DERNEĞİMİZ
BAŞKANIN MESAJI
HAKKIMIZDA
KURULLAR
AİDAT VE HESAP BİLGİLERİ
KURUMSAL KİMLİK
TÜZÜK
ÜYELER
MEDYA
DUYURULAR
BASINDA BİZ
MAKALELER
MENTÖRLER
İLETİŞİM
Giriş Yap Üyelik Başvurusu

Siber Güvenlik Başkanlığı ve Siber Güvenlik Kanun Teklifi

BiTekDer Üyemiz Ayşen Uslu’nun Siber Güvenlik Başkanlığı ve Siber Güvenlik Kanun Teklifi’ne ilişkin yazısı için keyifli okumalar diliyoruz.

Siber Güvenlik Başkanlığı ve Siber Güvenlik Kanunu

 

2025 yılı girmesiyle beraber ülkemizde siber güvenlik alanında bazı köklü değişiklikler gerçekleşmeye başladı.

 

Önce 7 Ocak 2025 te Cumhurbaşkanlığına bağlı Siber Güvenlik Başkanlığı kuruldu. Hemen ardından Siber Güvenlik Başkanlığının görev ve yetkilerini, ayrıca Cumhurbaşkanının Başkanlık edeceği Siber Güvenlik Kurulunun kurularak faal hale getirilmesi konularını düzenleyen Siber Güvenlik Kanun Teklifi 10 Ocak 2025 te TBMM ye sunuldu. 19 Mart 2025'te de kabul edildi.

 

Siber Güvenlik Başkanlığına ve Siber Güvenlik Kanununa Neden İhtiyaç Vardı ?

 

Hali hazırda ülkemizde siber güvenlik alanında yapılan çalışmalar Ulaştırma ve Altyapı Bakanlığı, Sanayi ve Teknoloji Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu, TÜBİTAK, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi gibi kurumlarda yürütülmektedir.

Bu kurumlarda yapılan çalışmalar birbirinden destek alsa da birbirinden bağımsız olması sebebiyle ve artık siber güvenliğin bir milli güvenlik unsuru olduğu ve siber uzayda Türkiye’nin egemenliğini korumak konusunda farkındalığın artması sonucu,

Türkiye’nin siber güvenliğini güçlendirmek ve siber tehditlere karşı ulusal düzeyde etkin bir mücadele yürütmek için bu çalışmaları merkezileştirerek yönetilmesini sağlayacak bir yapıya ihtiyaç vardı. Siber Güvenlik Başkanlığı böyle kuruldu.

Başkanlığın hedefleri arasında,

  • Ulusal Siber Güvenlik Stratejisinin geliştirilmesi ve Siber güvenlik ile ilgili politika, strateji ve eylem planlarının ülke genelinde etkin bir şekilde uygulanmasını sağlamak
  • Enerji, ulaşım, iletişim gibi kritik altyapıların siber saldırılara karşı korunmasını sağlamak. Bunun için kamuda ve kritik altyapı işleten kuruluşlarda bilgi güvenliği yönetim sistemlerinin kurulmasını ve işletilmesini desteklemek
  • Siber Tehditlerle Mücadele etmek için erken uyarı ve müdahale mekanizmalarını geliştirmek ve ilgili kurumlarla işbirliği yapmak
  • Yerli ve Milli teknolojilerin geliştirilmesini teşvik etmek, bu alandaki AR-GE faaliyetlerini desteklemek
  • Siber Güvenlik konusunda kamuoyunu bilinçlendirmek, eğitim ve farkındalık çalışmaları yürütmek

bulunmaktadır.

 

Benzer şekilde Siber güvenlikle ilgili suç ve kabahatler ise TCK’nın “Bilişim Alanında Suçlar” başlığı altında 243 ila 246. maddeleri, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Kanunu, 6698 Kişisel Verilerin Korunması Kanunu, 5809 Sayılı Elektronik Haberleşme Kanunu ile birlikte sektörlere özel bazı kanun ve düzenlemeler ile ele alınmaktadır.

