Yeni Gelişme
Son yıllarda artan siber tehditler, ülkelerin ulusal güvenlik stratejilerinde siber güvenlik önlemlerine yer vermesine neden olmaktadır. Bu kapsamda, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kurum ve kuruluşların siber saldırılara karşı korunmasına yönelik düzenlemelerin yapılması ve Türkiye’nin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi amacıyla yasama faaliyetleri yürütülmüş ve Siber Güvenlik Kanunu Teklifi (“Kanun Teklifi”), 10 Ocak 2025 tarihinde Türkiye Büyük Millet Meclisi’ne sunulmuştu. Söz konusu Kanun Teklifi, 12 Mart 2025 tarihinde Türkiye Büyük Meclisi tarafından onaylandı ve 19 Mart 2025 tarihli ve 32846 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girdi.
Siber Güvenlik Kanunu’na (“Kanun”) buradan ulaşabilirsiniz.
Kanun Kimleri Kapsıyor
Kanun’da yer alan düzenlemeler, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan (i) kamu kurum ve kuruluşlarını, (ii) kamu kurumu niteliğinde meslek kuruluşlarını, (iii) gerçek ve tüzel kişileri ve (iv) tüzel kişiliği bulunmayan kuruluşları kapsamaktadır. Kanun uyarınca, “siber uzay” kavramı; doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bileşim sistemleri ve bunları birbirine bağlayan ağlardan oluşan ortamları ifade etmektedir. Bu anlamda, Kanun’da yer alan düzenlemelerin geniş bir aktör yelpazesini kapsadığı değerlendirildiğinde, Kanun’un siber güvenlik ekosisteminde kapsamlı bir etki alanına sahip olması beklenmektedir.
Kanun Neler Getiriyor
- Siber Güvenlik Başkanlığı. Kanun, 8 Ocak 2025 tarihli ve 32776 sayılı Resmi Gazete’de yayımlanan 177 numaralı Siber Güvenlik Başkanlığı Hakkında Cumhurbaşkanı Kararnamesi ile kurulan Siber Güvenlik Başkanlığı’nın (“Başkanlık”) görevlerine yer vermektedir. Buna göre, Başkanlık’ın; (i) kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılması adına çalışmalar yürütmek, ve bu kapsamda sızma testleri, zafiyet testleri ve varlıklara yönelik risk analizi yapmak, siber tehditlerle mücadele etmek, (ii) kritik altyapılar ile ait oldukları kurumları ve konumları belirlemek, (iii), kamu kurum ve kuruluşları ile kritik altyapıların veri envanteri dâhil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk analizinin gerçekleştirilmesini sağlamak ve bu varlıkların kritikliğine göre güvenlik tedbirleri sağlamak, (iv) mevzuat çalışmaları yürütmek, (v) siber güvenlik faaliyetlerinde koordinasyonu sağlamak, (vi) acil durum planları hazırlamak, (vii) yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifikasyon işlemlerini yürütmek, (viii) siber güvenlik alanında Ar-Ge ve teknoloji faaliyetleri yürütmek ve (ix) siber güvenlik ürünlerinin ve bu ürünleri üreten şirketleri satışına ilişkin bilgi ve belge talep etmek gibi çeşitli görevleri bulunmaktadır.
- Siber Güvenlik Kurulu. Kanun ile beraber, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Siber Güvenlik Başkanı ve çeşitli bakanlar ile kamu kuruluşları başkanlarının yer aldığı Siber Güvenlik Kurulu (“Kurul”) kurulmuştur. Kurul’un başlıca görevleri arasında; (i) siber güvenlikle ilgili eylem planı, politika gibi düzenleyici işlemlere yönelik karar almak, (ii) Başkanlık tarafından hazırlanan siber güvenliğe ilişkin teknoloji yol haritasının uygulanmasına yönelik karar almak, (iii) kritik altyapı sektörlerini belirlemek ve (iv) Başkanlık ile kamu kurum ve kuruluşları arasında meydana gelebilecek ihtilaflar hakkında karar almak yer almaktadır.
