Siber Güvenlik Kanunu Teklifi’nin 13 maddesi kabul edildi

TBMM Genel Kurulu’nda Siber Güvenlik Kanunu Teklifi’nin 13 unsuru kabul edildi. Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli eserler tercih edilecek. Belirtilen yetkiler çerçevesinde elde edilecek ferdî bilgiler ve ticari sırlar, bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinecek, yok edilecek ya da anonim hale getirilecek. Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Liderinden oluşacak.

Kabul edilen unsurlara göre, Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren bütün ögelerine karşı içten ve dıştan yöneltilen mevcut ve beklenen tehditlerin tespit ve bertaraf edilmesi, siber olayların beklenen tesirlerini azaltmaya yönelik asılların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hukuksal şahıslar ile hukuksal kişiliği bulunmayan kuruluşların siber hücumlara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve siyasetlerin belirlenmesi ile Siber Güvenlik Heyetinin kurulmasına ilişkin asıllar düzenleniyor, kanunun kapsamına ilişkin genel çerçeve belirleniyor.

Buna göre, düzenleme siber uzayda varlık gösteren, fliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hükmî bireyler ile hükmî kişiliği bulunmayan kuruluşları kapsayacak.

Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari fliyetler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilat Kanunu ile Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen fliyetler düzenleme kapsamı dışında tutuluyor.

Düzenlemeyle, “Barındırma”, “Başkan”, “Başkanlık”, “Bilişim sistemleri”, “Kritik altyapı”, “Kritik kamu hizmeti”, “Siber güvenlik”, “Siber olay”, “Siber saldırı”, “Siber tehdit”, “Siber tehdit istihbaratı”, “Siber uzay”, “SOME”, “Varlık” ve “Zafiyet”in tarifleri yapılıyor, siber güvenliğin sağlanmasındaki temel prensipler de belirleniyor.

Buna göre, siber güvenlik, milli güvenliğin ayrılmaz bir modülü olacak. Kritik altyapı ve bilişim sistemlerinin korunması ile inançlı bir siber uzay oluşturulması temel hedef olacak.

Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülecek. Siber güvenlik önlemlerinin hizmet ve ürünlerin tüm hayat döngüsü boyunca uygulanması esas olacak.

Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esas olacak

Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli eserler tercih edilecek. Siber güvenlik siyaset ve stratejilerinin yürütülmesi ile siber taarruzların önlenmesi ya da tesirinin azaltılmasına yönelik gerekli önlemlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve hukuksal şahıslar sorumlu tutulacak. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esas olacak.

Siber güvenlik siyaset ve strateji geliştirme çalışmaları, daima gelişim yaklaşımıyla yürütülecek. Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecek.

Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenecek. Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması prensipleri temel esas kabul edilecek.

Siber ataklara karşı koruma

Teklifle, Siber Güvenlik Başkanlığının vazifeleri de tanımlanıyor. Buna göre, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan misyonların yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber ataklara karşı korunmasına, gerçekleştirilen siber hücumların tespitine, olası atakların önlenmesine ve tesirlerinin azaltılmasına ya da ortadan kaldırılmasına yönelik fliyet yürütecek.

Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk tahlilleri yapma ya da yaptırma, siber tehditlerle mücadele etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile ziyanlı yazılım inceleme fliyetlerini yürütecek.

Kritik altyapılar ile ait oldukları kurumları ve pozisyonları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların bilgi envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk tahlilinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine göre güvenlik önlemlerini almak ya da aldırmakla da sorumlu olacak.

Siber Olaylara Müdahale Ekibi (SOME) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk düzeylerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, diğer ülkelerin siber olaylara müdahale gruplarıyla koordinasyon kurmak, her türlü siber müdahale aracının ve milli tahlillerin üretilmesi ve geliştirilmesi maksadıyla çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de başkanlığın vazifeleri arasında yer alıyor.

Kritik kamu hizmetlerinin siber güvenliği sağlanacak

Siber Güvenlik Başkanlığı, siber güvenlik alanında fliyet gösterenlerin uyması gereken tarz ve temelleri da düzenleyecek.

Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak maksadıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına inançlı sistem ve altyapılar üzerinden barındırma hizmeti sunmak ya da sunulmasını sağlamak, bu fliyetlere yönelik uygulama adap ve temeller, Siber Güvenlik Başkanlığı tarafından belirlenecek.

Siber güvenlik alanına ilişkin standartları hazırlamak, diğer kişi ya da kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütal vermek, uygun bulduğunda standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek de Siber Güvenlik Başkanlığının misyonları arasında yer alıyor.

Siber Güvenlik Başkanlığı, siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifikasyon süreçlerini yürütme, buna yönelik test altyapıları kurma, kurdurma ve işletme ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini ilgili kurumlarla koordineli yürütecek.

Siber güvenlik kontrolünü gerçekleştirecek ve sonucuna göre yaptırım uygulayacak olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların kontrolünü yapmak yahut yaptırmak, kontrolleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi süreksiz olarak durdurmak yahut iptal etmekle görevli olacak.

Kayıtlar, en fazla 2 yıl müddetle çalışmaya bahis edilecek

Düzenlemeyle, Siber Güvenlik Başkanlığının yetkileri de belirleniyor. Buna göre, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan yetkilerinin yanı sıra Siber Güvenlik Başkanlığı, kanun kapsamındakilerin siber ataklara karşı korunması ve bu hücumların kaynağına karşı caydırıcılık sağlanması için gerekli önlemi alacak ya da aldıracak.

Bu kapsamda bilişim sistemlerine uygun bulunan yazılım ve donanım ürünlerinin suram ve entegrasyonunu sağlayabilecek, bu eserler tarafından üretilen ya da toplanan data ve log kayıtlarını Başkanlık idaresinde bulunan bilişim sistemlerine aktarabilecek, siber olayların tespitine yönelik gerekli usulü ve aracı kullanabilecek.

Başkanlık, siber olaya maruz kalanlara yerinde ya da uzaktan siber olay müdahale dayanağı sağlayabilecek, siber uzayda bulunan ya da elde ettiği bilgi, imaj ya da log kayıtları üzerinden taarruzlara ait izleri takip edebilecek, bunları inceleyerek delillendirebilecek, suç teşkil ettiği bedellendirilen bulguları adli makamlar ve diğer ilgililer ile paylaşacak, yurt içi ve yurt dışındaki paydaşlar ile koordinasyon sağlayabilecek.

Başkanlık, yürüttüğü fliyetlerle sınırlı olmak üzere bilgi, evrak, bilgi ve kayıtları alabilecek ve değerlendirmesini yapabilecek, bunlara ait arşivlerden, elektronik bilgi işlem merkezlerinden ve iletişim altyapısından yararlanabilecek ve bunlarla irtibat kurabilecek.

Bu kapsamda elde edilen bilgi, evrak, bilgi ve kayıtlar, en fazla 2 yıl müddetle çalışmaya bahis edilecek ve çalışma müddeti sonrasında imha edilecek. Bu kapsamda talepte bulunulanlar, kendi mevzuatındaki kararları münasebet göstermek suretiyle talebin yerine getirilmesinden kaçınamayacak.

Siber Güvenlik Başkanlığı, bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilecek, saklayabilecek, değerlendirebilecek, bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilecek.

Ülkelerle münasebet yürütüp, bilgi alışverişinde bulunabilecek

Başkanlık, bakanlıklar ve diğer kamu kurum ve kuruluşları ile koordineli olarak siber güvenlik bahislerinde ihtiyaç halinde işçi tefrik edebilecek. Görev alanına giren bahislerde uluslararası kuruluşlar ve ülkelerle ilişkiler yürütebilecek, bilgi alışverişinde bulunabilecek, Türkiye’yi temsil edebilecek ve uyumu sağlayabilecek, uluslararası kuruluşların çalışmalarına katılabilecek, alınan kararların uygulanmasını takip edebilecek ve gerekli uyumu sağlayabilecek.

