TBMM'de onaylanan Siber Güvenlik Kanun Teklifi resmiyet kazandı. Bu düzenleme, siber alanda faaliyet gösteren, hizmet sunan kamu kurumları, meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği olmayan grupları içermekte.
SİBER GÜVENLİK KANUNU TEKLİFİ YASALAŞTI
Siber Güvenlik Kanun Teklifi, TBMM'de onaylanarak yasalaştı. Türkiye Cumhuriyeti'nin siber uzaydaki milli gücünü oluşturan unsurlara yönelik gerçekleştirilen siber saldırılar nedeniyle, bu saldırılara katkıda bulunanlara 8 yıldan 12 yıla kadar hapis cezası öngörülüyor.
TBMM Genel Kurulu'nda kabul edilen Siber Güvenlik Kanun Teklifi, yürürlüğe girdi.
Bu yasayla, Türkiye'nin siber uzaydaki milli gücünü tehdit eden iç ve dış tehditlerin belirlenip ortadan kaldırılması, siber olayların olumsuz etkilerini asgari seviyeye indirmeye yönelik önlemlerin alınması, gerekli düzenlemelerin yapılması ve ülkenin siber güvenliğini artıracak stratejilerin oluşturulması hedefleniyor. Bunun yanı sıra Siber Güvenlik Kurulu'nun kuruluşuna dair esaslar da belirleniyor, kanunun kapsamı net bir şekilde çiziliyor.
Buna göre, düzenleme, siber alanda aktif olan kamu kuruluşları, meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan grupları kapsayacak.
Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu ve Jandarma Teşkilat, Görev ve Yetkileri Kanunu kapsamındaki istihbari faaliyetler, birlikte yürütülen Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu ile Türk Silahlı Kuvvetleri İç Hizmet Kanunu çerçevesinde gerçekleştirilen etkinlikler düzenlemeden muaf tutulacak.
Yasa ile birlikte "Barındırma", "Başkan", "Başkanlık", "Bilişim sistemleri", "Kritik altyapı", "Kritik kamu hizmeti", "Siber güvenlik", "Siber olay", "Siber saldırı", "Siber tehdit", "Siber tehdit istihbaratı", "Siber uzay", "SOME", "Varlık" ve "Zafiyet" kavramlarına dair tanımlar yapılarak, siber güvenliğin sağlanmasında esas alınacak temel ilkeler netlik kazanıyor. Siber güvenlik, milli güvenliğin ayrılmaz bir parçası olarak belirleniyor; kritik altyapı ve bilişim sistemlerinin korunması hedefleniyor.
Siber güvenlik alanındaki çalışmalarda kurumsallık, süreklilik ve sürdürülebilirlik vurgulanacak. Siber güvenlik önlemleri, hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanacak.
SİBER GÜVENLİK SÜREÇLERİNDE HESAP VEREBİLİRLİK TEMEL OLACAK
Siber güvenlik alanındaki çalışmalarda öncelikli olarak yerli ve milli ürünler tercih edilecek. Siber güvenlikle ilgili politika ve stratejilerin uygulanmasında, siber saldırıların önlenmesi veya etkilerinin azaltılması konusunda gerekli tedbirlerden tüm kamu kurumları ve gerçek ile tüzel kişiler sorumlu tutulacak. Siber güvenlik süreçlerinde hesap verebilirlik esas alınacak.
Siber güvenlik stratejileri sürekli gelişim odaklı yürütülecek. Nitelikli insan kaynağı kapasitesinin artırılmasına yönelik çalışmalar desteklenecek.
Siber güvenlik kültürünün topluma yayılması hedeflenecek. Hukukun üstünlüğü, temel insan hakları ve mahremiyetin korunması ilkeleri esas alınacak.
SİBER SALDIRILARA KARŞI KORUMA ÖNLEMLERİ
Yasa ile Siber Güvenlik Başkanlığı'nın görevleri de net bir şekilde belirleniyor. Başkanlık, mevcut görevlerinin yanı sıra kritik altyapı ve bilişim sistemlerinin siber dirençlerinin artırılması, siber saldırılara karşı korunması, gerçekleştirilen siber saldırıların tespiti, muhtemel tehditlerin önlenmesi ve bunların etkilerinin azaltılmasına veya ortadan kaldırılmasına yönelik faaliyet yürütecek.
Bu kapsamda başkanlık, zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri gerçekleştirecek, siber tehditlerle mücadele edecek, siber tehdit istihbaratı toplayacak, oluşturacak ve paylaşacak; zararlı yazılımlar üzerinde inceleme yapacak.