 

Siber Güvenlik Kanunu ile dijital güvenlik alanındaki düzenlemeleri bir çatı altında toplamak amaçlanmış, Bu düzenlemeler,

  • Siber güvenliğe ilişkin temel ilkeler belirlenmiş
  • Siber Güvenlik Başkanlığının görev ve yetkileri düzenlenmiş *
  • Cumhurbaşkanının Başkanlık edeceği Siber Güvenlik Kurulu faal hale getirilmiş
  • Siber güvenlik ürün ve hizmetlerinin standardizasyonu ve sertifikasyonu düzenlenmiş
  • Siber güvenlik ihlalleri idari para cezalarıyla yaptırıma bağlanmış Siber güvenlik ihlallerine ilişkin yeni suçlar tanımlanmış
  • Siber güvenliğe özel Adli Bilişim kuralları düzenlenmiş
  • USOM,(Ulusal Siber Olaylara Müdahale Merkezi) Siber Güvenlik Başkanlığına bağlanmış
  • 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Kanunu ve 5809 Sayılı Elektronik Haberleşme Kanunu ile uyumlu değişiklikler yapılmıştır.

 

Böylece yukarıda bahsettiğimiz bir çok kanun ve kurumun düzenlemeye çalıştığı Türkiye’nin siber güvenliğini sağlamak, dijital varlıklarını korumak ve siber tehditlere karşı etkin bir mücadele yürütmek konularının çerçevesi düzenlemiştir.

 

Kanunun başlıca amaçları;

 

  • Türkiye Cumhuriyeti’ne karşı siber uzayda yöneltilen içten ve dıştan,mevcut ve muhtemel tehditleri tespit etmek ve bunları bertaraf etmek
  • Siber olayların muhtemel etkilerini azaltmaya yönelik esasları belirlemek
  • Kanun kapsamındaki kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemeleri yapmak
  • Ülke düzeyinde Siber Güvenlik strateji ve politikaları belirlemek
  • Siber Güvenlik Kurulunun kurulmasına ilişkin esasları düzenlemek
  • Denetim süreçleri ve caydırıcı yaptırımları hayata geçirmek

 

Siber güvenlik milli güvenlik meselesi olarak ele alındığı için ilk amaç da buna uygun şekilde belirlenmiştir. Ayrıca, Kanun siber güvenliğe ilişkin sadece hukuki çerçeveyi değil politik çerçeveyi çizmektedir.

 

Kanunun Kapsamı

 

Kanun, siber uzayda faaliyet gösteren tüm, kamu kurum ve kuruluşlarını, meslek odalarını, gerçek kişileri, tüzel kişileri, kapsamaktadır.

 

Kapsamda geçen siber uzay ifadesi ile Kanun, doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortamları kastetmektedir.

 

Kanunda bilişim sistemleri; bilgi ve iletişim teknolojileriyle sağlanan her türlü hizmeti, işlem ve verinin sunumunda kullanılan donanımı, yazılımı, sistemleri ve aktif ya da pasif durumdaki diğer tüm bileşenleri kapsamaktadır.

 

Milli İstihbarat Teşkilatının yürüttüğü faaliyetler ile Emniyet Genel Müdürlüğü ve Jandarma Genel Komutanlığının yürüttükleri istihbari nitelikteki faaliyetler ise Kanun kapsamı dışında tutulmaktadır.

 

Kanunda Dikkat Çeken Maddeler

 