- Bilişim Sistemleri Kullanmak Suretiyle Hizmet Sunan, Veri Toplayan, İşeyen ve Benzeri Faaliyet Yürütenler. Kanun’da, bilişim sistemlerini kullanarak hizmet sunan, veri toplayan ve işleyenlerin siber güvenliğe ilişkin görev ve sorumlulukları da düzenlenmektedir. Buna göre, söz konusu gerçek ve/veya tüzel kişiler; (i) Başkanlık tarafından talep edilen bilgi ve belgeleri sunmakla, (ii) mevzuat kapsamında öngörülen tedbirleri almak ve hizmet sundukları alanda tespit ettikleri zafiyetleri veya siber olayları gecikmeksizin Başkanlık’a bildirmekle, (iii) kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetlerini Başkanlık tarafından yetkilendirilmiş ve sertifikalandırılmış siber güvenlik uzmanlarından ve şirketlerinden tedarik etmekle, (iv) sertifikasyon, belgelendirme veya yetkilendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlık onayını almakla, (v) Başkanlık tarafından belirlenen politika, strateji ve eylem planı gibi belgelerde yer alan gereklilikleri yerine getirmekle ve (vi) Başkanlık tarafından yayımlanan tavsiye ve benzeri belgelere uyum sağlamakla yükümlüdür.
- Denetim. Kanun ayrıca, Başkanlık’ın görevleri ile ilgili olarak gerekli gördüğü hallerde Kanun’un kapsamına giren her türlü fiil ve işlemi denetleyebileceğini, bu amaçla mahallinde inceleme yapabileceğini veya yaptırabileceğini düzenlemektedir. Söz konusu denetim faaliyetleri, Başkanlık tarafından belirlenecek önemlilik ve öncelik ilkeleri ile risk değerlendirmeleri kapsamında oluşturulacak program uyarınca yürütülecek olmakla beraber, Başkanlık’ın gerekli görmesi halinde program dışı denetim yapılması da mümkündür. Kanun’da, milli güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hakim kararı üzerine veya gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının yazılı emri ile konutta, işyerinde, ve kamuya açık olmayan kapalı alanlarda arama yapılabileceği düzenlenmektedir. Buna göre, uzun süreli hizmet aksaması yaratmaması şartıyla söz konusu durumlarda kopya çıkarılması ve el koyma işlemi gerçekleştirilmesi de mümkündür. Bununla beraber, yetkilendirilmiş veri merkezi işletmecilerinin veri merkezlerinde yalnızca hakim kararıyla arama, kopya çıkarma ve el koyma işlemi gerçekleştirilebilecektir.
Kanun uyarınca, denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almak zorundadır.
- Kritik Altyapılar. Kanun, kritik altyapıları; işlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda ciddi zararlara yol açabilen bilişim sistemi altyapıları olarak tanımlamaktadır. Kanun uyarınca, hem Başkanlık’ın hem de Kurul’un kritik altyapılara ilişkin görev ve yetkileri bulunmaktadır. Buna göre; (i) Kurul, kritik altyapı sektörlerini belirlemekle; (ii) Başkanlık ise, kritik altyapılar ile ait oldukları kurumları ve konumları belirlemekle, kritik altyapıların sahip olduğu varlıkların envanterinin tutmasını sağlayarak bu altyapıların sahip olduğu varlıkların kritikliğine göre güvenlik tedbirleri almasını sağlamakla, kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bu altyapıların sağlaması gereken teknik kriterleri ve Başkanlık’a yapılacak bildirimlere ilişkin usul ve esasları belirlemekle yükümlüdür.
Türk hukukundaki mevcut kurallar çerçevesinde, elektronik haberleşme, enerji, su yönetimi, bankacılık ve finans, ulaştırma ve kritik kamu hizmetleri gibi sektörler, kritik altyapı olarak kabul edilmektedir. Buna göre, mevcut kurallar çerçevesinde kabul edilen kritik altyapı kurumu, Kanun’un yer verdiği kritik altyapı tanımı ve Kurul’un kritik altyapı sektörlerini belirleme yetkisi göz önünde bulundurulduğunda, ilerleyen süreçlerde sınırları netleşecek olan kritik altyapı sektörlerinde faaliyet gösteren şirketler Kanun’da yer alan düzenlemelere tabi olabilecektir.
- Siber Güvenlik Ürünleri ve Şirketleri. Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı Başkanlık’ın onayına tabi olacaktır. Ayrıca, siber güvenlik ürünlerini/hizmetlerini üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlık’a bildirilecek, bu işlemler ile gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde herhangi bir kontrol hakkı veya karar yetkisi sağlanıyorsa Başkanlık’ın onayı aranacaktır.
