Siber Güvenlik Kanunu Teklifi, TBMM Genel Şurasında kabul edilerek maddeleşti. Kanunla, Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren bütün ögelerine karşı içten ve dıştan yöneltilen mevcut ve mümkün tehditlerin tespit ve bertaraf edilmesi, siber olayların beklenen tesirlerini azaltmaya yönelik asılların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hukukî şahıslar ile hukuksal kişiliği bulunmayan kuruluşların siber ataklara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve siyasetlerin belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ait temeller düzenleniyor, kanunun kapsamına ait genel çerçeve belirleniyor.
Düzenlemenin Kapsamı
Düzenleme, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hükmî bireyler ile hukuksal kişiliği bulunmayan kuruluşları kapsayacak.
İstihbari Faaliyetler Düzenleme Dışında
Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilat Kanunu ile Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen faaliyetler düzenleme kapsamı dışında tutuluyor.
Siber Güvenlik Temel İlkeleri
Düzenlemeyle, “Barındırma”, “Başkan”, “Başkanlık”, “Bilişim sistemleri”, “Kritik altyapı”, “Kritik kamu hizmeti”, “Siber güvenlik”, “Siber olay”, “Siber saldırı”, “Siber tehdit”, “Siber tehdit istihbaratı”, “Siber uzay”, “SOME”, “Varlık” ve “Zafiyet”in tarifleri yapılıyor, siber güvenliğin sağlanmasındaki temel prensipler de belirleniyor. Buna nazaran, siber güvenlik, ulusal güvenliğin ayrılmaz bir modülü olacak. Kritik altyapı ve bilişim sistemlerinin korunması ile inançlı bir siber uzay oluşturulması temel gaye olacak.
- Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülecek.
- Siber güvenlik önlemlerinin hizmet ve eserlerin tüm hayat döngüsü boyunca uygulanması temel olacak.
Siber Güvenlik Çalışmalarında Yerli Eserler Tercih Edilecek
Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve ulusal eserler tercih edilecek. Siber güvenlik siyaset ve stratejilerinin yürütülmesi ile siber taarruzların önlenmesi yahut tesirinin azaltılmasına yönelik gerekli önlemlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve hukuksal bireyler sorumlu tutulacak. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik temel olacak.
Siber Güvenlik Başkanlığı Görevleri
Kanunla, Siber Güvenlik Başkanlığının vazifeleri de tanımlanıyor. Buna nazaran, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan vazifelerin yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber taarruzlara karşı korunmasına, gerçekleştirilen siber taarruzların tespitine, mümkün akınların önlenmesine ve tesirlerinin azaltılmasına yahut ortadan kaldırılmasına yönelik faaliyet yürütecek.
- Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk tahlilleri yapma yahut yaptırma, siber tehditlerle gayret etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile ziyanlı yazılım inceleme faaliyetlerini yürütecek.
- Kritik altyapılar ile ilişkin oldukları kurumları ve pozisyonları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların bilgi envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk tahlilinin gerçekleştirilmesini sağlamakla sorumlu olacak.
SOME’lerin Oluşturulması ve Denetimi
Siber Olaylara Müdahale Grubu (SOME) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk düzeylerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek de başkanlığın vazifeleri ortasında yer alıyor.
Kritik Kamu Hizmetlerinin Siber Güvenliği
Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak emeliyle gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına inançlı sistem ve altyapılar üzerinden barındırma hizmeti sunmak yahut sunulmasını sağlamak Siber Güvenlik Başkanlığı tarafından belirlenecek.
Siber Güvenlik Standartları ve Sertifikasyon
Siber güvenlik alanına ait standartları hazırlamak, öbür kişi yahut kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek de Siber Güvenlik Başkanlığının misyonları ortasında yer alıyor.
Kayıtlar En Fazla 2 Yıl Mühletle Saklanacak
Siber Güvenlik Başkanlığının yetkilerinin de belirlendiği yasaya nazaran, Başkanlık, ilgili mevzuatta yer alan yetkilerinin yanı sıra kanun kapsamındakilerin siber hücumlara karşı korunması için gerekli önlemi alacak yahut aldıracak. Bu kapsamda elde edilen bilgi, evrak, bilgi ve kayıtlar en fazla 2 yıl mühletle çalışmaya mevzu edilecek ve çalışma müddeti sonrasında imha edilecek.
Ülkelerle İlgi Yürütme
Başkanlık, bakanlıklar ve başka kamu kurum ve kuruluşları ile koordineli olarak siber güvenlik hususlarında muhtaçlık halinde işçi tefrik edebilecek. Memleketler arası kuruluşlar ve ülkelerle bağlar yürütebilecek.
Siber Güvenlik Denetimi
Siber Güvenlik Başkanlığı kontrolü gerçekleştirecek ve sonucuna nazaran yaptırım uygulayacak. Kontrol faaliyeti kapsamında şahsî bilgiler hukuka uygun halde işlenecek.
Cezai Hükümler
Kamu kurum ve kuruluşları hariç olmak üzere kanunla yetkilendirilen mercilerin vazife ve yetkileri kapsamında istedikleri bilgi, doküman, yazılım, bilgi ve donanımı vermeyenler yahut bunların alınmasına pürüz olanlar mahpus cezası ile cezalandırılacak.
İdari Para Cezaları
İdari para cezalarının uygulanmasından evvel ilgilinin savunması alınacak. Kanunda tanımlanan kabahatlerden birinin idari yaptırım kararı verilinceye kadar birden çok işlendiğinin tespit edilmesi halinde ilgili gerçek yahut hükmî şahsa tek idari para cezası verilecek.
Siber Güvenlik Kurulu
Kanunla, Siber Güvenlik Şurası’nın kimlerden oluşacağı düzenleniyor. Konseyin vazifeleri ortasında siber güvenlikle ilgili siyaset kararlarını almak yer alıyor.
Uyum Geçiş Düzenlemeleri
Yasayla BTK Başkanlığına ilişkin ulusal siber güvenlik faaliyetleri kapsamında kullanılan her türlü envanter Siber Güvenlik Başkanlığına devredilecek.