top of page
Çıkın Gürvit Avukatlık & Hukuki Danışmanlık

Siber Güvenlik Kanunu Yürürlüğe Girdi

  • Yazarın fotoğrafı: Orçun Holta
    Orçun Holta
  • 20 Eyl
  • 7 dakikada okunur

Güncelleme tarihi: 7 gün önce

Giriş

Siber Güvenlik Kanun Teklifi ve Milli Savunma Komisyon Raporu’nda yer alan genel gerekçe incelendiğinde, 2004 yılında üretilen toplam veri miktarının yalnızca 5 exabayt civarında olduğu, 2024 itibariyle ise bunun 180 zettabayt sınırlarına ulaştığı (geçen süre zarfında üretilen veri miktarının yaklaşık 36 bin kat arttığı), veri işlemeye dayalı hizmetler ile çözümlerin gerek iş hayatında gerekse gündelik yaşamda önemli bir yer tutmasına yol açtığı, siber saldırıların küresel ölçekte her gün yoğunlaşarak karmaşık bir tehdit oluşturduğu, bir ülkenin siber güvenlik alanında ön plana çıkarak rol model olabilmesi, kapsamlı bir siber güvenlik çatı mevzuatının varlığı ve merkezi bir otoritenin etkin işleyişiyle doğrudan ilişkili olduğu, caydırıcı yaptırım süreçlerini etkin kılmak, yerli ve milli çözümlerin tercih edilmesini ve geliştirilmesini desteklemek, siber suçlara yönelik cezaları artırarak daha güçlü bir caydırıcılık sağlamak gibi hususlara değinerek bu alandaki mevzuatın önemine değinilmiştir.

Globalde siber güvenlik alanındaki eğilimlere benzer olarak, siber güvenliğin sadece teknolojik tedbirlerin alınması ile sağlanamayacağını, bunun yanında tam bir koruma tesis edebilmek adına hukuki, idari ve stratejik boyutuyla da ele alınması gerektiği vurgulanmaktadır.



Temel Amaçlar

Siber Güvenlik Kanunu’nun temel amaçlar şunlardır:

  • Türkiye’nin siber güvenlikle ilgili politika ve stratejisini belirlemek üzere Siber Güvenlik Kurulunun kurulması,

  • Siber güvenlik alanında geliştirilen politikaların ulusal satıhta etkin bir şekilde uygulanması,

  • Kamu kurumları ile kritik altyapı kuruluşlarının siber mukavemetinin ve siber olgunluk seviyesinin artırılması,

  • Güncel teknolojik gelişmelerin takip edilmesi ve siber güvenlik süreçlerine entegre edilmesi,

  • Kamu kurumları ve kritik altyapı kuruluşlarının bilişim sistemlerinde oluşabilecek siber güvenlik olaylarının merkezi bir bakış açısıyla izlenmesi, tespiti ve bertaraf edilmesi,

  • Eylem planlarının ve ikincil mevzuatların hayata geçirilmesi,

  • Denetim ve özellikle caydırıcı yaptırım süreçlerinin işletilmesi,

  • Siber güvenlik ekosisteminin güçlendirilmesi,

  • Standardizasyon, sertifikasyon ve yetkilendirme süreçlerinin düzenlenmesi,

  • Siber suçlara yönelik cezaların artırılması suretiyle caydırıcılığın sağlanması.



Temel Düzenlemeler

Kapsam

Siber Güvenlik Kanunu’nun kapsamı, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan (i) kamu kurum ve kuruluşları, (ii) kamu kurumu niteliğinde meslek kuruluşları, (iii) gerçek ve tüzel kişiler ile (iv) tüzel kişiliği bulunmayan kuruluşlar şeklinde çok geniş bir yelpazeyi içermektedir.

Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu, Devlet İstihbarat Hizmetleri, Milli İstihbarat Teşkilatı Kanunu ve Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen faaliyetler kapsam dışında tutulmuştur.


Temel İlkeler

Siber Güvenlik Kanunu’nda siber güvenliğin sağlanmasında 11 adet temel ilkeye değinilmiş olup bunların aşağıdakiler olduğu vurgulanmıştır.

  • Siber güvenlik milli güvenliğin ayrılmaz bir parçasıdır.

  • Kritik altyapı ve bilişim sistemlerinin korunması ile güvenli bir siber uzay oluşturulması temel hedeftir.

  • Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülür.

  • Siber güvenlik tedbirlerinin, hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanması esastır.

  • Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünler tercih edilir.

  • Siber güvenlik politika ve stratejilerinin yürütülmesi ile siber saldırıların önlenmesi veya etkisinin azaltılmasına yönelik gerekli tedbirlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumludur.

  • Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esastır.

  • Siber güvenlik politika ve strateji geliştirme çalışmaları sürekli gelişim yaklaşımı ile yürütülür.

  • Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilir.

  • Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenir.

  • Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması.


Sorumluluklar ve İş Birliği

Siber Güvenlik Kanunu kapsamında bulunan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyetleri yürütenlerin siber güvenliğe ilişkin görev ve sorumlulukları aşağıdaki şekilde belirlenmiştir.

