TBMM, Siber Güvenlik Kanunu Teklifini kabul etti.
Kanun, Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü oluşturan tüm unsurlara yönelik iç ve dış tehditlerin tespit edilmesi ve bertaraf edilmesini amaçlıyor. Ayrıca, siber olayların etkilerini azaltmaya yönelik esaslar belirlenirken, kamu ve özel sektörün siber saldırılara karşı korunması için gerekli düzenlemeler yapılıyor. Ülkenin siber güvenliğini güçlendirmek adına strateji ve politikalar oluşturulurken, Siber Güvenlik Kurulunun kuruluş ve işleyişine dair esaslar da düzenleniyor.
Bu kapsamda, düzenleme; kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsıyor. Ancak, Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu, Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilat Kanunu ile Türk Silahlı Kuvvetleri İç Hizmet Kanunu çerçevesinde yürütülen faaliyetler kapsam dışı bırakılıyor.
Kanunda, “siber güvenlik”, “siber saldırı”, “kritik altyapı”, “bilişim sistemleri” ve “siber tehdit istihbaratı” gibi temel kavramlar tanımlanıyor ve siber güvenliğin milli güvenliğin ayrılmaz bir parçası olduğu vurgulanıyor. Kritik altyapılar ve bilişim sistemlerinin korunması, güvenli bir siber uzay oluşturulması temel hedefler arasında yer alıyor.
Siber güvenliğin sağlanmasına yönelik çalışmalarda yerli ve milli ürünlerin öncelikli olarak tercih edilmesi esası getirilirken, bu alandaki politikaların geliştirilmesi ve uygulanması sürecinde kamu ve özel sektörün sorumluluğu vurgulanıyor. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik ilkesi esas alınırken, sürekli gelişim yaklaşımıyla stratejilerin güncellenmesi öngörülüyor.
Ayrıca, nitelikli insan kaynağının artırılması teşvik edilirken, siber güvenlik bilincinin toplum geneline yayılması hedefleniyor. Tüm düzenlemelerde hukukun üstünlüğü, temel insan hak ve özgürlükleri ile mahremiyetin korunması öncelikli ilkeler olarak belirleniyor.
Siber Güvenlik Başkanlığı, Türkiye’nin siber güvenliğini sağlamak amacıyla birçok önemli görev üstlenecek. Bu görevler, kritik altyapıların ve bilişim sistemlerinin siber dayanıklılığını artırmak, siber saldırılara karşı korunmak, gerçekleştirilen siber saldırıları tespit etmek, muhtemel saldırıları önlemek ve etkilerini azaltmak gibi geniş bir yelpazeyi kapsıyor. Başkanlık, bu hedeflere ulaşmak için çeşitli faaliyetlerde bulunacak, örneğin zafiyet testleri, sızma testleri, risk analizleri ve siber tehditlerle mücadele.
Başkanlığın görevleri arasında, kritik altyapıların ve kamu kurumlarının veri envanterini tutmak ve varlıkların risk analizini gerçekleştirmek de bulunuyor. Bu süreçler, siber güvenlik tedbirlerinin alınmasını ve uygulanmasını sağlayacak. Başkanlık ayrıca, Siber Olaylara Müdahale Ekibi (SOME) kurarak, bu ekiplerin olgunluk seviyelerini artırmak ve siber güvenlik tatbikatları yapmakla sorumlu olacak. Ayrıca, milli siber güvenlik çözümlerinin geliştirilmesi ve siber güvenlik alanında uluslararası işbirlikleri de başkanlığın faaliyetleri arasında yer alacak.
Başkanlık, siber güvenlik standartlarını belirlemek, bunları yayımlamak ve uygulamalarını takip etmekle de yükümlü olacak. Bu süreçte yazılım, donanım ve diğer güvenlik ürünlerinin test ve sertifikasyonlarını gerçekleştirecek. Kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak ürün ve hizmetlerin niteliklerini belirleyecek ve bu ürünlerin denetimini yapacak. Ayrıca, bu alanda yetkilendirilen kuruluşların taşıması gereken nitelikleri belirleyerek, denetim süreçlerini yönetecek.
Siber Güvenlik Başkanlığı’nın yetkileri arasında, siber saldırılara karşı korunma için gerekli tedbirlerin alınması ve siber olaylara müdahale için teknik altyapı sağlanması da bulunuyor. Başkanlık, saldırılara ait izleri takip ederek, suç teşkil eden bulguları adli makamlara iletebilecek ve uluslararası koordinasyonu sağlayabilecek. Ayrıca, bilişim sistemlerinde oluşan log kayıtlarını toplayacak, saklayacak ve bunları ilgili kurumlarla paylaşacak.
Son olarak, toplanan bilgi, belge, veri ve kayıtlar en fazla iki yıl süreyle saklanacak ve süre sonunda imha edilecek. Bu düzenleme, siber güvenliğin güçlendirilmesine yönelik geniş kapsamlı bir çerçeve sunuyor ve çeşitli kurumların bu alanda birlikte çalışmasını sağlayacak bir yapıyı oluşturuyor.
