Siber Güvenlik Kanunu, Türkiye Büyük Millet Meclisi'nde kabul edildi. Bu yasayla, Türkiye Cumhuriyeti'nin siber alandaki milli gücünü tehdit eden faktörlerin tespiti ve ortadan kaldırılması, siber olayların potansiyel etkilerinin azaltılması için gerekli esasların oluşturulması, kamu kurumları, meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği yok organizasyonların siber saldırılara karşı korunmalarını sağlayacak düzenlemelerin yapılması, ülkenin siber güvenliğini artırmak için strateji ve politikaların belirlenmesi, ayrıca Siber Güvenlik Kurulu’nun oluşturulması gibi hususlar ele alındı.
Bu düzenleme, siber uzayda aktif olan kamu kurumları, meslek kuruluşları, bireyler ve tüzel kişilikler dâhil tüm yapıları kapsayacak.
Siber güvenliğin temin edilmesi amacıyla yapılacak çalışmalarda, öncelikle yerli ve milli ürünlerin kullanılması öngörülüyor. Ayrıca, siber güvenlik politikalarının ve stratejilerinin uygulanmasında, siber saldırıların engellenmesi veya etkilerinin azaltılması için gerekli önlemlerden tüm kamu kurumları ve ilgili gerçek ile tüzel kişiler sorumlu tutulacak. Siber güvenlik süreçlerinin yönetiminde hesap verebilirlik esası benimseniyor.
SİBER GÜVENLİK BAŞKANLIĞI'NIN GÖREV VE YETKİLERİ
Bu yasayla birlikte Siber Güvenlik Başkanlığı’nın sorumlulukları da netleşiyor. Başkanlık, belirlenen yasal çerçevenin dışında, kritik altyapılar ve bilgi sistemlerinin siber dayanıklılığının artırılması, siber saldırılara karşı korunma, gerçekleşen siber saldırıların tespit edilmesi ve olası saldırıların önlenmesi ile etkilerinin minimuma indirilmesi için faaliyetler yürütecek.
Başkanlık, ayrıca zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri yapacak veya bunları yaptıracak, siber tehditlerle mücadele edecek, siber tehdit istihbaratı toplayacak, oluşturacak ve paylaşacak, zararlı yazılımların incelenmesine yönelik çalışmalarda bulunacak.
Kritik altyapılar ile bunların ait olduğu kurumların tespitini yapacak olan Siber Güvenlik Başkanlığı, kamu kurumları ve kritik altyapıların tüm varlıklarının envanterini oluşturacak, ayrıca bu varlıklara yönelik risk analizlerini gerçekleştirecek ve bunların güvenliğini sağlamakla da yükümlü olacak.
Siber Olaylara Müdahale Ekibi (SOME) oluşturmak, kurdurmak ve denetlemek, SOME'lerin olgunluk seviyelerini belirlemek ve artırmak için çalışmalar yapmak, siber güvenlik tatbikatları düzenleyerek SOME’lerin siber olaya müdahale kapasitelerini değerlendirmek, diğer ülkelerdeki siber müdahale ekipleriyle iş birliği kurmak, tüm siber müdahale araçları ve milli çözümlerin geliştirilmesi için çalışmalar yapmak da başkanlığın sorumlulukları arasında yer alıyor.
Kamu kurumları ve kritik kamu hizmetlerinin siber güvenliğini sağlamak amacıyla gerekli altyapıları tesis etmek, işletmek ve bu sistemler üzerinden güvenli barındırma hizmetleri sağlamak, bu süreçlere ilişkin uygulanabilir usul ve esasları ise Siber Güvenlik Başkanlığı belirleyecek.
KAYITLAR 2 YIL SÜREYLE DEĞERLENDİRİLECEK
Bu kapsamda bilişim sistemlerine uygun yazılım ve donanımları entegre edebilecek, bu ürünlerin ürettiği veya topladığı veri ve log kayıtlarını Başkanlık yönetimindeki sistemlere aktarıp siber olayların tespitine yönelik gerekli yöntem ve araçları kullanabilecek.
Başkanlık, siber olaya uğrayanlara yerinde veya uzaktan müdahale desteği sunabilecek, siber uzayda bulunan veya elde edilen veriler üzerinden saldırılara ait izleri takip edebilecek, bunları inceleyerek delillendirebilecek ve suç unsuru taşıyan bulguları adli makamlara iletebilecek, iç ve dış paydaşlarla da koordinasyon sağlamayılacak.
