olarak tanımlanıyor. Bu tanım, dijital dünyada faaliyet gösteren herkesin kanuna tabi olacağını ortaya koyuyor.

Öte yandan “SOME”, Siber Olaylara Müdahale Ekibi olarak tanımlanıyor. SOME'lerin kurulması, denetlenmesi, olgunluk seviyelerinin belirlenmesi ve artırılması için çalışmalar yapılması ve SOME'lerin siber olay müdahale kabiliyetlerinin ölçülmesi yetkisi ise Başkanlık'a ait olacak.

Teklif kapsamında Siber Güvenlik Kurulu (Kurul) da oluşturulması söz konusu. Kurul’un amacı siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlerle ilgili kararlar almak ve bu kararların tamamından ya da bir kısmından muaf tutulacak kurum ve kuruluşları belirlemek.

Teklif kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle; hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin siber güvenliğe ilişkin başlıca görev ve sorumlulukları ise aşağıdaki gibi:

▪️ Başkanlık’ın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkı öncelikle ve zamanında Başkanlık’a iletilmeli. Bu kalem oldukça kritik. Zira bu düzenlemeye aykırılık hapis ve idari para cezasını da beraberinde getiriyor.

▪️ Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirler alınmalı, hizmet sunulan alanda tespit edilen zafiyet veya siber olaylar gecikmeksizin Başkanlık’a bildirilmeli.

▪️ Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanları ve şirketlerden tedarik edilmeli.

▪️ Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketleri, faaliyete başlamadan önce Başkanlık’ın onayını almalı.

Bu kapsamda Başkanlık, görevleri çerçevesinde gerekli gördüğü hallerde Teklif kapsamına giren her türlü fiil ve işlemi denetleyebilecek; bu amaçla mahallinde inceleme yapabilecek veya yaptırabilecek.

Teklif’te dikkat çeken cezai yaptırımlar ise aşağıdaki şekilde:

▪️ Siber uzayda veri sızıntısı sonucu kişisel veya kritik kamu hizmeti verilerini izinsiz şekilde erişime açan, paylaşan ya da satışa çıkaranlara üç ile beş yıl arasında hapis cezası öngörülüyor.

▪️ Türkiye’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlar için fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde sekiz yıldan on iki yıla kadar; bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara on yıldan on beş yıla kadar hapis cezası verilebilecek.

▪️ Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almayan, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlık’a bildirmeyenler ve kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanları ve şirketlerden tedarik etmek yönündeki görev ve sorumluluklarını yerine getirmeyenlere bir milyon Türk lirasından on milyon Türk lirasına kadar idari para cezası düzenleniyor.

▪️ Siber güvenlik ürün ve hizmetleri sunan şirketler bakımından getirilen yükümlülükleri yerine getirmeyenlere ise on milyon Türk lirasından yüz milyon Türk lirasına kadar idari para cezası verilebilecek.

▪️ Siber uzayda veri sızıntısı olmadığı halde veri sızıntısı yapılmış gibi bir algı oluşturmak suretiyle kurumları veya şahısları hedef almaya yönelik faaliyet yürütenlere ise iki yıldan beş yıla kadar hapis cezası verilebilecek. Bu düzenleme kamuoyunda büyük yankı uyandırdı. Bunun başlıca nedeni maddedeki "veri sızıntısı yapılmış gibi bir algı oluşturmak" ifadesinin geniş yorum yapılmaya müsait olması.

Kamu destekleriyle kurulan veya geliştirilen siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı; bunları üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlık’ın onayına tabi olacak.

Ayrıca, Teklif Meclis'te kabul edilirse, siber güvenlik alanındaki şirketler, kanunlaşan Teklif'in Resmî Gazete'de yayımlanmasından itibaren bir yıl içinde sertifikasyon süreçlerini tamamlamak zorunda kalacak.

Siber güvenlikteki gelişmeler ve beraberinde gelecek düzenlemeler merakla bekleniyor.

Teklif metnine buradan ulaşabilirsiniz.