Düzenleme kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve hukukî şahıslar ile hukukî kişiliği bulunmayan kuruluşlar sınıflandırabilecek, fliyetlerini icra ederken gerektiğinde yalnızca belli bir kısmını kapsayan kararlar oluşturabilecek.

Siber Güvenlik Başkanlığı, siber güvenlik kontrolü gerçekleştiren bağımsız denetçiler ve bağımsız kontrol kuruluşlarını yetkilendirebilecek, yetkisini periyodik ya da süresiz iptal edebilecek. Başkanlık, kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe tesiri olan yazılım, donanım, ürün ve hizmetlere dair kriterler ile başkanlığa yapılacak bildirimlere ilişkin yordam ve temelleri belirleyecek.

Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin minimum güvenlik kriterlerini belirleyecek olan başkanlık, bunları sağlayacak ya da tedarik edecek gerçek ve hükmî şahıslara yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetecek. Başkanlık, siber güvenlik yazılım, donanım, ürün ve hizmetlerinin belirlenecek standartlara uygun hale getirilmesini talep edebilecek. Bu talebe ahenk sağlamayanların kullanılmasını önleyici önlemler alabilecek.

Yürütülen iş ve süreçler kapsamında ferdî datalar, hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde yeni olmak kaydıyla, belli, açık ve legal gayelerle, işlendiği gayeyle temaslı, sınırlı ve ölçülü olmak kaydıyla ve işlendiği maksat için gerekli olan süre kadar muhafaza edilmek üzere işlenecek.

Belirtilen yetkiler çerçevesinde elde edilecek şahsî bilgiler ve ticari sırlar, bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinecek, yok edilecek ya da anonim hale getirilecek. Bu hususun uygulanmasına ilişkin yol ve asıllar, Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.

Sorumluluklar ve işbirliği

Teklifle, bilişim sistemleri kullanarak hizmet sunan, data toplayan, işleyen ve benzeri fliyet yürütenlerin, siber güvenliğe ilişkin görev ve sorumlulukları da belirleniyor.

Bu kapsamda görev ve vazifeler şöyle tanımlanıyor:

Başkanlığın görev ve fliyetleri kapsamında talep ettiği her türlü data, bilgi, doküman, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve vaktinde Başkanlığa iletmek, siber güvenliğe yönelik olarak milli güvenlik, kamu tertibi ya da kamu hizmetinin gereği benzeri yürütülmesi gayesiyle mevzuatın öngördüğü önlemleri almak, hizmet sundukları alanda tespit ettikleri zafiyet ya da siber olayları gecikmeksizin Başkanlığa bildirmek. Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerinden ya da şirketlerden tedarik etmek. Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince fliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak. Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen siyaset, strateji, eylem planı ile yayımlanan diğer düzenleyici süreçlerde yer alan konuları yerine getirmek ve gerekli önlemleri almak.

Denetim fliyetine ilişkin esaslar

Siber Güvenlik Başkanlığı, düzenlemede belirtilen vazifeleri ile ilgili olarak gerekli gördüğü hallerde düzenlemenin kapsamına giren her türlü fiil ve süreci denetleyebilecek, bu hedefle mahallinde inceleme yapabilecek ya da yaptırabilecek. Kontrol, bu düzenleme kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve hükmî bireylerin bu düzenleme kararlarıyla ilgili fliyet ve süreçlerini kapsayacak.

Denetime, Başkanlık işçisi, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız kontrol kuruluşları yetkili olacak. Bu yetki, başkan tarafından görevlendirilenler tarafından kullanılacak.

Kamu kurum ve kuruluşları ile kritik altyapılarda kontroller, başkanlık çalışanınca ya da refakatinde yapılacak. Başkanlık, kontrol fliyetlerine ilişkin değerlilik ve öncelik prensipleri ile risk değerlendirmelerinde dikkate alınacak ölçütleri ve uygulama temellerini belirleyecek.

