Siber Güvenlik Kanunu Teklifi TBMM’de kabul edilerek yasalaştı

Siber güvenlik siyaset ve strateji geliştirme çalışmaları, daima gelişim yaklaşımıyla yürütülecek. Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecek.

Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenecek. Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması unsurları temel esas kabul edilecek.

Siber akınlara karşı muhafaza

Kanunla, Siber Güvenlik Başkanlığının vazifeleri de tanımlanıyor. Buna nazaran, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan misyonların yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber taarruzlara karşı korunmasına, gerçekleştirilen siber akınların tespitine, olası taarruzların önlenmesine ve tesirlerinin azaltılmasına ya da ortadan kaldırılmasına yönelik fliyet yürütecek.

Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk tahlilleri yapma ya da yaptırma, siber tehditlerle çaba etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile ziyanlı yazılım inceleme fliyetlerini yürütecek.

Kritik altyapılar ile ilişkin oldukları kurumları ve pozisyonları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların data envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk tahlilinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine nazaran güvenlik önlemlerini almak ya da aldırmakla da sorumlu olacak.

Siber Olaylara Müdahale Takımı (SOME) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk düzeylerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, öteki ülkelerin siber olaylara müdahale gruplarıyla uyum kurmak, her türlü siber müdahale aracının ve ulusal tahlillerin üretilmesi ve geliştirilmesi maksadıyla çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de başkanlığın vazifeleri ortasında yer alıyor.

Kritik kamu hizmetlerinin siber güvenliği sağlanacak

Siber Güvenlik Başkanlığı, siber güvenlik alanında fliyet gösterenlerin uyması gereken adap ve asılları da düzenleyecek.

Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak maksadıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına inançlı sistem ve altyapılar üzerinden barındırma hizmeti sunmak ya da sunulmasını sağlamak, bu fliyetlere yönelik uygulama yordam ve asıllar, Siber Güvenlik Başkanlığı tarafından belirlenecek.

Siber güvenlik alanına ait standartları hazırlamak, başka kişi ya da kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütal vermek, uygun bulduğunda standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek de Siber Güvenlik Başkanlığının vazifeleri ortasında yer alıyor.

Siber Güvenlik Başkanlığı, siber güvenlik alanına ait yazılım, donanım, eser, sistem ve hizmetlere yönelik test ve sertifikasyon süreçlerini yürütme, buna yönelik test altyapıları kurma, kurdurma ve işletme ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini ilgili kurumlarla koordineli yürütecek.

Siber güvenlik kontrolünü gerçekleştirecek ve sonucuna nazaran yaptırım uygulayacak olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların kontrolünü yapmak yahut yaptırmak, kontrolleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi süreksiz olarak durdurmak yahut iptal etmekle vazifeli olacak.

Cezai kararlar ve idari para cezalarının uygulanması

Kamu kurum ve kuruluşları hariç olmak üzere Kanunla yetkilendirilen mercilerin ve kontrol vazifelilerinin görev ve yetkileri kapsamında istedikleri bilgi, evrak, yazılım, data ve donanımı vermeyenler ya da bunların alınmasına mahzur olanlar 1 yıldan 3 yıla kadar mahpus ve 500 günden 1500 güne kadar isimli para cezası ile cezalandırılacak.

Kanun uyarınca alınması gerekli onay, yetki ya da müsaadeleri almaksızın fliyet yürütenler 2 yıldan 4 yıla kadar mahpus ve 1000 günden 2 bin güne kadar isimli para cezası ile cezalandırılacak.

Sır saklama yükümlülüğünü yerine getirmeyenlere 4 yıldan 8 yıla kadar mahpus cezası verilecek.

Siber uzayda bilgi sızıntısı nedeniyle daha evvel yer alan ferdî ya da kritik kamu hizmeti kapsamına giren kurumsal dataları, şahısların ya da kurumların müsaadesi olmaksızın fiyatlı ya da bedelsiz halde erişime açan, paylaşan ya da satışa çıkaranlara 3 yıldan 5 yıla kadar mahpus cezası verilecek.

Siber uzayda bilgi sızıntısı olmadığını bildiği halde halk ortasında telaş, endişe ve panik yaratmak yahut kurumları ya da şahısları gaye göstermek maksadıyla siber güvenlikle ilgili bilgi sızıntısı olduğuna yönelik gerçeğe karşıt içerik oluşturanlara ya da bu gayeyle bu içerikleri yayanlara 2 yıldan 5 yıla kadar mahpus cezası verilecek.

Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren ögelerine yönelik siber taarruz gerçekleştiren ya da bu hücum sonucunda elde ettiği her türlü bilgiyi siber uzayda bulunduranlara, daha ağır bir cezayı gerektiren öbür bir cürüm oluşturmadığı takdirde 8 yıldan 12 yıla kadar mahpus cezası verilecek. Bu akın sonucunda elde ettiği her türlü bilgiyi siber uzayda yayan, öbür bir yere gönderen ya da satışa çıkaranlara 10 yıldan 15 yıla kadar mahpus cezası verilecek.

Bu cezalar, kabahatin kamu vazifelisi tarafından işlenmesi halinde 3’te bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün fliyeti çerçevesinde işlenmesi halinde yarısından 2 katına kadar artırılacak.

Başkanlıkta vazife yapanlara ait yasak kararlarına muhalif davrananlara 3 yıldan 5 yıla kadar mahpus cezası verilecek.

Kanundan kaynaklanan misyon ve yetkilerini berbata kullanan ya da kritik altyapıların siber hücumlara karşı korunması kapsamında vazifesinin gereklerine alışılmamış hareket etmek suretiyle data ihlali yaşanmasına sebebiyet verenlere 1 yıldan 3 yıla kadar mahpus cezası verilecek.

Bilişim sistemleri kullanmak suretiyle hizmet sunan, data toplayan, işleyen ve üzere fliyet yürütenlerin, siber güvenliğe yönelik olarak ulusal güvenlik, kamu tertibi ya da kamu hizmetinin gereği gibisi yürütülmesi amacıyla mevzuatın öngördüğü önlemleri almak, hizmet sundukları alanda tespit ettikleri zafiyet ya da siber olayları gecikmeksizin Başkanlığa bildirmeyenler ile kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser, sistem ve hizmetleri Başkanlık tarafından yetkilendirilen ve belgelendirilen siber güvenlik uzmanları ve şirketlerden tedarik etmeyenlere 1 milyon liradan 10 milyon liraya kadar para cezası verilecek.

Milli güvenlik ve kamu kaynaklarının verimli kullanımı gayesiyle kamu kurum ve kuruluşları ve kritik altyapıların bilişim sistemlerinde, yeni tedarik kontratları kapsamında kullanılacak siber güvenlik eser, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı ya da bunları üreten şirketlerin bölünme, birleşme, hisse zamanı ya da satış süreçlerinin onayına ait yordam ve asıllar ait misyon ve sorumluluklarını yerine getirmeyenlere 10 milyon liradan 100 milyon liraya kadar idari para cezası verilecek.

Denetime tabi tutulanların, ilgili aygıt, sistem, yazılım ve donanımları verilen müddetlerde denetlemeye açık tutmak, kontrol için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli tedbirleri almalarına ait yükümlülüklerini yerine getirmeyenlere, 100 bin liradan 1 milyon liraya kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde 100 bin liradan az olmamak üzere bağımsız kontrolden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası verilecek.