Hayatın her alanında internetin kullanılmasıyla birlikte “veri” en pahalı maden haline geldi. Türkiye’nin verisinin korunması gayesiyle hazırlanan Siber Güvenlik Kanunu, TBMM Genel Konseyinde kabul edilerek yasalaştı. Siber Güvenlik Kanunu neler getiriyor? Türkiye’nin verisi nasıl korunacak? Siber Güvenlik Kurulu kuruluyor
Geçtiğimiz Ocak ayında T.C. Cumhurbaşkanlığı çatısı altında Siber Güvenlik Başkanlığı kurulmuştu. Siber Güvenlik Kanunu ile birlikte Siber Güvenlik Başkanlığı vazifeleri ve yetkileri belirlendi. Ayrıca Siber Güvenlik Kurulu kuruluyor. Siber Güvenlik Kurulu; Türkiye Cumhuriyeti’nin siber dünyadaki ulusal gücünü meydana getiren bütün ögelerine karşı içten ve dıştan yöneltilen mevcut ve mümkün tehditlerin tespit ve bertaraf edilmesi, siber olayların olası tesirlerini azaltmaya yönelik asılların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hükmî şahıslar ile hukukî kişiliği bulunmayan kuruluşların siber taarruzlara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve siyasetlerin belirlenmesi mevzularında yetkili olacak.
Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Liderinden oluşacak. Kurul ve çalışma kümesi toplantılarına, görüşlerinden faydalanmak üzere alanında uzman şahıslar davet edilebilecek.
Kurulun vazifeleri ise şöyle:
Siber güvenlikle ilgili siyaset, strateji, aksiyon planı ve öbür düzenleyici süreçlere yönelik kararları almak, alınan kararların tamamından yahut bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek. Başkanlık tarafından hazırlanan siber güvenlik alanına ait teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararlar almak. Siber güvenlik alanında teşvik verilecek öncelikli alanları belirlemek, siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar almak. Kritik altyapı kesimlerini belirlemek. Başkanlık ile kamu kurum ve kuruluşları ortasında meydana gelebilecek ihtilaflar hakkında karar almak.
Siber Güvenlik Kanunu kimlere yükümlülük getiriyor?
Siber Güvenlik Kanunu ile getirilen yükümlükler Türkiye’de dijital ortamlarda faaliyet gösteren tüm kamu kurum ve kuruluşları, özel kesim şirketleri, gerçek ve hukuksal bireyleri kapsıyor.
Siber güvenliğin sağlanması için yerli ve ulusal eserler tercih edilecek
Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve ulusal eserler tercih edilecek. Siber güvenlik siyaset ve stratejilerinin yürütülmesi ile siber taarruzların önlenmesi yahut tesirinin azaltılmasına yönelik gerekli önlemlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve hukukî bireyler sorumlu tutulacak. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik temel olacak.
Başkanlığın gereksinimleri kapsamında yurt dışından ithalat yahut hibe yoluyla sağlanacak her türlü materyal yahut hizmet alımı ile bedelsiz olarak dış kaynaklardan alınan yardım materyalleri nedeniyle yapılacak süreçler gümrük vergisinden, fon ve fotoğraflardan, harçlardan, bu süreçler nedeniyle düzenlenen kağıtlar damga vergisinden istisna olacak.
Siber güvenlik siyaset ve strateji geliştirme çalışmaları, daima gelişim yaklaşımıyla yürütülecek. Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecek.
Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenecek. Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması prensipleri temel esas kabul edilecek.
Siber Güvenlik Başkanlığının misyonları neler olacak?
Kanunla, Siber Güvenlik Başkanlığının misyonları de tanımlanıyor. Buna nazaran, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan misyonların yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber ataklara karşı korunmasına, gerçekleştirilen siber taarruzların tespitine, olası atakların önlenmesine ve tesirlerinin azaltılmasına yahut ortadan kaldırılmasına yönelik faaliyet yürütecek.
Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk tahlilleri yapma yahut yaptırma, siber tehditlerle uğraş etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile ziyanlı yazılım inceleme faaliyetlerini yürütecek.
