Bilişim Evreni 19 Mart 2025 tarihli ve 20250319-1 sayılı Resmî Gazete’de yayımlanan Siber Güvenlik Kanunu, Türkiye’nin dijital altyapısını korumak amacıyla önemli düzenlemeler getirmektedir. Kanun, kritik altyapıların güvenliğini artırmayı, siber saldırılara karşı caydırıcılığı yükseltmeyi ve ulusal siber güvenlik kapasitesini güçlendirmeyi hedefliyor.
Siber Güvenlik Kanunu Kimleri Kapsıyor?
Kanun, siber uzayda faaliyet gösteren her kamu kurum ve kuruluşu, kamu kurumu niteliğinde meslek kuruluşlarını, gerçek ve tüzel kişiler ile tüzel kişiliğe haiz olmayan kuruluşları ilgilendiriyor.
Siber Güvenlik Kuruluna İlişkin Hükümler
Kanunun ikinci maddesi, Siber Güvenlik Kurulunun kuruluşuna ilişkin esasları düzenliyor. Maddenin kapsamı siber güvenlik yönetimi ve denetimi üzerine olup, devlet kurumlarının, kritik altyapıların ve özel sektörün siber güvenlik süreçlerini düzenlemeyi, denetlemeyi ve koordine etmeyi amaçlıyor. Kapsamı itibari ile özetlemek gerekirse;
Başkanlığın Görevleri:
- Kritik altyapıların ve bilişim sistemlerinin korunması
- Siber saldırıların tespiti, önlenmesi ve etkilerinin azaltılması
- Siber tehdit istihbaratının toplanması ve paylaşılması
- SOME (Siber Olaylara Müdahale Ekipleri) kurulması ve denetlenmesi
- Kamu kurumları ve kritik altyapıların siber güvenlik envanterinin tutulması
- Siber güvenlik standartlarının oluşturulması ve uygulanması
- Yazılım, donanım, sistem ve hizmetlerin test ve sertifikasyon süreçleri
Yetkiler:
- Kamu ve kritik altyapılara yönelik siber güvenlik tedbirlerini belirleme
- Log kayıtlarını toplama, analiz etme ve ilgili kurumlarla paylaşma
- Ulusal ve uluslararası iş birlikleri kurma
- Siber güvenlik ürün ve hizmetlerine yönelik teknik kriterler belirleme
- Siber güvenlik denetim yetkisini kullanma ve yaptırımlar uygulanması
Sorumluluklar ve İş Birliği:
- Kamu kurumları ve kritik altyapıların belirlenen güvenlik standartlarına uyması
- Siber güvenlik ihlallerinin ve tehditlerin Başkanlığa bildirilmesi
- Siber güvenlik ürün ve hizmet sağlayıcılarının yetkilendirilmesi ve belgelendirilmesi
- Başkanlığın strateji ve eylem planlarına uyum sağlanması
Kanunun üçüncü ve dördüncü bölümleri personele ve mali işlere ait hükümler içermektedir. Başkanlıkta istihdam edilen personelin istihdam koşullarını, güvenlik soruşturmasını, zorunlu hizmet yükümlülüklerinin devrini ve yasakları belirlemektedir. Sözleşmeli uzman personel, belirli ücret sınırlarına ve sigorta şartlarına tabi olarak çalışacak; ayrıca, görevden ayrıldıklarında siber güvenlik alanında çalışamayacaklardır. Gizlilik yükümlülükleri de dahil olmak üzere, Başkanlıkla ilgili her türlü bilgi açıklanamaz ve ticari çıkarlar için kullanılamaz. Ayrıca, Başkanlığın gelirleri arasında Hazine yardımları, idari cezalar ve diğer kaynaklar yer alırken, yurt dışı malzeme ithalatı ve yardımları gümrük vergilerinden muaf tutulmuştur. Bu düzenlemeler, Başkanlığın operasyonlarını ve güvenlik standartlarını güçlendirmeyi amaçlamaktadır.
