Siber Güvenlik Kanun Teklifi Kabul Edildi!
Türkiye Büyük Millet Meclisi (“TBMM”), siber güvenlik [1]alanında önemli düzenlemeler içeren Siber Güvenlik Kanunu (“Kanun”) teklifini onayladı ve teklif yasalaştı. Kanun, Türkiye’nin siber uzaydaki milli gücünü koruma altına almayı, iç ve dış tehditleri bertaraf etmeyi, siber olayların[2] etkilerini en aza indirmeyi ve stratejik politikalar belirlemeyi amaçlamaktadır. Siber uzayda[3] varlık gösteren, faaliyet yürüten hizmet sunan, kamu kurumları ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları da kapsayan düzenleme, Siber Güvenlik Kurulu’nun (“Kurul”) ve Siber Güvenlik Başkanlığı’nın (“Başkanlık”) oluşturulmasını ve yetkilerini de düzenlemektedir. Kanun resmî gazetede yayımlandığı zaman yürürlüğe girecektir.
Kanun’da yer alan önemli düzenlemelere ilişkin başlıklar aşağıda bilgilerinize sunulmuştur;
- Siber Güvenlik Milli Güvenliğin Ayrılmaz Bir Parçasıdır
Kanun, siber güvenliğin milli güvenliğin ayrılmaz bir parçası olduğunu vurgulayarak, kritik altyapıların ve bilişim sistemlerinin korunmasını temel hedef olarak belirlemektedir. Kurumsallık, süreklilik ve sürdürülebilirlik esas alınırken, siber güvenlik tedbirlerinin tüm yaşam döngüsü boyunca uygulanmasını öngörmektedir. Yerli ve milli ürünlerin öncelikli kullanımı teşvik edilirken, kamu ve özel sektörün siber güvenliği sağlama sorumluluğu vurgulanmaktadır. Bu doğrultuda, Milli Güvenlik Kurulu’na benzer bir üye yapısına sahip olan Kurul, siber güvenlik politikalarını belirleyecek ve stratejik planlamaları hayata geçirecektir.
- Siber Güvenlik Başkanlığı’nın Öne Çıkan Yetkileri
Başkanlık siber güvenliğin sağlanması amacıyla geniş yetkilerle donatılmıştır. Başkanlık, Kanun, kapsamındaki kişi ve kuruluşların siber saldırılara karşı korunmasını ve saldırıların kaynağına karşı caydırıcılık sağlanması amacıyla, gerekli güvenlik önlemleri alabilme, uygun yazılım ve donanım ürünlerini bilişim sistemlerine entegre edilebilme, toplanan veri ve log kayıtları Başkanlık yönetimindeki sistemlere aktarılabilme ve siber olayların tespiti için gerekli yöntemler kullanabilme yetkilerine sahiptir.
Başkanlık, Kanun kapsamındakilerin yürüttüğü faaliyetlerle sınırlı olmak üzere bilgi, belge, veri ve kayıtları alabilme, bunlara ait arşivlerden, elektronik bilgi işlem merkezlerinden ve iletişim altyapısından yararlanabilme ve bunlarla irtibat kurma yetkisine haizdir. Başkanlık tarafından bu kapsamda elde edilen bilgi, belge, veri ve kayıtları, en fazla iki yıl süreyle çalışmaya konu edilebileceği ve çalışma süresi sonrasında imha edileceği düzenlenmesine yer verilmiştir. Başkanlık tarafından talepte bulunulması halinde Başkanlığın talebini yönelttiği kişiler, kendi mevzuatındaki hükümleri gerekçe göstermek suretiyle talebin yerine getirilmesinden kaçınamayacaklardır. Ayrıca Başkanlık, bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilecektir.
- Kanun Kapsamındakilerin Yükümlülükleri
Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin siber güvenliğe ilişkin önemli görev ve sorumluluklar yüklenmiş olup bu yükümlülüklerin yerine getirilmemesi halinde önemli idari para cezaları öngörülmüştür.
Öncelikle, Kanun kapsamındakiler Başkanlığa görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında Başkanlığa iletmekle yükümlüdürler. Bu yükümlülüğün yerine getirilmemesi durumunda bir yıldan üç yıla kadar hapis cezası ve beş yüz günden bin beş yüz güne kadar adli para cezası ile cezalandırılması öngörülmüştür.
Kanun kapsamındakilerin kanunda öngörülen tedbirleri alması ve hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları Başkanlığa bildirme yükümlülüğü bulunmaktadır. Bu yükümlülüğe aykırılık halinde bir milyon Türk lirasından on milyon Türk lirasına kadar idari para cezası öngörülmüştür.
- Siber Güvenlik Başkanlığı’nın Denetim Yetkisi
Başkanlık, kanun kapsamına giren her türlü fiil ve işlemi denetleme yetkisine sahip olup, bu doğrultuda inceleme yapma ve yaptırma yetkisini geniş kapsamlı şekilde kullanabilecektedir. Bu bağlamda Başkanlık, elektronik ortamdaki verinin, belgelerin, elektronik altyapının, cihaz, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret veya örnek alınması, konuyla ilgili yazılı veya sözlü açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi konularında yetkilidir.