Kritik altyapılar ile ilişkin oldukları kurumları ve pozisyonları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların data envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk tahlilinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine nazaran güvenlik önlemlerini almak yahut aldırmakla da sorumlu olacak.
Siber Olaylara Müdahale Takımı (SOME) kurulacak
Siber Olaylara Müdahale Takımı (SOME) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk düzeylerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, öbür ülkelerin siber olaylara müdahale takımlarıyla uyum kurmak, her türlü siber müdahale aracının ve ulusal tahlillerin üretilmesi ve geliştirilmesi maksadıyla çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de başkanlığın vazifeleri ortasında yer alıyor.
Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken tarz ve temelleri da düzenleyecek.
Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak emeliyle gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına inançlı sistem ve altyapılar üzerinden barındırma hizmeti sunmak yahut sunulmasını sağlamak, bu faaliyetlere yönelik uygulama metot ve temeller, Siber Güvenlik Başkanlığı tarafından belirlenecek.
Siber güvenlik alanına ait standartları hazırlamak, öteki kişi yahut kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğunda standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek de Siber Güvenlik Başkanlığının vazifeleri ortasında yer alıyor.
Siber Güvenlik Başkanlığı, siber güvenlik alanına ait yazılım, donanım, eser, sistem ve hizmetlere yönelik test ve sertifikasyon süreçlerini yürütme, buna yönelik test altyapıları kurma, kurdurma ve işletme ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini ilgili kurumlarla koordineli yürütecek.
Siber güvenlik kontrolünü gerçekleştirecek ve sonucuna nazaran yaptırım uygulayacak olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların kontrolünü yapmak ya da yaptırmak, kontrolleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi süreksiz olarak.
Siber Güvenlik Başkanlığı şirketlerin bilgilerine erişebilecek
Siber Güvenlik Başkanlığının yetkilerinin de belirlendiği yasaya nazaran, Başkanlık, ilgili mevzuatta yer alan yetkilerinin yanı sıra, kanun kapsamındakilerin siber hücumlara karşı korunması ve bu atakların kaynağına karşı caydırıcılık sağlanması için gerekli önlemi alacak yahut aldıracak.
Bu kapsamda bilişim sistemlerine uygun bulunan yazılım ve donanım eserlerinin heyetim ve entegrasyonunu sağlayabilecek, bu eserler tarafından üretilen yahut toplanan bilgi ve log kayıtlarını Başkanlık idaresinde bulunan bilişim sistemlerine aktarabilecek, siber olayların tespitine yönelik gerekli sistemi ve aracı kullanabilecek.
Başkanlık, siber olaya maruz kalanlara yerinde yahut uzaktan siber olay müdahale dayanağı sağlayabilecek, siber uzayda bulunan yahut elde ettiği bilgi, imaj yahut log kayıtları üzerinden ataklara ilişkin izleri takip edebilecek, bunları inceleyerek delillendirebilecek, cürüm teşkil ettiği bedellendirilen bulguları isimli makamlar ve öteki ilgililer ile paylaşacak, yurt içi ve yurt dışındaki paydaşlar ile uyum sağlayabilecek.
Başkanlık, yürüttüğü faaliyetlerle sonlu olmak üzere bilgi, evrak, bilgi ve kayıtları alabilecek ve değerlendirmesini yapabilecek, bunlara ilişkin arşivlerden, elektronik bilgi süreç merkezlerinden ve irtibat altyapısından yararlanabilecek ve bunlarla irtibat kurabilecek. Bu kapsamda elde edilen bilgi, doküman, data ve kayıtlar, en fazla 2 yıl müddetle çalışmaya mevzu edilecek ve çalışma müddeti sonrasında imha edilecek. Bu kapsamda talepte bulunulanlar, kendi mevzuatındaki kararları münasebet göstermek suretiyle talebin yerine getirilmesinden kaçınamayacak.
Siber Güvenlik Başkanlığı, bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilecek, saklayabilecek, değerlendirebilecek, bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilecek.
Dijital ortamda faaliyet gösteren şirketlerin uyması gereken yükümlülükler neler?
Kanunla, bilişim sistemleri kullanarak hizmet sunan, bilgi toplayan, işleyen ve gibisi faaliyet yürütenlerin, siber güvenliğe ait vazife ve sorumlulukları da belirleniyor.
