Siber Güvenlik Kanunu ve Kapsamı
Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü oluşturan tüm unsurlara yönelik içten ve dıştan gelen mevcut ve olası tehditlerin tespit edilmesi ve ortadan kaldırılması, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurumları, kamu kurumu niteliğindeki meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini artırmak için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulu’nun oluşturulmasına ilişkin esaslar düzenlenmektedir.
Bu düzenleme, siber uzayda faaliyet gösteren ve hizmet sunan tüm kamu kurumları, kamu kurumu niteliğindeki meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsamaktadır. Bununla birlikte, Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yapılan istihbari faaliyetler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu ve Türk Silahlı Kuvvetleri İç Hizmet Kanunu çerçevesinde yürütülen faaliyetler düzenleme kapsamı dışında bırakılmaktadır.
Siber Güvenlik Tanımları ve Temel İlkeler
Düzenleme ile birlikte, “Barındırma”, “Başkan”, “Başkanlık”, “Bilişim sistemleri”, “Kritik altyapı”, “Kritik kamu hizmeti”, “Siber güvenlik”, “Siber olay”, “Siber saldırı”, “Siber tehdit”, “Siber tehdit istihbaratı”, “Siber uzay”, “SOME”, “Varlık” ve “Zafiyet” gibi kavramların tanımları yapılmakta ve siber güvenliğin sağlanmasındaki temel ilkeler belirlenmektedir. Bu çerçevede, siber güvenlik, milli güvenliğin ayrılmaz bir parçası olarak kabul edilmekte; kritik altyapı ve bilişim sistemlerinin korunması ile güvenli bir siber uzay oluşturulması temel hedefler arasında yer almaktadır.
Siber güvenlikle ilgili çalışmalar kurumsal, sürekli ve sürdürülebilir bir anlayışla yürütülecek; siber güvenlik tedbirlerinin hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanması esas alınacaktır. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esas olacaktır.
Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünlerin tercih edilmesi teşvik edilecektir. Siber güvenlik politika ve stratejilerinin yürütülmesi ile siber saldırıların önlenmesi veya etkilerinin azaltılması için gerekli tedbirlerin alınmasından tüm kamu kurumları ve kuruluşları ile gerçek ve tüzel kişiler sorumlu tutulacaktır. Ayrıca, siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esas olacaktır. Siber güvenlik alanında nitelikli insan kaynağının kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecek ve siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenecektir. Hukukun üstünlüğü, temel insan hakları ve mahremiyetin korunması ilkeleri temel esaslar arasında yer alacaktır.
Siber Güvenlik Başkanlığı’nın Görevleri
Yeni düzenleme ile Siber Güvenlik Başkanlığı’nın görevleri de tanımlanmaktadır. Başkanlık, kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılması, siber saldırılara karşı korunması, gerçekleştirilen siber saldırıların tespit edilmesi, muhtemel saldırıların önlenmesi ve etkilerinin azaltılması veya ortadan kaldırılması için çeşitli faaliyetler yürütecektir. Bu kapsamda, zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri yapmak veya yaptırmak, siber tehditlerle mücadele etmek, siber tehdit istihbaratı elde etmek, oluşturmak ve paylaşmak gibi görevler üstlenecektir.
Siber Güvenlik Başkanlığı, kritik altyapıları ve bunlara ait kurumları belirlemekle birlikte, kamu kurumları ve kritik altyapıların veri envanterini tutacak ve varlıklara yönelik risk analizlerini gerçekleştirecektir. Ayrıca, Siber Olaylara Müdahale Ekibi (SOME) kurmak, denetlemek ve olgunluk seviyelerini artırmak için çalışmalarda bulunacaktır. Diğer ülkelerin siber olaylara müdahale ekipleriyle koordinasyon kuracak ve siber güvenlik tatbikatları gerçekleştirerek SOME’lerin müdahale kabiliyetlerini ölçme faaliyetlerini destekleyecektir.