Bunların yanında, kanun kapsamında bazı kanunlar değiştirilmiştir. “Siber Güvenlik Başkanı, mali ve sosyal haklar ile emeklilik hakları bakımından bakanlık müsteşarına denk kabul edilmiş,
Siber Güvenlik Başkanlığı” özel bütçeli idareler listesine eklenmiştir. Kurum’un içerik, yer ve erişim sağlayıcılarla koordinasyon sağlaması, gerekli tedbirleri aldırması ve ilgili çalışmaları yürütmesi hüküm altına alınmıştır.
Elektronik Haberleşme Kanunu’nda yapılan değişiklikler arasında, Ulaştırma bakanlığına ait veri merkezleri kurma, işletme, strateji ve politika belirleme yetkisi netleştirilmiş, internet alan adları ve Kurum’un görevleri konusundaki yetkiler Cumhurbaşkanı ve Bakanlığa bağlanmıştır.
Şahısları İlgilendiren Hükümler
Kanunun beşinci bölümü, siber güvenlik alanında faaliyet gösteren kişi ve kuruluşları, bireyleri, hackerları, siber suça teşvik edenleri ve suçluları, medya kuruluşlarını, kamu ve özel sektör çalışanlarını, şirketleri ve kurumları kapsıyor.
Yetkisiz faaliyet yürütenler, veri sızıntısı yapan veya yayanlar, sahte haber yayanlar, Türkiye’nin siber altyapısına saldıranlar ve siber güvenlik yükümlülüklerini yerine getirmeyenler hukuki ve idari cezalara ilişkin hükümler yer alıyor;
Kanunla yetkilendirilen mercilerin ve görevlilerin istediği bilgi, belge, yazılım, donanım veya veriyi vermeyenler bir yıldan üç yıla hapis ve adli para cezası öngörülmüştür.
İzinsiz faaliyet yürütenler iki yıldan dört yıla kadar hapis ve adli para cezası ile cezalandırılır.
Gizliliği ihlal edenler dört yıldan sekiz yıla kadar hapis cezası alır.
Veri sızıntısı yoluyla kişisel veya kritik verileri paylaşanlar üç yıldan beş yıla kadar hapis cezası ile cezalandırılır.
Sahte veri sızıntısı haberleri yayanlar iki yıldan beş yıla kadar hapis cezasına çarptırılır.
Türkiye’nin siber altyapısına saldıranlar sekiz yıldan on iki yıla kadar hapis cezasına çarptırılır, saldırı sonucu elde edilen verileri yayanlara on yıldan on beş yıla kadar hapis cezası verilir.
Suçun kamu görevlisi, birden fazla kişi veya örgüt tarafından işlenmesi halinde cezalar artırılır.
Yükümlülüklerini yerine getirmeyenler 100 bin TL’den 100 milyon TL’ye kadar idari para cezası ile cezalandırılır.
İdari para cezaları uygulanmadan önce savunma hakkı tanınır, menfaat sağlanmışsa ceza üç ila beş kat artırılabilir, ödenmeyen cezalar vergi dairesi tarafından tahsil edilir.
Şirketleri ve Siber Güvenlik Faaliyeti Gösteren Kuruluşları İlgilendiren Hükümler
Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerinin yurt dışına satışı, Başkanlıkça belirlenen usul ve esaslara uygun olarak gerçekleştirilmesi ve satış için kuruldan onay alınması zorunlu kılınmıştır.
Siber güvenlik alanında faaliyet gösteren şirketlerin birleşme, bölünme, pay devri veya satışı, Başkanlığa bildirililmelidir. Şirket üzerinde doğrudan veya dolaylı kontrol hakkı sağlayan işlemler Başkanlık onayına tabidir.
Başkanlık (Siber Güvenlik Kurulu) onayı alınmaksızın yapılan işlemler hukuki geçerlilik taşımaz. Başkanlığın bu işlemlerle ilgili olarak kurum ve kuruluşlardan bilgi ve belge talep edebilme hükme bağlanmıştır.
Bu hükümlerin uygulanmasına ilişkin esaslar, Başkanlık tarafından yayımlanacak düzenlemelerle belirlenencektir.