Bu kapsamda misyon ve sorumluluklar şöyle tanımlanıyor:
Başkanlığın misyon ve faaliyetleri kapsamında talep ettiği her türlü data, bilgi, doküman, donanım, yazılım ve başka her türlü katkıyı öncelikle ve vaktinde Başkanlığa iletmek, siber güvenliğe yönelik olarak ulusal güvenlik, kamu nizamı yahut kamu hizmetinin gereği üzere yürütülmesi hedefiyle mevzuatın öngördüğü önlemleri almak, hizmet sundukları alanda tespit ettikleri zafiyet yahut siber olayları gecikmeksizin Başkanlığa bildirmek. Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerinden yahut şirketlerden tedarik etmek. Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan evvel mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak. Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen siyaset, strateji, aksiyon planı ile yayımlanan öbür düzenleyici süreçlerde yer alan konuları yerine getirmek ve gerekli önlemleri almak.
Siber Güvenlik Kanunu ile getirilen cezalar neler?
Kamu kurum ve kuruluşları hariç olmak üzere Kanunla yetkilendirilen mercilerin ve kontrol vazifelilerinin misyon ve yetkileri kapsamında istedikleri bilgi, evrak, yazılım, data ve donanımı vermeyenler yahut bunların alınmasına pürüz olanlar 1 yıldan 3 yıla kadar mahpus ve 500 günden 1500 güne kadar isimli para cezası ile cezalandırılacak.
Güvenlik zafiyeti oluşturan şirketlere 10 milyon TL’ye kadar para cezası
Bilişim sistemleri kullanmak suretiyle hizmet sunan, bilgi toplayan, işleyen ve gibisi faaliyet yürütenlerin, siber güvenliğe yönelik olarak ulusal güvenlik, kamu tertibi yahut kamu hizmetinin gereği üzere yürütülmesi gayesiyle mevzuatın öngördüğü önlemleri almak, hizmet sundukları alanda tespit ettikleri zafiyet yahut siber olayları gecikmeksizin Başkanlığa bildirmeyenler ile kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser, sistem ve hizmetleri Başkanlık tarafından yetkilendirilen ve belgelendirilen siber güvenlik uzmanları ve şirketlerden tedarik etmeyenlere 1 milyon liradan 10 milyon liraya kadar para cezası verilecek.
Yalan bilgi sızıntısı paylaşımlarına mahpus cezası geliyor
Siber uzayda data sızıntısı olmadığını bildiği halde halk ortasında kaygı, endişe ve panik yaratmak ya da kurumları yahut şahısları gaye göstermek gayesiyle siber güvenlikle ilgili data sızıntısı olduğuna yönelik gerçeğe muhalif içerik oluşturanlara yahut bu amaçla bu içerikleri yayanlara 2 yıldan 5 yıla kadar mahpus cezası verilecek.
Daha evvel sızmış dataları paylaşanlara 5 yıla kadar mahpus cezası
Siber uzayda bilgi sızıntısı nedeniyle daha evvel yer alan ferdî yahut kritik kamu hizmeti kapsamına giren kurumsal bilgileri, şahısların yahut kurumların müsaadesi olmaksızın fiyatlı yahut fiyatsız biçimde erişime açan, paylaşan yahut satışa çıkaranlara 3 yıldan 5 yıla kadar mahpus cezası verilecek.
Siber hücum gerçekleştirenlere 15 yıla kadar mahpus cezası!
Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren ögelerine yönelik siber taarruz gerçekleştiren yahut bu akın sonucunda elde ettiği her türlü datayı siber uzayda bulunduranlara, daha ağır bir cezayı gerektiren öbür bir cürüm oluşturmadığı takdirde 8 yıldan 12 yıla kadar mahpus cezası verilecek. Bu akın sonucunda elde ettiği her türlü datayı siber uzayda yayan, öbür bir yere gönderen yahut satışa çıkaranlara 10 yıldan 15 yıla kadar mahpus cezası verilecek.
Bu cezalar, kabahatin kamu vazifelisi tarafından işlenmesi halinde 3’te bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından 2 katına kadar artırılacak.
Bir yanıt bırakın