7545 sayılı Siber Güvenlik Kanunu

Yazar

Picture of Uçar Hukuk & Danışmanlık Bürosu

Uçar Hukuk & Danışmanlık Bürosu

Siber Güvenlik Kanunu

Dijitalleşmenin hız kazanmasıyla birlikte siber güvenlik, modern devletlerin en önemli önceliklerinden biri haline gelmiştir. Yapay zekâ, blok zincir, büyük veri ve kuantum bilişim gibi teknolojilerin yaygınlaşması, siber saldırıların karmaşıklığını artırırken, aynı zamanda savunma mekanizmalarının da güçlenmesini gerektirmektedir. Türkiye’de 7545 sayılı Siber Güvenlik Kanunu (“Kanun”), ülkenin dijital güvenlik çerçevesini belirleyen ilk kapsamlı yasa olarak yürürlüğe girmiştir. Bu kanun; kamu kurumlarından özel sektöre, kritik altyapılardan bireylere kadar geniş bir kapsamda düzenlemeler getirerek siber güvenliğin kurumsal bir çerçeveye oturtulmasını sağlamaktadır.

Bu yazıda, kanunun kapsamını, getirdiği yükümlülükleri, siber suçlarla mücadeledeki düzenlemelerini ve sektörlere etkisini detaylı bir şekilde ele alacağız.

1. 7545 Sayılı Siber Güvenlik Kanunu’nun Kapsamı ve Amaçları

1.1. Kanunun Genel Kapsamı

7545 sayılı Siber Güvenlik Kanunu, Türkiye’nin siber güvenlik politikasını belirlemek, kamu ve özel sektördeki kurumların güvenlik önlemlerini düzenlemek ve ulusal güvenliği tehdit edebilecek siber saldırılara karşı caydırıcı mekanizmalar oluşturmak amacıyla çıkarılmıştır. Kanun, kamu kurumları, kritik altyapı hizmet sağlayıcıları, özel sektör kuruluşları ve bireyleri kapsayan geniş bir uygulama alanına sahiptir.

1.2. Kanunun Getirdiği Temel Düzenlemeler

Kanunun getirdiği başlıca yenilikler şunlardır:

  • Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu’nun oluşturulması,
  • Kamu ve özel sektöre yönelik yeni siber güvenlik yükümlülükleri,
  • Kritik altyapılar için zorunlu güvenlik denetimleri ve testleri,
  • Siber suçlar için artırılmış hapis cezaları ve idari para cezaları,
  • Ulusal siber güvenlik standartlarının belirlenmesi,
  • Kamu kurumları ve özel şirketlerde yerli yazılım ve donanım kullanımının teşvik edilmesi.

Bu düzenlemeler, Türkiye’nin siber tehditlere karşı daha dirençli hale gelmesini ve uluslararası güvenlik standartlarına uyum sağlamasını amaçlamaktadır.

2. Siber Güvenlik Yönetimi: Yeni Kurumlar ve Yetkiler

2.1. Siber Güvenlik Başkanlığı’nın Görevleri ve Yetkileri

Kanunun 5. Ve 6. Maddesinde 8 Ocak’ta Cumhurbaşkanlığı Kararnamesi ile kurulan Siber Güvenlik Başkanlığı’nın (“Başkanlık”) görev ve yetkileri açıklanmıştır. Başkanlık, siber saldırıları tespit etmek, önlemek ve müdahale etmek, kamu kurumları ve kritik altyapılar için güvenlik standartları belirlemek ve ulusal siber güvenlik politikalarını yönetmek gibi kritik görevleri üstlenecektir. Bu görevleri yerine getirmek için ise bilişim sistemlerindeki kayıt ve verileri bünyesinde barındırabilecek, depolayabilecek, bu verilerin suç teşkil edip etmediğine yönelik takip ve bildirimlerle bulunabilecek ve bu verileri ilgililerle paylaşabilecektir. Siber Güvenlik Başkanlığı’na verilen geniş yetkiler, kişisel verilerin korunmasına ilişkin hususlarda birtakım görüş ayrılıklarına yola açmıştır.