Başkanlık, yürütmekte olduğu faaliyetler doğrultusunda bilgi, belge, veri ve kayıtları edinebilir ve değerlendirebilir, ayrıca bu arşivlerden ve elektronik bilgi işleme sistemlerinden yararlanıp iletişim sağlayabilir.
Bu kapsamda elde edilen bilgi ve belgelerin, en fazla 2 yıl süresince kullanılmasına izin verilecek ve süreleri dolduktan sonra imha edilecektir. İlgili kuruluşlar, kendi mevzuatlarındaki gerekçeleri öne sürerek talepleri karşılamaktan kaçınamayacaklar.
Başkanlık, Türkiye’yi uluslararası platformda temsil edecek, koordinasyon sağlayacak ve uluslararası kuruluşların çalışmalarına katılım gösterecek.
Siber güvenlik ile ilgili olarak faaliyet gösteren kurumlar, kuruluşlar ve gerçek ile tüzel kişileri sınıflandıracak, gerektiğinde sadece belirli kısımları kapsayan hükümlere sahip olabilecek.
Kişisel veriler, hukuka uygun, dürüstlük kurallarına dayalı, doğru ve gerektiğinde güncel bir biçimde, belirli, açık ve makul amaçlara yönelik ve işlenme amacına bağlı, sınırlı ve ölçülü şekilde saklanarak işlenecek.
Elde edilen kişisel veriler, gereksiz hale geldiğinde resen silinecek, yok edilecek veya anonim hale getirilecektir. Başbakanlık, bu maddenin uygulanmasına dair usul ve esasları belirleyecek bir yönetmelik çıkarabilecektir.
Başkanlık tarafından yürütülen tüm faaliyetlerde, talep edilen veri, bilgi, belge, donanım, yazılım ve diğer katkıların öncelikli olarak Başkanlığa iletilmesi, siber güvenliğin sağlanması amacıyla gerekli tedbirlerin alınması, sağlık ve kamu hizmetinin düzgün bir şekilde yürütülmesini sağlamak için mevzuat gereği gerekli adımları atılması beklenmektedir.
Kamu kurumlarının ve kritik altyapıların siber güvenlik ürünlerini ve sistemlerini, yetkilendirilmiş uzmanlardan ya da firmalardan temin etmek ise yine başkanlığın sorumluluğundadır.
DENETİM FAALİYETLERİNE YÖNELİK ESASLAR
Siber Güvenlik Başkanlığı, belirtilen görevleri doğrultusunda gerektiğinde bu düzenlemenin kapsamına giren tüm eylem ve işlemleri denetleyebilir. Bu amaçla saha incelemeleri yapabilir.
Denetim, düzenleme kapsamındaki tüm kurum ve kuruluşların faaliyetlerini içerecektir. Denetimi, Başkanlık personeli, bağımsız denetçiler ve denetim kuruluşları gerçekleştirebilecektir. Bu yetki, başkan tarafından atananlar tarafından kullanılacaktır.
Denetim faaliyetleri, öncelikli ve önem dereceleri göz önünde tutularak yürütülecektir. Başkan, program haricinde ilave incelemeler gerçekleştirebilecektir. Yürütülen denetimlerin her türlü kolaylığını sağlayan mülki amirler, güvenlik güçleri ve diğer kamu personeli, bu amaçla görevlendirilenlere yardımcı olmakla yükümlüdür.
ARAMA, KOPYA ALMA, EL KOYMA NASIL GERÇEKLEŞECEK?
Denetim sürecinde görevlendirilen kişiler, yürütülen denetim faaliyetleri kapsamında yalnızca elektronik veriyi, belgeleri, altyapıyı, cihazları, sistemleri, yazılım ve donanımları inceleme; bunlardan kopya, dijital suret veya örnek alma; yazılı ya da sözlü açıklama talep etme; düzenli tutanaklar hazırlama; tesisi ve üretimi inceleme yetkisine sahip olacaktır.
Denetim altında bulunanlar, kullanıma uygun cihaz, yazılım ve sistemleri belirlenen sürelerde denetim için açık tutmak, gerekli altyapıyı sağlamak ve bunları işlevsel halde tutmakla yükümlü olacaktır.