Bu düzenleme, Türkiye’deki siber güvenlik alanında geniş kapsamlı bir organizasyon yapısını ortaya koyuyor. Siber Güvenlik Başkanlığı’nın yetki ve sorumlulukları arasında, kamu kurumları, kritik altyapılar ve diğer ilgili kuruluşlarla koordinasyon sağlamak, uluslararası ilişkilerde Türkiye’yi temsil etmek ve siber güvenlik alanındaki ürün ve hizmetlerin denetim ve sertifikasyon süreçlerini yönetmek yer alıyor. Ayrıca, başkanlık, siber güvenlik alanındaki yazılım, donanım ve hizmetlerin asgari güvenlik standartlarını belirleyecek ve bu standartlara uymayanları önlemek için tedbirler alabilecek.
Başkanlık, siber güvenlikte tespit edilen zafiyetler ve olayları gecikmeksizin raporlama yükümlülüğü getiren düzenlemelerle, sorumlulukları net bir şekilde belirliyor. Denetim faaliyetlerinin nasıl yapılacağı, yetkilendirilmiş bağımsız denetçiler ve kuruluşlar aracılığıyla düzenleniyor ve bu denetimlerin siber güvenlikteki riskleri minimize etmek amacıyla yapılacağı ifade ediliyor.
Özellikle arama, kopya çıkarma ve el koyma işlemleri için de detaylı bir süreç belirlenmiş. Bu işlemler, savcılık ve hakim kararına bağlı olarak yapılabilecek. Veri merkezi işletmecileri de yalnızca hakim kararıyla denetime tabi tutulacak.
Siber Güvenlik Kurulu ise, devletin üst düzey yetkililerinden oluşacak ve ülkenin siber güvenlik stratejilerini belirleyecek. Bu kurul, gerektiğinde komisyonlar ve çalışma grupları oluşturarak teknik çalışmalar yapacak.
Genel olarak, bu düzenleme Türkiye’deki siber güvenlik alanında ciddi bir denetim ve koordinasyon yapısı kurarak, ülkenin siber güvenlik kapasitesini güçlendirmeyi hedefliyor.
Siber Güvenlik Başkanlığı ve bu kurumun işleyişi, çok kapsamlı bir düzenlemeye sahiptir. Kurulun görevleri, çeşitli stratejik kararlar almak, önemli öncelikli alanları belirlemek, ve siber güvenliğe yönelik teşvik ve insan kaynağı gelişimine yönelik kararlar almak gibi geniş bir yelpazeyi kapsar. Başkanlık, bu alanla ilgili birçok politika, strateji ve eylem planının uygulanmasından sorumludur.
Başkanlık, gizlilik ve güvenlik açısından oldukça katı kurallar ve yaptırımlar uygulamaktadır. Bilgi ve belge açıklama yasakları, siber güvenlik alanında veri ihlali yapanlara yönelik cezalar, siber saldırılara karşı alınması gereken tedbirler ve kötüye kullanımla ilgili cezalar da oldukça ağırdır.
Başkanlık, ayrıca siber güvenlik ürünleri ve hizmetlerinin yurt dışına satışı, şirketlerin birleşmesi ve benzeri işlemler konusunda da sıkı denetimler yapmaktadır. Başkanlıkla ilgili herhangi bir ihlalin ya da görev kötüye kullanımının cezası hapis cezası veya yüksek para cezaları ile sonuçlanabilir.
Bu düzenlemeler, siber güvenliği sağlamak ve korumak amacıyla oldukça titiz bir sistemin işlediğini gösteriyor.
Bu düzenleme, Türkiye’deki siber güvenlik faaliyetlerinin daha etkin bir şekilde yönetilmesi için önemli adımlar atmaktadır. Yasaya göre, Bilgi Teknolojileri ve İletişim Kurumu (BTK) Başkanlığı ve Dijital Dönüşüm Ofisi’ne ait tüm taşınır mallar, bilgi işlem altyapıları, sistemler ve diğer varlıklar, ulusal siber güvenlik faaliyetlerinin daha güçlü bir şekilde yürütülmesi amacıyla Siber Güvenlik Başkanlığı’na devredilecektir. Bu süreç, düzenlemenin yayımından itibaren altı ay içinde tamamlanmalıdır.
Ayrıca, BTK Başkanlığı ve Dijital Dönüşüm Ofisi’nde çalışan personelden, ulusal siber güvenlik faaliyetlerine katkı sağlayanlar, uygun görülmeleri halinde Siber Güvenlik Başkanlığı’na görevlendirilebilecektir. Bu durum, siber güvenlik alanındaki profesyonellerin uzmanlık alanlarında daha verimli bir şekilde görev yapmalarını sağlayacaktır.
Son olarak, siber güvenlik alanında faaliyet gösteren dernekler, federasyonlar, vakıflar ve ticaret şirketleri, belirlenen ilke ve esaslara uygun sertifikasyon, yetkilendirme ve belgelendirme işlemlerini tamamlamak zorunda olacaktır. Bu yükümlülüğün yerine getirilmemesi halinde, bu tür kuruluşlar siber güvenlik faaliyetlerinde bulunamayacaklardır. Bu adım, siber güvenlik sektörünün kalitesinin artırılmasını hedeflemektedir.
