Türkiye Cumhuriyeti, siber uzayda milli gücünü oluşturan tüm unsurlarına yönelik içten ve dıştan gelen mevcut ve olası tehditleri tespit etmek ve bertaraf etmek amacıyla önemli bir düzenlemeye gitmiştir. Bu düzenleme, siber olayların olası etkilerini azaltmaya yönelik esasları belirlemek, kamu kurumları, meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasını sağlamak için gerekli tedbirleri almak ve ülkenin siber güvenliğini güçlendirmek için strateji ve politikalar geliştirmek üzere Siber Güvenlik Kurulu’nu kurmayı öngörmektedir.
Bu kapsamda, düzenleme, siber uzayda varlık gösteren ve hizmet sunan tüm kamu kurumları, meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsamaktadır. Ayrıca, Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu gibi düzenlemeler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu kapsamındaki istihbari faaliyetler bu düzenlemenin dışında tutulmaktadır.
Düzenleme ile birlikte şu kavramların tanımları yapılmaktadır:
- Barındırma
- Başkan
- Başkanlık
- Bilişim sistemleri
- Kritik altyapı
- Kritik kamu hizmeti
- Siber güvenlik
- Siber olay
- Siber saldırı
- Siber tehdit
- Siber tehdit istihbaratı
- Siber uzay
- SOME
- Varlık
- Zafiyet
Siber güvenliğin sağlanmasındaki temel ilkeler arasında milli güvenliğin ayrılmaz bir parçası olma, kritik altyapı ve bilişim sistemlerinin korunması, güvenli bir siber uzay oluşturma hedefleri bulunmaktadır. Siber güvenlik tedbirleri, hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanacak ve hesap verebilirlik esas alınacaktır. Yerli ve milli ürünlerin tercih edilmesi, tüm kamu kurumları ve gerçek/tüzel kişilerin siber güvenlik politika ve stratejilerinin yürütülmesinde sorumluluk taşıması gerektiği vurgulanmaktadır.
Siber Güvenlik Başkanlığı’nın Görevleri
Siber Güvenlik Başkanlığı’nın görevleri de düzenlenmiştir. Bu kapsamda, başkanlık kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılması, siber saldırılara karşı korunma, gerçekleştirilen siber saldırıların tespiti ve muhtemel saldırıların önlenmesine yönelik faaliyetler yürütecektir. Başkanlık ayrıca, zafiyet ve sızma testleri, siber tehditlerle mücadele, siber tehdit istihbaratının elde edilmesi ve zararlı yazılım inceleme gibi faaliyetleri de üstlenecektir.
Kritik altyapıları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların tüm varlıklarının envanterini tutacak, risk analizleri gerçekleştirecek ve güvenlik tedbirlerini alacak veya aldıracaktır. Ayrıca, Siber Olaylara Müdahale Ekibi (SOME) kuracak, bu ekiplerin olgunluk seviyelerini artırmak için çalışmalar yapacak ve siber güvenlik tatbikatları düzenleyecektir.
Kritik Kamu Hizmetlerinin Siber Güvenliği
Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları da belirleyecektir. Kamu kurumları ve kritik kamu hizmetlerinin siber güvenliğini sağlamak amacıyla gerekli altyapıları kuracak, işletip güvenli sistemler üzerinden barındırma hizmeti sunacaktır. Ayrıca, siber güvenlik alanına ilişkin standartları hazırlamak ve bu standartların uygulanmasını takip etmek de başkanlığın görevleri arasında yer almaktadır.
Siber güvenlik ürün ve hizmetlerine yönelik test ve sertifikasyon işlemleri yürütecek olan başkanlık, siber güvenlik uzmanları ve şirketleri için sertifikasyon, yetkilendirme ve belgelendirme işlemlerini de ilgili kurumlarla koordineli bir şekilde gerçekleştirecektir. Siber güvenlik denetimlerini yapacak ve bu denetimlerin sonuçlarına göre gerekli yaptırımları uygulayacaktır.
Cezai Hükümler ve İdari Para Cezaları
Kamu kurum ve kuruluşları hariç, kanunla yetkilendirilen mercilere bilgi, belge, yazılım, veri ve donanım vermeyenler veya bunların alınmasına engel olanlar 1 yıldan 3 yıla kadar hapis cezası ve 500 günden 1500 güne kadar adli para cezası ile cezalandırılacaktır. Onaysız faaliyet gösterenler 2 yıldan 4 yıla kadar hapis ve 1000 günden 2000 güne kadar adli para cezasına çarptırılacaktır.
Sır saklama yükümlülüğünü yerine getirmeyenlere 4 yıldan 8 yıla kadar hapis cezası verilecektir. Siber uzayda veri sızıntısı nedeniyle kişisel veya kritik kamu verilerini izinsiz olarak paylaşanlara 3 yıldan 5 yıla kadar hapis cezası verilecektir. Veri sızıntısı olmadığını bildiği halde halk arasında panik yaratma amacıyla yanlış içerik üretenlere 2 yıldan 5 yıla kadar hapis cezası uygulanacaktır.
Türkiye Cumhuriyeti’nin siber uzaydaki unsurlarına siber saldırı gerçekleştirenler 8 yıldan 12 yıla kadar, bu saldırı sonucunda elde edilen verileri yayanlar ise 10 yıldan 15 yıla kadar hapis cezasına çarptırılacaktır. Cezalar, suçun kamu görevlisi tarafından işlenmesi durumunda 3’te bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında artırılacaktır.
Başkanlıkta görev yapanların yasak hükümlerine aykırı davranışları 3 yıldan 5 yıla kadar hapisle cezalandırılacaktır. Kritik altyapıların korunmasında görevinin gereklerine aykırı hareket edenler ise 1 yıldan 3 yıla kadar hapis cezası alacaktır. Bilişim sistemleri aracılığıyla hizmet sunanların, siber güvenlik tedbirlerini almaması durumunda 1 milyon liradan 10 milyon liraya kadar para cezası uygulanacaktır.
Kamu kurum ve kuruluşları ile kritik altyapılarda siber güvenlik ürünlerinin yurt dışına satışıyla ilgili yükümlülükleri yerine getirmeyenlere 10 milyon liradan 100 milyon liraya kadar idari para cezası verilecektir. Denetim için gerekli önlemleri almayanlara da 100 bin liradan 1 milyon liraya kadar para cezası uygulanacaktır.