Kanuna göre, milli güvenlik ve kamu düzeni açısından tehdit oluşturan durumlarda, hakim kararı ile ya da acil durumlarda cumhuriyet savcısının yazılı emriyle evlerde, iş yerlerinde ve kapalı yerlerde arama yapılabilecektir. Bu tür durumlarda kesintisiz bir şekilde kopya teslim etme ve el koyma işlemleri gerçekleştirilebilecektir. Kopyanın bir nüshası belgelenecek ve ilgili kişiye verilecektir.
Bu işlemlerin gerçekleştirilmesi için makul gerekçelerin sunulması zorunludur.
Hakim kararı olmadan yapılan arama ve el koyma işlemleri, 24 saat içinde ilgili hakimin onayına sunulacaktır. Yetkilendirilmiş veri merkezi işletmecileri, veri merkezlerinde yalnızca hakim kararı ile arama ve el koyma işlemi yapabilecektir.
Hakim, kararını 48 saat içinde verecek; aksi takdirde izinsiz alınan kopyalar ve çözümler hemen imha edilecektir.
SİBER GÜVENLİK KURULU KİMLERDEN OLUŞUR?
Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanlığı temsilcilerinden oluşmaktadır.
Cumhurbaşkanının katılmadığı toplantılarda, kurulun başkanlığı Cumhurbaşkanı Yardımcısı tarafından devralınacaktır.
Kurulun işlevleri arasında, siber güvenlikle ilgili strateji ve politika kararlarının alınması, alınan kararlarda muaf tutulacak kurumların belirlenmesi, Siber Güvenlik Başkanlığı tarafından hazırlanan teknoloji yol haritalarının haya geçmesine yönelik kararların alınması, öncelikli destek verilecek alanların saptanması ve insan kaynağının geliştirilmesine yönelik kararlar almak bulunmaktadır.
Kurulun sekretarya hizmetleri Siber Güvenlik Başkanlığı tarafından yerine getirilecektir. Kurulun işleyişi ile ilgili düzenlemeler ise Cumhurbaşkanlığı tarafından belirlenecektir.
Yeni düzenleme ile Siber Güvenlik Başkanlığı’na sözleşmeli uzman personel alımına dair esaslar da belirlenmiştir. Başkanlıkta çalışmakta olan personelin, diğer kamu kurumlarında zorunlu hizmet yükümlülükleri varsa, Siber Güvenlik Başkanlığı’ndaki süresi, ilgili kuruluşun onayıyla bu yükümlülükten düşülecektir.
SİBER SALDILARA AGRESİF CEZA YOLU
Türkiye Cumhuriyeti’nin siber alanındaki milli gücüne yönelik saldırılar düzenleyen ya da bu saldırılar sonucunda elde edilen verileri siber uzayda bulunduran kişiler 8 yıldan 12 yıla kadar hapis cezası alacaklardır.
Siber Güvenlik Başkanlığı’nda görevde olup çeşitli sebeplerle ilişiği kesilenler, başkanlık onayı olmaksızın 2 yıl süresince yurt içi veya yurt dışında siber güvenlik alanında özel ya da resmi herhangi bir işte çalışamayacak; bu alanda ticaret yapamayacak ve bu sektördeki firmalarda yönetici veya ortak olamayacaklardır.
Başkanlıkta yürütülen işlemlerle edinilen bilgi ve verilerin, Başkanlıkça yetkilendirilmiş kişiler haricinde radyo, televizyon, internet gibi medya aracılığıyla açıklanması kesinlikle yasaktır.
Kamuya ait gizlilik taşıyan belgeler, kişisel veriler ve ticari sırlar, yalnızca yetkili mercilerle paylaşılarak kullanılacaktır.
15 YILA KADAR HAPİS CEZASI VERİLEBİLECEK
Kamu kurum ve kuruluşlarının haricinde, kanunla yetkilendirilmiş mercilere veya denetim görevlilerine istenen bilgi, belge, yazılım, veri ve donanım sağlamayan kişiler, 1 yıldan 3 yıla kadar hapis cezası veya 500 günden 1500 güne kadar adli para cezası ile karşılaşacaktır.
Kanun çerçevesinde gereken onay, izin veya yetki alınmaksızın faaliyet gösterenler, 2 yıldan 4 yıla kadar hapis cezası ve 1000 günden 2000 güne kadar adli para cezasına çarptırılacaktır.