Kanunun 12. Maddesinde Başkanlıkta görev yapan personellerin görevleri kapsamında edindiği bilgileri paylaşması ve herhangi bir nedenle ilişiklerinin kesilmesi durumunda Başkanlığın muvafakati olmaksızın 2 yıl süreyle yurt içi veya yurt dışında siber güvenlik alanında resmi ya da özel herhangi bir şekilde görev alması, bu sektörde ticari faaliyette bulunması, böyle bir şirkette hissedar veya yönetici olması veya serbest meslek icra etmesi yasaklanmıştır. Bu yasaklara aykırı davrananlar Kanunun 16. Maddesinin 8. Fıkrası kapsamında 3 yıldan 5 yıla kadar hapis cezası ile cezalandırılacaktır.

2.2. Siber Güvenlik Kurulu ve Ulusal Strateji

Kanunun 9. maddesi kapsamında ayrıca 11/6/2012 tarihli ve 2012/3842 sayılı Bakanlar Kurulu Kararı ile kurulan Siber Güvenlik Kurulu’na (“Kurul”) ulusal siber güvenlik politikalarının belirlenmesi, kritik altyapıların korunmasına yönelik stratejilerin oluşturulması ve sektörel iş birliklerinin teşvik edilmesi gibi görevler verilmiştir. Kurul, kamu ve özel sektör arasındaki koordinasyonu sağlayarak Türkiye’nin siber güvenlik ekosistemini geliştirmek için çalışacaktır. Siber Güvenlik Kurulu; Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri ve İçişleri Bakanları, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanından oluşmaktadır. Kurulun üyelerinin arasında Kişisel Verileri Koruma Kurumu, Türkiye Barolar Birliği ve Türkiye Gazeteciler Cemiyeti gibi mecralardan üye bulunmaması da tartışmalara sebep olmuştur. 

3. Yükümlülükler

3.1. Genel Anlamda Getirilen Yükümlülükler

7545 sayılı Siber Güvenlik Kanunu, kapsamına siber uzayda varlık gösteren, faaliyette bulunan ve hizmet sunan tüm kamu kurum ve kuruluşlarını, kamu kurumu niteliğindeki meslek kuruluşlarını, gerçek ve tüzel kişileri ve tüzel kişiliği bulunmayan tüm kuruluşları almış ve bu kurum ve kuruluşlara birtakım sorumluluklar yüklemiştir. Bu sorumluluklar kanunun 7. maddesinde şu şekilde sıralanmıştır:

  • Başkanlığın görevi kapsamında talep ettiği her türlü bilgiyi ve desteği öncelikli olarak ve zamanında Başkanlığa iletmek ve sağlamak,
  • Mevzuat kapsamında öngörülen tedbirleri almak ve hizmet sundukları alanda tespit edilen siber güvenlik zafiyetlerini, ihlallerini ve siber olayları gecikmeksizin Başkanlığa bildirmek,
  • Kamı kurumları ve kritik altyapılarda kullanılacak olan siber güvenlik hizmetinin Başkanlık tarafından yetkilendirilen ve belgelendirilmiş siber güvenlik uzmanları, üreticileri veya şirketlerinden temin etmek,
  • Sertifikasyon, yetkilendirme ve belgelendirmeye tabi olan Siber Güvenlik Şirketleri bakımından faaliyete başlamadan önce Başkanlığın onayını almak,
  • Başkanlığın yayımlayacak olduğu diğer düzenleyici işlemlere uyum sağlamak ve gerekli tedbirleri almak,
  • Başkanlık ile işbirliği içinde çalışmak.

3.2. Kritik Altyapı Tanımı, Kapsamı ve Öngörülen Yükümlülükler

Kanunun 3. Maddesinin d bendine göre kritik altyapılar veri sistemleri çökmesi halinde işledikleri bilgi ve verilerin gizliliğinin, bütünlüğünün veya erişebilirliğinin bozulması halinde ciddi ulusal güvenlik riskleri, can kayıpları, büyük ölçekli ekonomik zarar ve hatta kamu düzeninin bozulmasına sebep olabilecek kuruluşları kapsamaktadır. Kritik altyapı olarak nitelendirilen kuruluşlar da bu kanun kapsamında öngörülen yükümlülüklere tabidir.

3.3 Siber Güvenlik Şirketleri ve Ürünlerine İlişkin Yükümlülükler

Kanunun 18. Maddesinde siber güvenlik ürünlerinin ticaretinin ve siber güvenlik şirketlerinin tabi olacağı birtakım yükümlülükler düzenlenmiştir. Bunlar özetle:

  • Siber güvenlik kapsamında ortaya çıkan ürün ve hizmetlerin tamamının yurt dışına satışı Başkanlığın belirleyeceği usul ve esaslara tabi olup, izne tabi ürünler hakkında Başkanlığın onayı da alınacaktır.
  • Siber güvenlik şirketlerinin birleşme, bölünme, pay devri ve satışı Başkanlığa bildirilecektir. Bu kapsamda şirket üzerinde gerçek ve tüzel kişilere tek başına veya birlikte doğrudan veya dolaylı olarak kontrol sağlayacak işlemler Başkanlık onayından geçecektir.
  • Başkanlığın onayı alınmaksızın yapılan işlemler hukuki geçerlilik kazanmayacaktır. Başkanlık buna ilişkin bilgi ve belge talep edebilmektedir.

4. Siber Suçlarla Mücadelede Yeni Düzenlemeler

4.1. Siber Suçların Tanımlanması ve Cezai Yaptırımlar

Kanun, Cezai Hükümler ve İdari Para Cezaları başlıklı 16. Maddesi ile düzenlemiş olduğu birtakım siber suçlara karşı caydırıcılığı artırmak amacıyla belirli cezai yaptırımlar da getirmiştir, bunlar aşağıdaki gibi sıralanabilir:

  • Kanunla yetkilendirilen mercilerin talep etmiş olduğu bilgi, belge, yazılım, veri ve donanımı vermeyenler 1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası ile cezalandırılacak olup kamu kurum ve kuruluşları bu cezadan muaf tutulmuştur.
  • Kanun uyarınca alınması gereken izin ve onayları almaksızın faaliyet yürütenler 2 yıldan 4 yıla kadar hapis ve 1000 günden 2000 güne kadar adli para cezası ile cezalandırılacaktır.
  • Sır saklama yükümlülüğünü ihlal edenler 4 yıldan 8 yıla kadar hapis cezası ile cezalandırılacaktır.
  • Veri sızıntısı nedeniyle daha önceden sızdırılmış kişisel veya kritik kamu hizmetleri kapsamındaki kurumsal verileri izinsiz şekilde erişime açan, paylaşan, satışa çıkaranlar 3 yıldan 5 yıla kadar hapis cezası ile cezalandırılacaktır.
  • Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik  yaratmak, kurumları ve şahısları hedef göstermek amacıyla veri sızıntısı olduğuna ilişkin gerçeğe aykırı içerik oluşturanlar ve bu içerikleri yayanlar 2 yıldan 5 yıla kadar hapis cezası ile cezalandırılacaktır.
  • Türkiye Cumhuriyeti’nin milli gücünü meydana getiren unsurlara saldırıda bulunan ve bu saldırı neticesinde elde ettiği verileri bulunduranlar, daha ağır cezayı gerektiren başka bir suçu oluşturmadıkça 8 yıldan 12 yıla kadar hapis cezası ile cezalandırılacaktır. Bu suç kapsamında elde edilen bilgileri yayanlar ise 10 yıldan 15 yıla kadar hapis cezası ile cezalandırılacaktır. Bu suçların kamu görevlileri tarafından, birden fazla kişi tarafından ve bir örgüt faaliyeti çerçevesinde işlenmesi cezayı ağırlaştıran sebepler olarak düzenlenmiştir.
  • Kanundan kaynaklanan görev ve yetkileri kötüye kullananlar 1 yıldan 3 yıla kadar hapis cezası ile cezalandırılacaktır.
  • Kanunun 7. Maddesinin 1. Fıkrasının b ve c bentlerinde düzenlenen görev ve yükümlülüklerin ihlali durumunda 1.000.000,00.-TL’den 10.000.000,00.-TL’ye kadar, 18. Maddedeki yükümlülüklerin yerine getirilmemesi durumunda ise 10.000.000,00.-TL’den 100.000.000,00.-TL’ye kadar idari para cezası öngörülmüştür.
  • Denetime ilişkin yükümlülüklerini yerine getirmeyenler ise 100.000,00.-TL’den 1.000.000,00.-TL’ye kadar, eğer bu yükümlülüğü yerine getirmeyen bir ticari şirket ise 100.000,00.-TL’den az olmayacak şekilde bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının %5’ine kadar idari para cezası ile cezalandırılacaktır.

4.2 Öngörülen Suç ve Yaptırımlara İlişkin Eleştiriler

Siber Güvenlik Kanunu’nun Siber Güvenlik Başkanlığı’na tanımış olduğu yetkilerin kapsamının önceden de belirtildiği gibi, oldukça geniş olduğu düşünülmektedir. Tanınan bu yetkiler kapsamında 16. Maddede öngörülen adli ve idari yaptırımların da orantısız ve keyfi uygulamalara sebep olabileceği fikri tartışılmaktadır. Bir kısım görüşe göre bu düzenlemelerin çoğunun Anayasa’nın önemli hükümleri olan özel hayatın gizliliği ve kişisel verilerin korunması gibi temel hak ve özgürlüklerin korunmasına karşı büyük risk teşkil ettiğini de ifade edilmektedir. 

5. Sonuç ve Değerlendirme

7545 sayılı Siber Güvenlik Kanunu, Türkiye’nin siber tehditlere karşı daha dirençli hale gelmesini sağlamak için atılmış bir adımdır. Yeni kurumsal yapılar ve yükümlülükler öngörülmüş, bunların yerine getirilmemesi halinde ağır cezai yaptırımlar getirilmiştir. Siber güvenliği sağlamada bir çerçeve sunmakla birlikte birçok eleştiriye de konu olmuştur. Kanunun uygulanabilirliği, ek mali yükler ve uluslararası düzenlemelerle uyumun yanında tartışmaya konu olan denetim ve keyfilik gibi konuların ilerleyen süreçte daha net hale getirilmesi gerekmektedir.

Konuya ilişkin detaylı bilgi almak için bize buradan ulaşabilirsiniz.

Büromuzun Bilişim Hukuku alanındaki çalışmaları hakkında detaylı bilgiyi internet sayfamızdan alabilirsiniz.

Av. Adar UÇAR

Stj. Av. İlkim ŞANEL

UÇAR HUKUK & DANIŞMANLIK BÜROSU

Yasal Uyarı

“İşbu yazı Uçar Hukuk & Danışmanlık Bürosu tarafından yalnızca bilgi amaçlı hazırlanmış olup, içerisinde yer alan bilgi ve görsel materyaller tarafımızdan önceden alınmış
yazılı bir izin olmaksızın kullanılamaz, çoğaltılamaz, yayımlanamaz, üçüncü bir kişiye iletilemez ve tercümeye konu edilemez. İşbu bilgi notu bir mütalaa veya hukuki görüş
niteliğinde değildir ve yayım tarihinde hazırlanmış olup, devamlı surette güncellenmemesinden kaynaklı avukatlık büromuz sorumluluk almamaktadır.”

Son Yayınlar

Kiracının Evi Olması Tahliye
GSS
Barter Sözleşmeleri

Sosyal

Linkedin Instagram
Linkedin Instagram