- Cezai Hükümler ve İdari Para Cezaları. Siber güvenliğe ilişkin caydırıcı yaptırım süreçlerinin işletilmesine yönelik olarak Kanun, işlenen fiillerin ağırlığına göre bir ayrıma gitmektedir. Buna göre, Kanun’da, siber saldırı gerçekleştirilmesi, kişisel veya kurumsal verilerin sızdırılması, sızdırılan verilen yayılması vb. gibi bazı fiillere hapis cezası; mevzuatın öngördüğü tedbirlerin alınmaması ve denetim faaliyetlerinin engellenmesi gibi diğer bazı fiiller bakımından ise idari para cezası öngörülmektedir. Kanun’da yer verilen yaptırımlar arasında dikkat çeken hükümler aşağıdaki gibidir:
| Kanun’a Aykırı Fiil | Öngörülen Yaptırım |
| Yetkili makamlarca istenen bilgi, belge, yazılım, veri ve donanımların sağlanmaması | Söz konusu bilgi ve belgeleri sağlamayanlar hakkında 1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası uygulanacaktır. |
| Kanun’da öngörülen izin, yetki veya onayları almadan faaliyette bulunulması | Kanun’da belirlenen izin, yetki veya onayları almaksızın faaliyette bulunanlar hakkında 2 yıldan 4 yıla kadar hapis ve 1000 günden 2000 güne kadar adli para cezası uygulanacaktır. |
| Siber uzayda veri sızıntısı nedeniyle daha önce sanal ortamda yer alan kişisel verilerin veya kritik kamu hizmeti kapsamındaki kurumsal verilerin, kişi veya kurumların izni olmaksızın erişilebilir kılınması, paylaşılması, satışa açılması | Söz konusu fiili işleyenler hakkında 3 yıldan 5 yıla kadar hapis cezası uygulanacaktır. |
| Siber uzayda veri sızıntısı olduğu yönünde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla gerçeğe aykırı içerik oluşturulması /yayımlanması | Söz konusu fiili işleyenler hakkında 2 yıldan 5 yıla kadar hapis cezası uygulanacaktır. |
| Kritik altyapıların siber saldırılara karşı korunması kapsamında görevini yerine getirmeyerek veri ihlaline neden olunması | Belirtilen sebeple veri ihlaline neden olanlar hakkında 1 yıldan 3 yıla kadar hapis cezası uygulanacaktır. |
| Bilişim sistemlerini kullanarak hizmet sunan, veri toplayan ve işleyenlerin; güvenlik açıklarını ve siber olayları Başkanlık’a bildirme yükümlülüğünü yerine getirmemeleri veya kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri, yetkili/sertifikalı siber güvenlik uzmanlarından ve şirketlerinden tedarik etmemeleri | Bilişim sistemlerini kullanarak hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin ilgili yükümlülüklerini yerine getirmemesi halinde 1.000.000 TL’den 10.000.000 TL’ye kadar idari para cezası uygulanacaktır. |
| Siber güvenlik ürünlerinin/hizmetlerinin yurt dışına satışında veya siber güvenlikle ilgili her türlü ürünü/hizmeti üreten şirketin birleşme, devir veya satış işlemlerinde Başkanlık’ın görüşüne/onayına başvurulmaması veya Başkanlık’ın bilgi edinme yazılarına cevap verilmemesi | Söz konusu fiili işleyenler hakkında 10.000.000 TL’den 100.000.000 TL’ye kadar idari para cezası uygulanacaktır. |
| Kanun ile yetkilendirilen denetçiler tarafından yapılan denetimlerde işbirliği yükümlülüğünün yerine getirilmemesi | Denetçiler ile işbirliği yükümlülüğünü yerine getirmeyenler hakkında 100.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanacaktır. Kanun, söz konusu yükümlülüğün ticaret şirketleri tarafından yerine getirilmemesi halinde uygulanacak olan idari para cezasını 100.000 TL’den az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının %5’ine kadar olacağını düzenleme altına almıştır. |
Kanun ayrıca idari para cezalarının uygulanmasına ilişkin süreci düzenlemektedir. Buna göre, idari para cezası uygulanmadan önce, ilgilinin savunması alınacak ve savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren 30 gün içinde savunma verilmemesi halinde, ilgilinin savunma hakkından feragat ettiği kabul edilecektir.
Sonuç
Başkanlık’ın kurulması ve siber güvenlik alanında yürütülen yasama faaliyetleri, Türkiye’nin siber güvenlik alanında daha güçlü bir çerçeve oluşturma hedefini ortaya koymaktadır. Bu kapsamda, ilgililerin Kanun’da belirtilen yükümlülükleri yerine getirmek adına gerekli uyum faaliyetlerini yürütmesi önem arz etmektedir