Sır saklama yükümlülüğünü ihlal edenlere 4 yıldan 8 yıla kadar hapis cezası uygulanacaktır.
Siber uzayda kişisel veya kurumsal verileri izinsiz şekilde paylaşan veya satışa sunanlara 3 yıldan 5 yıla kadar hapis cezası verilecektir.
Siber güvenliğe dair asılsız içerikler oluşturarak halkta korku ve panik yaratanlar ise 2 yıl ile 5 yıl arasında hapis cezası ile yaptırımla karşılaşacaktır.
Türkiye'nin siber güç unsurlarına yönelik saldırı gerçekleştirenler veya bu saldırı neticesinde elde edilmiş verileri siber uzayda bulunduranlara 8 yıldan 12 yıla kadar hapis cezası uygulanacak. Elde edilen verileri siber uzayda yayınlayan, başkalarına ulaştıran veya satılmasına aracılık edenler ise 10 yıldan 15 yıla kadar hapis cezası ile karşı karşıya kalacaktır.
Bu cezalar, suçun kamu görevlisi tarafından işlenmesi durumunda 3’te bir oranında, birden fazla kişi tarafından işlenmesi halinde ise yarı oranında artırılacaktır.
Presidency’nden gelen yasaklara aykırı davrananlar 3 yıldan 5 yıla kadar hapis cezasıyla cezalandırılacak.
Söz konusu görev ve yetkilerini kötüye kullananlar ve kritik altyapının siber saldırılara karşı korunmasına yönelik gereklilikleri yerine getirmeyenler hakkında 1 yıldan 3 yıla kadar hapis cezası verilecektir.
Bilişim sistemleri ile hizmet sunan, veri işleyen ve benzeri işlerle meşgul olanların siber güvenlik tedbirlerini almaması halinde 1 milyon liradan 10 milyon liraya kadar para cezası verilebilecektir.
Kamu kurumlarının bilişim sistemlerinde yeni sözleşmelerle ilgili siber güvenlik ürünleri ve hizmetlerin yurtdışına satışını düzenleyen yükümlülükleri yerine getirmeyenler 10 milyon liradan 100 milyon liraya kadar idari para cezası ile cezalandırılacaktır.
Denetim yükümlülüklerine uymayanlar 100 bin liradan 1 milyon liraya kadar ceza alacaklardır.
İDARI PARA CEZALARI
İdari para cezaları, öncelikle ilgilinin savunmasının alınmasıyla belirlenir. Savunmanın verilmesi için 30 günlük süre içerisinde cevap gelmezse, ilgilin fevkalade kabul edilmiş sayılacaktır.
Kanundaki kabahatlerin birden fazla kere işlenmesi durumunda kişiye tek bir idari ceza kesilecektir; bu ceza ise maksimum 2 kat artırılabilecektir. Kabahate sebep olan menfaat ya da zarar durumunda ceza miktarı bu menfaat ya da zarardan üç katına kadar olabilecektir.
Başkanlık tarafından verilen idari para cezaları, tebliğ tarihinden sonraki bir ay içinde ödenmesi gerekecektir. Bu süreç içinde ödemeyen kesinleşen cezalar, vergi daireleri tarafından tahsil edilecektir. Tahsil edilen miktarın yarısı başkanlık bütçesine, diğer yarısı genel bütçeye kaydedilecektir.
Siber güvenlik ürün, sistem, yazılım ve hizmetlerin yurtdışına satışında, Başkanlıkça belirlenen usul ve esaslara uyulacak. Bu usul ve esaslardaki izin gerektiren ürünlerin yurtdışına satışı için Başkanlık onayı gerektiği belirtilecektir. Şirketlerin birleşme, bölünme ya da başka bir işlemde bulunmaları halinde Başkanlık’a bilgi verilmesi gerekmektedir. Başkanlık izni olmadan gerçekleştirilen işlemler geçersiz sayılacaktır.
Siber güvenlik alanında faaliyet gösteren dernekler ve vakıflar, Başkanlıkça belirlenen kurallara göre sertifikasyon ve yetkilendirmeleri tamamlamak zorunda olacaktır. Bu yükümlülüğe uyulmaması durumunda siber güvenlik alanında faaliyet gerçekleştirilemeyecektir.