  • Talep edilen her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında Siber Güvenlik Başkanlığı’na iletmek.

  • Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla, mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Siber Güvenlik Başkanlığı’na bildirmek.

  • Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Siber Güvenlik Başkanlığı tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmek.

  • Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Siber Güvenlik Başkanlığı’nın onayını almak.

  • Siber olgunluğun artırılmasına yönelik Siber Güvenlik Başkanlığı tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan diğer düzenleyici işlemlerde yer alan hususları yerine getirmek ve gerekli tedbirleri almak.


Cezai Hükümler ve İdari Para Cezaları

Siber Güvenlik Kanunu’nun 16. maddesiyle cezai hükümlere ve idari para cezalarına, 17. maddesiyle ise idari para cezalarının uygulanmasına ilişkin hükümlere yer verilmiştir.


Fiil

Ceza

Kamu kurumları ve kuruluşları hariç olmak üzere yetkili merci ve denetim görevlilerinin görev ve yetkileri kapsamında istenen bilgi, belge, yazılım, veri ve donanımın verilmemesi ya da alınmasına engel olunması

1 (bir) yıldan 3 (üç) yıla kadar hapis ve 500 (beş yüz) günden 1.500 (bin beş yüz) güne kadar adli para cezası

Kanun uyarınca alınması gereken onay, yetki ve izinleri almaksızın faaliyet yürütülmesi

2 (iki) yıldan 4 (dört) yıla kadar hapis ve 1.000 (bin) günden 2.000 (iki bin) güne kadar adli para cezası

Sır saklama yükümlülüğünün yerine getirilmemesi

4 (dört) yıldan 8 (sekiz) yıla kadar hapis cezası

Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açılması, paylaşılması, satışa çıkarılması

3 (üç ) yıldan 5 (beş) yıla kadar hapis cezası

Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturulması ve bu maksatla içeriklerin yayınlanması

2 (iki) yıldan 5 (beş) yıla kadar hapis cezası

Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunmak veya bu saldırı neticesinde elde edilen her türlü verinin siber uzayda bulundurulması

Fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde, 8 (sekiz) yıldan 12 (on iki) yıla kadar hapis cezası

Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak gerçekleştirilen saldırı neticesinde elde edilen her türlü verinin siber uzayda yayılması, başka bir yere gönderilmesi veya satışa çıkarılması

10 (on) yıldan 15 (on beş) yıla kadar hapis cezası

Yukarıdaki fiillere göre verilecek ceza;


- Suçun kamu görevlisi tarafından işlenmesi halinde üçte bir oranında, - Birden fazla kişi tarafından işlenmesi halinde yarı oranında ve - Bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından iki katına kadar artırılır.


Siber Güvenlik Kanunu’nda yasaklı olarak belirtilen hükümlere personellerce aykırılık halinde

3 (üç) yıldan 5 (beş) yıla kadar hapis cezası

Siber Güvenlik Kanunu’ndan kaynaklanan görev ve yetkilerin kötüye kullanılması ve kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet vermek

1 (bir) yıldan 3 (üç) yıla kadar hapis cezası

Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almamak, hizmet sunulan alanda tespit edilen zafiyet veya siber olayların gecikmeksizin Başkanlığa bildirilmemesi Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik edilmemesi

Bir milyon Türk Lirasından on milyon Türk Lirasına kadar idari para cezası

Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin Başkanlıkça belirlenecek usul ve esaslara uygun yapılmaması, yurt dışına satışlarda Başkanlık onayının alınmaması Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri işlemlerinin Başkanlığa bildirilmemesi, bu işlemler kapsamında şirket üzerinde doğrudan ya da dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler için Başkanlık onayının alınmaması

On milyon Türk Lirasından yüz milyon Türk Lirasına kadar idari para cezası

Başkanlığın denetim yetkisi kapsamında görevlendirilenler tarafından yapılan denetimlere tabi tutulanların, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmaması, denetim için gerekli altyapıyı temin etmemesi ve çalışan vaziyette tutmak için gerekli önlemleri almaması

Yüz bin Türk lirasından bir milyon Türk lirasına kadar idari para cezası. İlgili yükümlülüklerin ticari şirketler tarafından yerine getirilmemesi durumunda ilgili idari para cezası, yüz bin Türk lirasından az olmamak üzere, bağımsız denetimden geçmiş yıllık finansal tablolarda yer alan brüt satış hasılatının 5%’ine kadar verilmektedir.


İdari para cezalarının uygulanması aşağıdaki şekilde yerine getirilecektir.

  • İdari para cezalarının uygulanmasından önce ilgililerinin savunması talep edilecek.

  • Savunmanın istendiğine dair yazının tebliğ tarihinden 30 (otuz) gün içerisinde savunma verilmemesi durumunda, ilgilinin savunma hakkından feragat ettiği kabul edilecek.