Kanun kapsamında,

  • USOM’un Siber Güvenlik Başkanlığına devredilmesi ile birlikte SOME’ler kurulması ve kurdurulması
  • Siber Güvenlik Kurulu (Kurul) faal hale getirilmesi ve Kurulun siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlerle ilgili kararlar alması ve bu kararların tamamından ya da bir kısmından muaf tutulacak kurum ve kuruluşları belirleme yetkisi
  • Siber Güvenlik Başkanlığı’na verilen “kamu kurum ve kuruluşları ile kritik altyapıların” veri envanterleri tutma, bunlara yönelik risk analizi gerçekleştirme ve “güvenlik tedbirleri” yetkileri
  • Siber güvenliğe yönelik mevzuatın öngördüğü tedbirlerin milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla alınması, hizmet sunulan alanda tespit edilen zafiyet veya siber olaylar gecikmeksizin Başkanlık’a bildirilmesi
  • Siber güvenlik ürün, sistem ve hizmetleri kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacaksa Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanları ve şirketlerden tedarik edileceği
  • Bilişim sistemlerini kullanarak ürün/hizmet sunan, veri toplayan/işleyen veya benzeri faaliyetler gerçekleştirenlerin yetkilendirme ve belgelendirmeye tabi iseler faaliyete başlamadan önce Başkanlık’ın onayını alması
  • Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin kamu destekleriyle kurulan veya geliştirilenlerinin yurt dışına satışı; bunları üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemlerinin Başkanlık’ın onayına tabi olacağı
  • Kanun, siber güvenlik alanındaki faaliyet gösteren şirketler, Kanunun Resmî Gazete’de yayımlanmasından itibaren 1 yıl içinde sertifikasyon süreçlerini tamamlamak zorunda kalacağı

düzenlenmiş ve dikkat çeken maddeler olarak sayılabilir.

 

Kanundaki cezai yaptırımlar

 

Kanunda düzenlenen suçlar ve cezalar arasında,

 

  • Kanunla yetkilendirilenlerin , görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya alınmasına engel olanlar 1 yıldan 3 yıla kadar hapis, 500 günden 1500 güne kadar adli para cezası
  • Kanun uyarınca alınması gereken izin, onay ve yetkileri almadan faaliyet yürütenlere 2 yıldan 4 yıla kadar hapis, 1000 günden 2000 güne kadar adli para cezası
  • Sır saklama yükümlülüğünü yerine getirmeyenler veya kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara 4 yıldan 8 yıla kadar hapis
  • Siber uzayda veri sızıntısı sonucu kişisel veya kritik kamu hizmeti verilerini izinsiz şekilde erişime açan, paylaşan ya da satışa çıkaranlara 3 ile 5 yıla kadar hapis
  • Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almayan, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlık’a bildirmeyenler 1 milyon Türk lirasından 10 milyon Türk lirasına kadar idari para cezası
  • Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanları ve şirketlerden tedarik etmek yönündeki görev ve sorumluluklarını yerine getirmeyenlere 1 milyon Türk lirasından 10 milyon Türk lirasına kadar idari para cezası
  • Siber güvenlik ürün ve hizmetleri sunan şirketler bakımından, yükümlülüklerini yerine getirmeyenlere ise 10 milyon Türk lirasından 100 milyon Türk lirasına kadar idari para cezası
  • Siber uzayda veri sızıntısı olmadığı halde veri sızıntısı yapılmış gibi bir algı oluşturmak suretiyle kurumları veya şahısları hedef almaya yönelik faaliyet yürütenlere ise 2 yıldan 5 yıla kadar hapis

cezası bulunmaktadır.

 

Kanunun Bilişim Sektörüne etkileri neler olabilir ?

 

Siber Güvenlik Kanunu, siber güvenlik firmaları için önemli değişiklikler ve fırsatlar anlamına gelebilir. Bu tür bir kanun, genel olarak ülkenin siber güvenlik seviyesini yükseltmeyi amaçladığı için siber güvenlik sektörünü de doğrudan etkiler. Siber güvenlik firmaları açısından bu kanunun ifade ettikleri ve olası etkileri aşağıdaki gibi olabilir;

 

1. İş Hacminin Artması

 

  • Siber güvenlik kanunu, hem kamuoyunda hem de özel sektörde siber güvenlik konusundaki farkındalığı artıracaktır. Bu da siber güvenlik hizmetlerine ve ürünlerine olan talebi yükseltecektir.
  • Kanun,kapsamda ki kurum ve kuruluşlar için cezai yaptırımlar içerdiğinden dolayı siber güvenlik önlemlerini almayı ve iyileştirmeyi ve denetlemeyi zorunlu hale getirebilir. Bu durumda, bu zorunluluklara uymak isteyen kurumlar siber güvenlik firmalarının ürün ve hizmetlerini almak isteyeceklerdir.
  • Kanunda özellikle yerlilik ve millilik vurgulandığından bu siber güvenlik ürün ve hizmetlerinde öncelik yerli ve milli olanlara verilecektir.