Kritik altyapılar ve bunların ilişkili olduğu kurumlar ile konumlarını belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurumları ve kritik altyapıların verileri dahil olmak üzere tüm varlıklarının envanterini oluşturacak; varlıklara yönelik risk analizleri gerçekleştirecek ve bunların güvenliğini sağlamakla yükümlü olacak.
Siber Olaylara Müdahale Ekibi (SOME) kuracak ve denetleyecek, SOME'lerin olgunluk seviyelerini belirleyecek ve artırmak için çalışmalar gerçekleştirecek, siber güvenlik tatbikatları yaparak bunların müdahale yeteneklerini test edecek, uluslararası siber olay müdahale ekipleriyle koordinasyon sağlayacak; her türlü müdahale aracı ve milli çözümlerin geliştirilmesi amacıyla çalışmalar yürütecek ve teşvik edecek.
KRİTİK KAMU HİZMETLERİNİN SİBER GÜVENLİĞİ TEYİT EDİLECEK
Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları düzenleyecek.
Kamu kurumları ve kritik kamu hizmetlerinin siber güvenliğini sağlamak amacıyla gerekli altyapıları kurmak, çalıştırmak ve bu hizmetleri güvenli sistemler üzerinden sunmakla yükümlü olacak. Bu bağlamda uygulama usul ve esasları Siber Güvenlik Başkanlığı tarafından belirlenecek.
Siber güvenlik alanına dair standartlar hazırlamak, diğer kuruluşlarca oluşturulan standartları incelemek, uygun bulduğunda bunları kabul edip yayımlamak ve uygulanmalarını takip etmek de başkanlığın sorumlulukları arasında yer alıyor.
Siber Güvenlik Başkanlığı, siber güvenlik yazılımlarının, donanımlarının, ürünlerinin, sistemlerinin ve hizmetlerinin test ve sertifikasyon işlemlerini yürütecek, ilgili altyapıları oluşturacak ve siber güvenlik uzmanları ve firmalarına yönelik yetkilendirme işlemlerini gerçekleştirecek.
Siber güvenlik denetimini gerçekleştiren Başkanlık, kamu kurumları ve kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak firmalar için gerekli teknik kriterleri belirleyip gerekli mevzuat düzenlemelerini yapacak ve denetim gerçekleştirecek.
KAYITLAR 2 YIL SAKLANACAK
Yasa ile Siber Güvenlik Başkanlığı'nın yetkileri de belirlenmiş durumda. Başkanlık, siber saldırılara karşı koruma ve caydırıcılık sağlamak için gerekli tedbirler alacak.
Bu kapsamda, bilişim sistemlerine uygun yazılımların ve donanımların kurulum ve entegrasyonunu sağlayabilecek; bu ürünlerin oluşturduğu verileri Başkanlık yönetimindeki sistemlere aktarabilecek ve siber olayları tespit edebilecek yöntemleri kullanabilecek.
Başkanlık, saldırıya uğrayanlara yerinde veya uzaktan siber olay müdahale desteği verebilecek; siber uzayda elde edilen veriler üzerinden saldırı izlerini takip edebilecek ve bunları inceleyerek delillendirme yapacak; gerektiğinde adli makamlar ve diğer ilgililerle paylaşımda bulunacak.
Başkanlık, yürüttüğü faaliyetlere ilişkin bilgi, belge, veri ve kayıtları alabilecek ve aynı zamanda değerlendirme yapabilecek; elektronik bilgi işlem merkezlerinden ve iletişim altyapısından faydalanabilecek.
Bu kapsamda elde edilen bilgiler, en fazla 2 yıl süreyle saklanacak ve sonrasında imha edilecek. Talep edilen bilgiler ise bu talep sırasında mevcut mevzuatın hükümlerine uygun olarak yerine getirilecektir.
Siber Güvenlik Başkanlığı, bilişim sistemlerindeki log kayıtlarını toplama, saklama, değerlendirme ve bu konularda rapor hazırlayarak ilgili kişilerle paylaşma yetkisine sahip olacak.
ULUSLARARASI İLİŞKİLER VE BİLGİ ALIŞVERİŞİ
Başkanlık, ihtiyaç durumunda bakanlıklar ve diğer kamu kurumlarıyla koordine ederek siber güvenlik konularında personel tahsis edebilecek. Görev alanına giren konularda uluslararası ilişkiler yapabilecek, bilgi alışverişinde bulunacak ve Türkiye'yi temsil edebilecektir.
Düzenleme kapsamındaki kurum ve kuruluşlarla ilgili diğer gerçek ve tüzel kişileri sınıflandırma yetkisi de mevcut. Bu kişiler ihtiyaç durumunda yalnızca belirli hükümler oluşturabilecek.
Siber Güvenlik Başkanlığı, denetim gerçekleştiren bağımsız denetçilere yetki verebilmekte; gerektiğinde bu yetkiyi iptal edebilecektir. Başkanlık ayrıca, kamu kurumları ve kritik altyapıların bilişim sistemlerinde kullanılacak siber güvenlik ürünlerinin niteliklerini belirleyecek ve mevzuat düzenlemeleri yapacaktır.
Siber güvenlik ürün ve hizmetlerinin minimum güvenlik koşullarını belirleyecek olan başkanlık, bu ürünleri tedarik edecek gerçek ve tüzel kişilerin sertifikasyon ve yetkilendirme süreçlerini yönetecektir. Ayrıca, standartlara uymayanların kullanımını sınırlama tedbirleri alabilecektir.
Yürütülen işlemler kapsamında kişisel veriler, hukuk kurallarına ve dürüstlük ilkesine uygun olarak işlenecek; belirli, açık ve meşru amaçlarla kullanılacak, gerektiğinde güncellenebilecektir.
Elde edilen kişisel veriler, bu verilere erişime neden olan sebepler ortadan kalktığında silinecek veya anonim hale getirilecektir.
SORUMLULUKLAR VE İŞBİRLİĞİ
Yasa ile bilişim sistemleri aracılığıyla hizmet sunan ve veri toplayanların siber güvenlik alanındaki sorumlulukları da netleşiyor.
Bu bağlamda görev ve sorumluluklar şu şekilde belirtilmiştir:
Başkanlığın talep ettiği tüm veri, bilgi, belge, donanım ve yazılımı zamanında sunmak; milli güvenlik, kamu düzeni veya kamu hizmetinin gerektiği şekilde yürütülmesi amacıyla mevzuatın belirlediği tedbirleri almak; tespit edilen zafiyet veya siber olayları derhal Başkanlığa bildirmek. Kamu kurumları ve kuruluşları, kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık onaylı uzmanlardan temin edecek. Sertifikasyon ve yetkilendirme süreçlerine uygun olarak faaliyet başlamadan önce Başkanlık onayı alınacaktır. Başkanlık tarafından geliştirilen politika ve stratejilere göre gereken tedbirlerin alınmasına dair düzenleyici işlemleri yerine getirmek gerekiyor.
DENETİM FAALİYETİNE İLİŞKİN KURALLAR
Siber Güvenlik Başkanlığı, düzenlemeyle belirtilen görevleri doğrultusunda, gerekli gördüğü hallerde her türlü faaliyeti denetleyebilecek, yerinde incelemelerde bulunabilecektir. Denetim sürecinde yasal çerçevede belirlenen kişilerin faaliyet ve işlemleri incelenecektir.
Denetim yetkisi, Başkanlık personeli ile bağımsız denetçiler tarafından kullanılacaktır. Kamu kurumlarında denetimler, başkanlık personeli gözetiminde gerçekleştirilecektir. Denetim süreçleri için önemlilik ve öncelik ilkeleri ile risk değerlendirmelerine dayanarak uygulama esasları belirlenecektir.
Denetim, belirlenen program çerçevesinde yürütülecek ve başkanın inisiyatifi dâhilinde ek denetimler yapılabilecektir. Mülki amirler, kolluk güçleri ve diğer kamu görevleri denetimle ilgili her türlü kolaylığı sağlayacaktır.
ARAMA VE EL KOYMA PROSEDÜRLERİ
Denetim yetkilileri, yürüttükleri denetim süreçlerinde elektronik veriler, belgeler ve diğer bilişim sistemleri üzerinde gerekli incelemeleri gerçekleştirebilecek; bu süreçlerde ilgili belgelerin kopyalarını alabilecek ve gerekli tutanakları düzenleyebilecektir. Denetime tabi tutulanlar, denetim için gerekli altyapıyı sağlamalı ve çalışır durumda tutmak zorundadır.
Yasa uyarınca, milli güvenlik ve kamu düzeninin sağlanabilmesi adına, hâkim kararı veya gecikmenin sakıncalı olduğu durumlarda, savcının yazılı emriyle arama yapılabilecektir. Bu süreçte uzun süreli aksaklıklara neden olmaksızın kopyalama işlemleri gerçekleştirilecektir. Bu süreçte, elde edilen kopyaların bir örneği ilgili kişiye verilecek ve tutanağa bağlanacaktır.
Bu işlemler için yeterli sebepler ile birlikte gerekçelerin sunulması zorunludur.
Hakim kararı olmadan yapılan arama ve kopyalama işlemleri, 24 saat içinde hâkim onayına sunulacaktır. Yetkilendirilmiş veri merkezlerinde ise yalnızca hâkim kararı ile arama ve kopyalama yapılabilecektir.
Hâkim, kararını 48 saat içerisinde verecek, aksi takdirde elde edilen kopyalar imha edilecektir. Bu maddenin kapsamına dahil talepler için Ankara Sulh Ceza Hakimliği yetkili olacaktır ancak kamu kurumları için hâkim kararı gerekli olmayacaktır.
SİBER GÜVENLİK KURULU
Yasa ile Siber Güvenlik Kurulu'nun oluşumu da belirleniyor.
Yapılan düzenlemeye göre, Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanından oluşacak.
Kurul toplantılarına Cumhurbaşkanı katılmadığı takdirde, Cumhurbaşkanı Yardımcısı başkanlık edecek. Gündemin gerektirdiği durumlarda, ilgili bakan ve diğer kişilerin de toplantılara katılımı sağlanacak. Kurul, gerekli görmesi hâlinde teknik çalışma grupları oluşturabilecek; bu gruplar teknik düzeyde çalışmalar yaparak öneriler sunacaklar.
Kurulun görevleri arasında, siber güvenlikle ilgili politika ve stratejilerin belirlenmesi, siber güvenlik alanında öncelikli teşviklerin belirlenmesi gibi konular yer alacak. Ayrıca, Siber Güvenlik Başkanlığı'nın hazırladığı teknoloji yol haritasının ülke genelinde uygulanması ile ilgili kararlar alınacak.
Kurulun sekretarya hizmetleri Siber Güvenlik Başkanlığı tarafından yürütülecek; komisyon ve çalışma gruplarının faaliyetleri Cumhurbaşkanı tarafından çıkarılacak yönetmelikle düzenlenecek.
Yasayla Siber Güvenlik Başkanlığı'nda sözleşmeli uzman personel istihdamı ve ücretleri de belirlenmiş durumda.
Siber Güvenlik Başkanlığı'nda görev alan kişilerden, diğer kamu kurumlarına karşı hizmet yükümlülüğü bulunanların, başkanlıktaki süreleri, ilgili kurumun onayıyla söz konusu yükümlülük sürelerinden düşülecek.
Siber Güvenlik Kanunu'na göre, Siber Güvenlik Başkanlığı bünyesinde hizmet görenler, ilişiklerinin kesilmesi durumunda, başkanlık onayı olmadan yurt içinde veya yurt dışında başka görevler alamayacak, bu alanda ticaretle uğraşamayacak, serbest meslek yapamayacak, özellikle bu sektörde faaliyet gösteren şirketlerde yönetici veya hissedar olamayacaklar.
Başkanlık bünyesinde gerçekleştirilen faaliyetler sonucunda elde edilen verilerin medya araçları aracılığıyla açıklanması yasak. Gizlilik taşıyan bilgiler, yalnızca yetkili mercilere açıklanabilecek.
Başkanlığın gelirleri, genel bütçeden yapılacak yardımlar, Başkanlık faaliyetlerinden elde edilen gelirlerden, uygulanan idari para cezalarından ve kurulacak fonların gelirlerinden sağlanmaktadır.
Başkanlığın ihtiyaçları doğrultusunda yurt dışından ithalat veya hibe yoluyla sağlanan malzeme ve hizmetler, gümrük vergisi muafiyetinden yararlanacaktır.
Kamu kurum ve kuruluşları bu yasanın gerektirdiği hallerde, kullanımlarında olan her türlü malzeme ve ekipmanı, Başkanlığa geçici olarak tahsis edebilecek veya bedelsiz devredecektir.
CEZAİ HÜKÜMLER VE İDARİ PARA CEZALARI
Kamu kurumları hariç, yasa ile belirlenen mercilerin ve denetim yetkililerinin talep ettiği verileri vermeyenler veya engel oluşturanlar, 1 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası ile cezalandırılacak.
Yasa uyarınca gerekli izinleri almadan faaliyet gösterenler, 2 yıl ile 4 yıl arasında hapis cezasına çarptırılacak ve 1000 günden 2000 güne kadar adli para cezası uygulanacaktır.
Sır saklama yükümlülüğünü yerine getirmeyenler ise 4 yıldan 8 yıla kadar hapis cezası alacak.
Siber uzayda veri sızıntısı nedeniyle kişisel veya kritik verileri izinsiz olarak paylaşanlara 3 yıldan 5 yıla kadar hapis cezası verilecektir.
Halk arasında korku oluşturmaya yönelik yanıltıcı içerik üretenler veya yayanlar, 2 yıldan 5 yıla kadar hapis cezasıyla cezalandırılacaktır.
Türkiye'nin milli güç unsurlarına yönelik siber saldırı gerçekleştiren veya bu saldırılardan elde edilen verileri paylaşanlara, 8 yıldan 12 yıla kadar hapis cezası verilecektir. Bu verilerin paylaşımı, 10 yıldan 15 yıla kadar hapis cezası gerektirecektir.
Bu cezalar, suçun kamu görevlisi tarafından işlenmesi durumunda 3 katına, birden fazla kişi tarafından işlenmesi durumunda da yarı oranında artırılacaktır.
Başkanlıkta görev yapanların yasa dışı hareketleri ise 3 yıldan 5 yıla kadar hapis cezası ile sonuçlanacaktır.
Yasa ile yükümlülüklerini yerine getirmeyenler ve siber güvenliğin ihlal edilmesine sebep olanlar 1 yıldan 3 yıla kadar hapis cezası alabilecektir.
Siber güvenlik ürünlerini temin etmeyenler veya gerekli tedbirleri almayanlar 1 milyon liradan 10 milyon liraya kadar para cezası ile karşılaşacaklardır.
Kamu kurum ve kuruluşları için gerekli yükümlülükleri yerine getirmeyenler ise 10 milyon liradan 100 milyon liraya kadar idari para cezasına tabi olacaktır.
Denetimlere tabi olanlar, denetime açık tutmakla yükümlü oldukları cihazlar için gereklilikleri sağlamazsa, 100 bin liradan 1 milyon liraya kadar para cezası alacaklardır.
İDARENİN PARA CEZALARININ UYGULANMASI
İdari para cezalarının uygulanabilirliği öncesinde ilgili kişilerden savunma alınacaktır. Savunma talebi üzerine 30 gün içinde cevap verilmemesi durumunda, savunma hakkının kullanıldığı kabul edilmeyecektir.
Kanunda tanımlanan kabahatlerden birinin birden fazla işlenmesi durumunda, ilgili kişiye tek bir idari para cezası verilecektir. Bu cezanın miktarı iki katına kadar artırılabilecektir. Ayrıca zarara yol açılması halinde verilecek cezanın miktarı, zarar miktarının 3 katından az, 5 katından fazla olamayacaktır.
Başkanlık tarafından verilen idari para cezaları, tebligat tarihinden itibaren 1 ay içinde ödenecek. Ödenmeyen cezalar tahsili için vergi dairelerinden alınacaktır. Başkanlığın tahsil ettiği idari para cezalarından elde edilen gelir genel bütçeye kaydedilecek.
Siber güvenlik ürünlerinin yurt dışına satışı, Başkanlıkça belirlenen usul ve esaslara uygun gerçekleştirilmelidir. Ürünlerle ilgili birleşme, bölünme veya diğer işlemler ise Başkanlık onayına tabidir. Bu işlemlerin geçerliliği, Başkanlık onayı alınmadan mümkün olmayacaktır. Başkanlık bunlarla ilgili bilgi talep edebilecektir. Uygulamaya ilişkin ayrıntılar, Başkanlıkça yayımlanacak kriterlerle belirlenmektedir.
Siber Güvenlik Başkanı, mali ve sosyal haklar bakımından bakanlık müsteşarına eşdeğer kabul edilecektir.
UYUM, GEÇİŞ DÜZENLEMELERİ VE KURULUŞ İŞLEMLERİ
Yasa ile Bilgi Teknolojileri ve İletişim Kurumu (BTK) ve Dijital Dönüşüm Ofisi'ne ait olan tüm varlıklar, bu düzenlemenin yayımı tarihi itibarıyla 6 ay içinde Siber Güvenlik Başkanlığı'na devredilecektir.
Siber güvenlik faaliyetlerinde görev alan dernek ve vakıflar, Başkanlık tarafından belirlenen şartlara uygun sertifikasyon süreçlerini tamamlamak zorundadır. Bu yükümlülüğü yerine getirmeyenler, siber güvenlik alanında faaliyet gösteremeyeceklerdir.
TBMM Başkanvekili Gülizar Biçer Karaca, düzenlemenin yasalaşmasının ardından oturumu, yarın saat 14.00'te toplanmak üzere kapattı.