  • İdari para cezasını gerektirir kabahatlerden birinin idari yaptırım kararı verilinceye kadar 1’den çok işlendiğinin tespit edilmesi halinde, ilgili gerçek veya tüzel kişiye tek idari para cezası verilecek olup verilecek ceza 2 (iki) katını aşmayacak şekilde artırılarak uygulanacaktır. Kabahatin işlenmesi nedeniyle bir menfaat temin edilmesi veya zarara sebebiyet verilmesi durumunda ise verilecek idari para cezasının miktarı bu menfaat veya zararın 3 (üç) katından az 5 (beş) katından fazla olamayacaktır.

  • İdari para cezalarının tebliğ tarihinden itibaren 1 (bir) ay içerisinde ödenmesi gerekecektir.



Siber güvenlik ürünleri ve şirketleri

Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin Siber Güvenlik Başkanlığı tarafından belirlenecek usul ve esaslara uygun yapılması ve yurt dışına satışlarda Siber Güvenlik Başkanlığı’nın onayının alınması zorunlu tutulmuştur.

Bununla birlikte, siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri işlemlerinin Siber Güvenlik Başkanlığı’na bildirilmesi, bu işlemler kapsamında şirket üzerinde doğrudan ya da dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler için Siber Güvenlik Başkanlığı’nın onayının alınması zorunlu tutulmuş olup onay alınmaması halinde, bu işlemlerin geçersiz olacağı belirtilmiştir.



Sonuç ve Değerlendirme

Siber saldırılar, bir ülkenin bilişim sistemlerine, haberleşme, enerji ve ulaşım ağlarına, askeri ve ekonomik sistemlerine zarar verebilecek bir kapasitede yer almakta olup bundan dolayı bazı uzmanlar tarafından kara, hava, deniz ve uzaydan sonra beşinci boyut olarak değerlendirilen siber uzay bu dört boyutu da etkileme kapasitesine sahip savaşın ayrılmaz bir bileşeni olarak değerlendirilmektedir. Bu sebepledir ki, siber güvenlik de bireylerden, devlet ve uluslararası örgütlere kadar tüm gerçek ve tüzel kişilerin güvenliklerinde göz ardı edilmeyecek kadar önemli bir yer tutmaktadır. Nitekim siber saldırılar sonucundan geniş kitleler etkilenebilmekte, devlet mekanizmaları sekteye uğrayabilmektedir.

Her ne kadar Elektronik Haberleşme Kanunu, Elektronik İmza Kanunu, Kişisel Verilerin Korunması Kanunu, Türk Ceza Kanunu’nda yer alan bilişim suçlarına ilişkin hükümler gibi çeşitli kanunlarda siber güvenliğe ilişkin düzenlemeler parça parça yer alsa da bu alandaki düzenlemelerin bütünleşik bir yapıda yer alacağı siber güvenlik konusunda Türkiye’nin münhasır bir kanun ihtiyacı göz ardı edilemeyecek bir gereklikti. Siber Güvenlik Kanunu ve bu kanuna dayanarak çıkarılacak ikincil mevzuatla bu ihtiyaç giderilmiş olup aynı zamanda Türkiye’nin bu alana ilişkin hukuki koruması artmış olmaktadır.

Siber Güvenlik Kanunu’nun kapsamı geniş olduğundan bu alanda yapılacaklar konusunda birçok kişi, firma, kurum ve kuruluşa birtakım görevler düşmektedir. İlerleyen günlerde yapılacak ek düzenlemelerle çerçeve daha net çizilebilecek olsa da şu aşamada itibar kaybı yaşamaktan veya ceza ile karşı karşıya kalmaktan kaçınmak adına aşağıda ifade edilen uygulama ve tedbirlere başvurulması düşünülebilir.


(i) Siber güvenlik alanında şirket içi eğitimlerle farkındalık yaratılarak yükümlülüklere uyum sağlanmaya çalışılmalı

(ii) Özellikle şirketlerin mevcut siber güvenlik altyapısını, potansiyel açıklarını gözden geçirerek bir risk analizi yapması ve bu analiz sonucunda acil iyileştirme gerektiren kısımların iyileştirilmesine yönelik gerekli tedbirlerin alınması

(iii) Çalışanlar açısından bir harita/rehber görevi görecek politika ve prosedürlerin hazırlanması ve bunlara uyumun belirli aralıklarla kontrol edilmesi

(iv) Siber Güvenlik Kanunu ile Kişisel Verilerin Korunması Kanunu arasındaki paralellik ve cezaların ağırlığı sebebiyle, çifte denetim ve yaptırım riski söz konusu olabileceğinden, uyum çalışmalarının gerçekleştirilmesi ve düzenli iç denetimler ile sızma testleri vasıtasıyla olası ihlallerin erken tespit edilmeye çalışması

(v) Kullanılan yazılım, donanım, ağ cihazlarının devlet onaylı olmalarına dikkat edilmeli.



Yazar

Avukat Leyla Taukenova - Çıkın Gürvit Avukatlık & Hukuki Danışmanlık
Leyla Taukenova

 
 
bottom of page