 

2. Düzenlemeler ve Standartlar
  • Kanun, siber güvenlik firmalarının ve hizmet verdikleri kurumların sorumluluklarını daha net bir şekilde tanımladığından, firmaların kendi süreçlerini ve sundukları hizmetleri yasal çerçeveye uygun hale getirmeleri gerekecektir.
  • Kanun, siber güvenlik hizmetleri ve ürünleri için belirli standartlar belirleneceğini söylemektedir. Bu, sektördeki kalitenin artmasına yardımcı olacak ve rekabet avantajı yaratmak için de önemli olacaktır.
  • Kanunun, siber güvenlik firmalarının veya personelinin belirli sertifikalara veya akreditasyonlara sahip olmasını zorunlu kılacağını söylemektedir. Bu durum sektörde profesyonelleşmeyi ve güvenilirliği artıracak ve firmaların, personel eğitimlerine ve sertifikasyon süreçlerine yatırım yapmaları gerekecektir.

 

3. Uyum Süreçlerinin Maliyeti
  • Kanun, siber güvenlik firmalarının kendi iç süreçlerini ve operasyonlarını yasal gerekliliklere uyumlu hale getirmelerini gerektirecektir. Bu uyum süreçleri maliyetli olabilir (örneğin, yasal danışmanlık, teknolojik altyapı güncellemeleri vb.).
  • Kanun, siber güvenlik firmalarına belirli olayları veya güvenlik açıklarını yetkililere raporlama yükümlülüğü getirmektedir. Bu, ek prosedürler ve kaynak ayırmayı gerektirebilir.
  • Kanun, uyumsuzluk durumunda firmalara yönelik denetimler ve cezai yaptırımlar öngörmektedir. Bu durum, firmaların yasal düzenlemelere tam uyum sağlamalarını gerektirecektir.

 

4. Rekabet Ortamı

 

  • Kanun, yerli siber güvenlik firmalarını destekleyici hükümler içermekte, Bu da yerli firmaların rekabet gücünü artırmaktadır. Örneğin, kamu kurumlarının siber güvenlik hizmeti alımlarında yerli firmalara öncelik tanınmıştır.

 

Siber Güvenlik Kanunu, siber güvenlik firmaları için genel olarak olumlu bir tablo çizmektedir. İş hacminde artış, yeni pazarlar, standartların yükselmesi gibi fırsatlar sunarken, uyum maliyetleri, düzenlemeler gibi zorlukları da beraberinde getirebilir.

 

Siber güvenlik firmalarının yapması gerekenler

 

  • Kanunun içeriğini, hangi maddelerin firmaları doğrudan etkileyeceğini anlamak önemli
  • Kanunun yürürlüğe girmesiyle birlikte gerekli olacak uyum süreçleri için şimdiden planlama yapmak ve kaynak ayırmak önemli
  • Personel eğitimlerine ve sertifikasyonlara yatırım yapmak önemli
  • Rekabet avantajı elde etmek ve sektörde öne çıkmak için Ar-Ge ve inovasyona yatırım yapmak önemli

 

Siber Güvenlik Kanunu, Türkiye’nin siber güvenlik ekosistemini güçlendirmek için önemli bir adım olacağından siber güvenlik firmaları bu süreçte kritik bir role sahip olacaktır. Firmaların bu değişikliklere hazırlıklı olması ve fırsatları değerlendirmesi, hem kendi başarıları hem de ülkenin siber güvenliği için büyük önem taşımaktadır.

Kaynaklar