Kritik Kamu Hizmetlerinin Siber Güvenliği
Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları da düzenleyecektir. Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak amacıyla gerekli altyapıları kurmak, işletmek ve güvenli sistem ve altyapılar üzerinden barındırma hizmeti sunmak gibi görevleri olacaktır. Siber güvenlik alanına ilişkin standartları hazırlamak, diğer kişi veya kuruluşlarca hazırlanan standartları incelemek ve uygun bulduğunda bunları yayımlamak da başkanlığın sorumlulukları arasındadır.
Buna ek olarak, siber güvenlik alanına yönelik yazılım, donanım, ürün, sistem ve hizmetlerin test ve sertifikasyon işlemlerini gerçekleştirmek, siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme işlemlerini ilgili kurumlarla koordineli bir şekilde yürütmek de Siber Güvenlik Başkanlığı’nın görevleri arasında yer almaktadır. Başkanlık, siber güvenlik denetimini gerçekleştirerek, sonucuna göre yaptırım uygulama yetkisine de sahip olacaktır.
Cezai Hükümler ve İdari Para Cezaları
Kamu kurum ve kuruluşları hariç, kanunla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar, 1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası ile cezalandırılacaktır. Kanun uyarınca alınması gereken onay, yetki veya izinleri almaksızın faaliyet yürütenler ise 2 yıldan 4 yıla kadar hapis ve 1000 günden 2000 güne kadar adli para cezası ile karşılaşacaktır.
Sır saklama yükümlülüğünü yerine getirmeyenlere 4 yıldan 8 yıla kadar hapis cezası verilecekken, siber uzayda veri sızıntısı nedeniyle kişisel veya kritik kamu hizmeti kapsamına giren verileri, kişilerin veya kurumların izni olmaksızın paylaşan veya satışa çıkaranlara 3 yıldan 5 yıla kadar hapis cezası uygulanacaktır. Ayrıca, veri sızıntısı olmadığını bildiği halde halk arasında panik yaratmak amacıyla yanlış içerikler üretenler de 2 yıldan 5 yıla kadar hapis cezasıyla cezalandırılacaktır.
Türkiye Cumhuriyeti’nin siber uzaydaki milli gücüne yönelik siber saldırılar gerçekleştirenler, 8 yıldan 12 yıla kadar hapis cezası ile cezalandırılacak; bu saldırı sonucunda elde edilen verileri siber uzayda yaymak veya satmak durumunda kalanlar ise 10 yıldan 15 yıla kadar hapis cezası ile karşılaşacaktır. Bu cezalar, suçun kamu görevlisi tarafından işlenmesi halinde 3’te bir oranında, birden fazla kişi tarafından işlenmesi durumunda yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde ise yarısından 2 katına kadar artırılacaktır.
Başkanlıkta görev yapanlara ilişkin yasak hükümlerine aykırı davrananlar 3 yıldan 5 yıla kadar hapis cezası ile cezalandırılacaktır. Kanunun öngördüğü görev ve yetkilerini kötüye kullananlar veya kritik altyapıların korunması kapsamında veri ihlali yaşanmasına sebebiyet verenler ise 1 yıldan 3 yıla kadar hapis cezası alacaktır. Bilişim sistemleri kullanarak hizmet sunan ve siber güvenlik tedbirlerini almayanlar, 1 milyon liradan 10 milyon liraya kadar para cezası ile karşılaşabilecektir. Ayrıca, yeni tedarik sözleşmeleri kapsamında kullanılacak siber güvenlik ürün ve hizmetlerinin yurt dışına satışıyla ilgili yükümlülükleri yerine getirmeyenlere 10 milyon liradan 100 milyon liraya kadar idari para cezası verilecektir.
Denetime tabi tutulanların, gerekli denetim altyapısını temin etmemesi durumunda da 100 bin liradan 1 milyon liraya kadar idari para cezası uygulanacaktır. Bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde ise ceza, 100 bin liradan az olmamak kaydıyla yıllık brüt satış hasılatının yüzde 5’ine kadar olabilecektir.