Bununla birlikte Başkanlık, hâkim kararı üzerine veya gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısının yazılı emri ile konutta, işyerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilecektir. Bu kapsamda yapılan yerinde incelemelerde uzun süreli hizmet aksamasına yol açmayacak şekilde kopya çıkarma ve el koyma işlemi de Başkanlık tarafından gerçekleştirebilecektir. Kanun teklifinde yer alan Başkan’ın onayı ile arama ve el koyma yetkisi tanıyan düzenleme, yasalaşmamış ve teklif metninden çıkarılmıştır.
Başkanlık tarafından denetime tabii tutulanlar ilgili cihaz, sistem ve donanımları denetlemeye açık tutmakla ve gerekli önlemleri almakla yükümlüdürler. Bu yükümlülüğe aykırılık halinde ise yüzbin Türk lirasından bir milyon Türk lirasına kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde ise yüzbin Türk lirasından az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası uygulanacağı düzenlenmesine yer verilmiştir.
- Siber Güvenlikle İlgili Yanıltıcı Paylaşımlara Hapis Cezası
Kanun’un taslak halinde de tartışmaların odak noktası haline gelen düzenlemelerden biri olan ilgili madde ile Kanun, kamuoyunda korku ve panik yaratmayı amaçlayan yanıltıcı siber güvenlik paylaşımlarına hapis cezası düzenlenmesine yer vermiştir. Gerçeğe aykırı veri sızıntısı iddialarıyla kurumları veya kişileri hedef gösterenler ya da bu tür içerikleri kasıtlı olarak yayanlar, iki yıldan beş yıla kadar hapis cezası ile karşı karşıya kalacaktır. Bu düzenlemenin, basın kuruluşları açısından veri sızıntılarını haberleştirme konusunda tereddüt yaratabileceği ve bunun da basın ve ifade özgürlüğü üzerinde kısıtlayıcı bir etki doğurabileceği yönündeki tartışmalar kamuoyunda hala devam etmektedir.
- Siber Güvenlik Ürünleri ve Şirketlerine İlişkin Özel Düzenlemeler
Kanun, Türkiye’de üretilen siber güvenlik ürünlerinin yurt dışına satışına ve bu alandaki şirketlerin devrine yönelik önemli düzenlemeler getirmektedir. Kanuna göre, siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerinin ihracatı Başkanlık tarafından belirlenen usul ve esaslara tabi olacak ve belirli ürünlerin yurt dışına satışı için Başkanlık onayı gerekmektedir.
Ayrıca, siber güvenlik alanında faaliyet gösteren şirketlerin birleşme, bölünme, pay devri veya satışı Başkanlığa bildirilme zorunluluğu getirilmiştir. Bu işlemler sonucunda şirket üzerinde doğrudan veya dolaylı kontrol hakkı doğuran değişiklikler Başkanlık onayına tabi tutulacaktır. Başkanlık onayı olmadan gerçekleştirilen işlemler hukuken geçersiz sayılacak. Başkanlık, gerekli gördüğü durumlarda kurum ve kuruluşlardan ek bilgi ve belge talep edebilecektir.
Sonuç
Kanun, Türkiye’nin siber uzaydaki güvenliğini artırmayı hedefleyen kapsamlı düzenlemeler içermektedir. Kanun kapsamında, siber güvenlik tehditlerine karşı korunma, siber olayların tespiti ve önleyici tedbirlerin alınması amacıyla Başkanlığa geniş yetkiler verilmiştir. Ayrıca, siber güvenlik ürünlerinin ihracatı ve bu alandaki şirketlerin devralma süreçleri Başkanlık onayına tabi tutulmuş, sektör üzerindeki denetim mekanizmaları güçlendirilmiştir.
Düzenleme, kamu ve özel sektördeki tüm aktörlerin siber güvenliğe ilişkin sorumluluklarını artırırken, olası risklerin daha etkin yönetilmesini amaçlamaktadır. Getirilen yeni yükümlülükler ve denetim süreçleri, siber güvenlik alanında ulusal düzeyde daha güçlü bir yapı oluşturulmasını sağlayacak ve kurumların güvenlik politikalarını daha sistemli bir şekilde yürütmesini teşvik edecektir.
Kanun kapsamında, uyum sağlanması gereken yeni yükümlülükler getirilmiş olup, bu yükümlülüklere uygun hareket edebilmek adına hukuki stratejilerin belirlenmesi ve gerekli tedbirlerin alınması büyük önem taşımaktadır. Özellikle, siber güvenlik politikalarının uygulanması, veri güvenliğinin sağlanması ve Başkanlık tarafından talep edilen bilgi ve belgelerin zamanında iletilmesi gibi konular, kanun kapsamındakiler için önem arz etmektedir. Bu nedenle, ilgili tarafların kanuna uygun hareket edebilmek adına detaylı bir uyum süreci planlaması ve hukuki altyapılarını güçlendirmesi gerekmektedir.
[1] Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye alınmasını ve sonrasında yaşanan siber olay öncesi duruma geri döndürülmesini kapsayan faaliyetler bütünü
[2] Bilişim sistemlerinin veya verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesi
[3] Doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortam
