Amaç ve Kapsam
19 Mart 2025 tarihinde yürürlüğe giren Siber Güvenlik Kanunu, Türkiye Cumhuriyeti’nin siber uzaydaki millî varlıklarını içten ve dıştan yönelen mevcut ve muhtemel tehditlerden korumayı, siber olayların etkilerini en aza indirmeyi ve tüm gerçek ve tüzel kişilerin siber saldırılara karşı güvenliğini artırmayı amaçlamaktadır. Kanun, kamu kurumları, kamu kurumu niteliğinde meslek kuruluşları, özel sektör kuruluşları ve tüzel kişiliği olmayan teşekküller ile bunlara ait bilişim sistemlerini kapsamına almaktadır. Bu çerçevede, sadece bireylerin ya da şirketlerin değil, aynı zamanda ulusal güvenliğin korunması da hedeflenmiştir. Teknolojik gelişmelerin yarattığı yeni tehditlere karşı kapsamlı bir yasal zemin oluşturan Kanun, kamu ve özel sektörün siber güvenlik stratejilerini belirlemesine, tehditlerin zamanında tespit edilmesine ve saldırıların etkilerinin azaltılmasına yönelik çerçeve düzenlemeleri ortaya koymaktadır. Böylece dijital altyapılar güvence altına alınırken, siber güvenlik alanında yeni istihdam fırsatları da yaratılması öngörülmektedir. Öte yandan, iç güvenliğe yönelik istihbarat faaliyetleri ile askeri görevler bu Kanun kapsamı dışında bırakılmıştır.
Siber Güvenlik Başkanlığı
Kanun, Ulusal siber güvenlik politikalarını hazırlamak, uygulamak ve koordine etmek üzere Siber Güvenlik Başkanlığı (‘‘Başkanlık’’) kurulmasını öngörmüştür. Siber tehditlerin yönetilmesinde merkezi bir otorite rolünü üstlenecek olan Başkanlık hem kamu hem de özel sektörün bu tehditlere karşı hazır durumda olmasını güvence altına almaktadır. Siber Güvelik ve milli güvenliğin korunmasını ayrılmaz bir bütün olarak gören Kanun, Başkanlığa da bu hususta önemli sorumluluklar ve yetkiler tanımıştır.
Siber Güvenlik Kanunu kapsamında, öncelikle kritik altyapılar belirlenmekte ve bu altyapıların korunmasına yönelik stratejiler geliştirilmektedir. Bu çerçevede zafiyet testleri, risk analizleri ve zararlı yazılım incelemeleri yapılmakta; tehdit istihbaratları paylaşılmakta ve öncelikli varlıklar için güvenlik önlemleri alınmaktadır. Öte yandan, Siber olaylara müdahale ekibi olarak SOME’lerin kurulması, denetlenmesi ve müdahale kapasitelerinin artırılması ile hem ulusal hem uluslararası düzeyde etkili bir müdahale ağı oluşturulması hedeflenmektedir. Başkanlık, önleyici ve koruyucu tedbirler almak, bilgi ve log kayıtlarını analiz etmek ve risk değerlendirmesi yapmak suretiyle kurumlara destek sağlamaktadır. Ayrıca, siber güvenlik ürün ve hizmetlerine ilişkin teknik kriterleri belirleme ve bu alanlarda sertifikasyon süreçlerini yürütme yetkisi de Başkanlığa aittir. Kanun’un 7. maddesi uyarınca, siber güvenliğe ilişkin görev ve sorumluluklar Başkanlıkça belirlenmiş olup, Başkanlığın görev ve faaliyetleri kapsamında talep ettiği her türlü talep edilen veri, bilgi, belge ve donanımların zamanında iletilmesi zorunludur. Zafiyet ve siber olaylar derhâl Başkanlığa bildirilmelidir. Kamu kurumları ve kritik altyapılarda yalnızca yetkilendirilmiş kişi veya firmalardan hizmet alınabilir. Sertifikalı firmalar faaliyet öncesi Başkanlık onayı almalıdır. Strateji ve eylem planlarına uyum sağlanmalı, Başkanlık tüm paydaşlarla iş birliği içinde çalışmalıdır.
Siber Güvenlik Kurulu
Kanunla birlikte, strateji belirlemek ve kurumlar arası uyuşmazlıkları çözmekle görevli Siber Güvenlik Kurulu oluşturulmuştur. Sekretarya hizmetleri Başkanlıkça yürütülmekte, çalışma esasları ise Cumhurbaşkanı tarafından belirlenmektedir.
Siber Güvenlik Ürünleri ve Şirketlerine İlişkin Düzenlemeler
Siber güvenlik ürünleri, sistemleri, yazılımları, donanımları ve hizmetlerinin yurt dışına satışı, Siber Güvenlik Başkanlığı tarafından belirlenecek usul ve esaslara uygun şekilde gerçekleştirilecektir. Bu kapsamda, izne tabi tutulan ürünlerin ihracatı için Başkanlık onayı alınması zorunludur.
Bununla birlikte, ilgili Kanun hükümleri uyarınca siber güvenlik alanında faaliyet gösteren şirketlerin;
- Birleşme,
- Bölünme,
- Pay devri veya
- Satış işlemleri
Başkanlığa bildirim konusu yapılmalıdır. Bu işlemler sonucunda herhangi bir gerçek veya tüzel kişinin doğrudan ya da dolaylı olarak kontrol hakkı veya karar alma yetkisi elde etmesi halinde, söz konusu işlemler Başkanlık onayına tabi olacaktır. Başkanlık onayı alınmaksızın gerçekleştirilen bu tür işlemler, hukuki geçerlilik kazanmaz.
Yaptırımlar ve Cezai Hükümler
7545 sayılı Siber Güvenlik Kanunu kapsamında öngörülen yükümlülüklere aykırı hareket edilmesi halinde, çeşitli cezai yaptırımlar ile idari para cezaları uygulanması öngörülmüştür.
Kanun’un 16. maddesinde siber güvenlik alanında öngörülen yükümlülüklerin ihlali hâlinde uygulanacak cezaları ayrıntılı biçimde düzenlenmektedir. Buna göre, kamu kurum ve kuruluşları hariç denetim mercilerinin talep ettiği bilgi, belge, yazılım, veri veya donanımı vermekten kaçınan ya da bunların teminine engel olanlar bir yıldan üç yıla kadar hapis ve beş yüz günden bin beş yüz güne kadar adlî para cezası ile sorumlu tutulmaktadır. Kanunla zorunlu kılınan izin, onay veya yetkileri almaksızın faaliyet gösterenler için iki yıldan dört yıla kadar hapis ve bin günden iki bin güne kadar adlî para cezası öngörülmektedir. Sır saklama yükümlülüğüne aykırı davrananlar dört yıldan sekiz yıla kadar hapis cezasına çarptırılırken, kişisel verileri veya kritik kamu hizmeti verilerini izinsiz şekilde erişime açan, paylaşan ya da satışa çıkaranlar üç yıldan beş yıla kadar hapisle cezalandırılmaktadır.
Siber uzayda gerçeğe aykırı veri sızıntısı iddiası oluşturarak kamuoyu panik ve endişe yaratmak isteyenler iki yıldan beş yıla kadar hapis cezası ile karşı karşıya kalmakta; Türkiye’nin milli siber gücüne saldıranlar için sekiz yıldan on iki yıla, saldırı sonucu ele geçirilen verileri yayanlar için on yıldan on beş yıla kadar hapis cezası söz konusudur. Suçun kamu görevlisi tarafından, birden fazla kişiyle birlikte veya örgüt faaliyeti kapsamında işlenmesi cezayı sırasıyla üçte bir, yarı oranında veya yarısından iki katına kadar artırır. Ayrıca Kanun’un 12. madde yükümlülüklerinin ihlali üç ila beş yıl hapisle; görevini kötüye kullanarak kritik altyapıda veri ihlaline sebep olanlar ise bir ila üç yıl hapisle cezalandırılmaktadır. Kanun’un, 7. madde hükmünün (b) ve (c) bentlerindeki sorumlulukların yerine getirilmemesi hâlinde bir milyon ile on milyon Türk lirası, 18. maddede öngörülen yükümlülüklerin ihlali hâlinde ise on milyon ile yüz milyon Türk lirası arasında; 8. maddenin dördüncü fıkrasına aykırılıkta yüz bin ile bir milyon Türk lirası arasında, ticari şirketler açısından ise brüt satış hasılatının %5’e kadar idari para cezası öngörülmektedir.
Kanun’un 17’nci maddesinde ise, idari para cezalarının usulü belirlenmiştir. İdari yaptırım kararı öncesinde ilgili kişi veya kuruluştan savunma istenmekte; tebligattan itibaren otuz gün içinde savunma sunulmazsa savunma hakkından feragat edilmiş sayılmaktadır. Aynı kabahatin idari karar verilinceye kadar birden fazla işlenmesi durumunda tek idari para cezası uygulanmakta; ceza iki katı geçmeyecek şekilde artırılabilmekte ve suçtan menfaat sağlanmışsa veya zarar doğmuşsa tutar, menfaat ya da zararın üç ila beş katı aralığında belirlenebilmektedir. Başkanlık tarafından kesilen idari para cezaları tebliğden itibaren bir ay içinde ödenmekte; ödenmediği takdirde 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun hükümlerine göre vergi dairelerince tahsil edilmektedir. Tahsil edilen cezanın %50’si Başkanlık, %50’si genel bütçe gelirine aktarılmakta ve bu paylar tahsilatı takip eden ay sonuna kadar ilgili bütçelere devredilmektedir. Kanun, idari para cezası kararlarına karşı idari yargı yoluna başvuru hakkı tanıyarak, ilgililere hem savunma fırsatı hem de yargısal denetim güvencesi sağlamaktadır.