Denetim fliyeti, değerlilik ve öncelik unsurları ile risk değerlendirmeleri kapsamında oluşturulacak program uyarınca yürütülecek. Başkan, oluşturulan program dışında incelenmesi gerekli görüldüğü konularda program dışı kontrol yaptırabilecek.

Mülki amirler, kolluk kuvvetleri ve diğer kamu kurumlarının amir ve memurları inceleme ya da kontrolle görevlendirilenlere her türlü kolaylığı göstermek ve yardımda bulunmakla yükümlü olacak.

Arama, kopya çıkarma ve el koyma

Denetimle görevlendirilenler, yürüttükleri kontrol fliyetleriyle sınırlı olarak elektronik ortamdaki datanın, dokümanların, elektronik altyapının, aygıt, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret ya da örnek alınması, bu bahis ile ilgili yazılı ya da kelamlı açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi mevzularında yetkili olacak.

Denetime tabi tutulanlar, ilgili aygıt, sistem, yazılım ve donanımları verilen müddetlerde denetlemeye açık tutmak, kontrol için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli tedbirleri almak zorunda olacak.

Genel Kurulda kabul edilen önergeyle Lidere verilen arama, kopya çıkarma ve el koyma yetkisi tekliften çıkarıldı.

Buna göre, milli güvenlik, kamu nizamı, suç işlenmesinin ya da siber atakların önlenmesi amacıyla hakim kararı üzerine ya da gecikmesinde sakınca bulunan hallerde cumhuriyet savcısının yazılı buyruğu ile konutta, iş yerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilecek, uzun vadeli hizmet aksamasına yol açmayacak ve kesintisiz şekilde kopya çıkarma ve el koyma süreci gerçekleştirilebilecek. Çıkarılan kopyanın bir nüshası ilgilisine teslim edilecek ve bu konu tutanağa geçirilerek imza altına alınacak.

Bu süreçlerin yapılabilmesi için makul sebeplerin oluştuğunun münasebetleriyle birlikte gösterilmesi gerekecek.

Hakim kararı olmaksızın yapılan arama ve gerçekleştirilen kopya çıkarma ve el koyma süreçleri, 24 st içinde görevli hakimin onayına sunulacak.

Yetkilendirilmiş bilgi merkezi işletmecilerinin data merkezlerinde yalnızca hakim kararıyla arama, kopya çıkarma ve el koyma süreci yapılabilecek.

Hakim, kararını 48 st içinde açıklayacak, aksi halde çıkarılan kopyalar ve tahlili yapılan metinlerimha edilecek ve el koyma resen kalkacak. Bu fıkra kapsamına giren talepler bakımından Ankara Sulh Ceza Hakimliği yetkili ve görevli olacak fakat kamu kurum ve kuruluşları bakımından hakimlik kararı aranmayacak.

Siber Güvenlik Kurulu

Kanunla, Siber Güvenlik Konseyi’nin kimlerden oluşacağı da düzenleniyor.

Buna göre Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Liderinden oluşacak.

Cumhurbaşkanının katılmadığı hallerde şuraya, Cumhurbaşkanı Yardımcısı başkanlık edecek. Konsey toplantılarına üyeler dışında, gündemin özelliğine göre ilgili bakan ve kişiler de çağrılarak bilgi ve görüş alınabilecek. Heyet, vazifeleri kapsamında gerekli görmesi halinde komisyon ve çalışma grupları oluşturabilecek. Komisyon ve çalışma grupları, şuranın görev alanına giren konularda teknik seviyede çalışmalar yapacak ve karar teklifleri oluşturacak.

Komisyon ve çalışma grubu toplantılarına, görüşlerinden faydalanmak üzere alanında uzman bireyler davet edilebilecek.

Kurulun sekretarya hizmetleri, Siber Güvenlik Başkanlığı tarafından yürütülecek. Şura, komisyon ve çalışma gruplarının çalışma yol ve asılları Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.

Teklifle Siber Güvenlik Başkanlığında kontratlı uzman işçi istihdam yolu ile fiyatlarına ilişkin asıllar da belirleniyor.

Siber Güvenlik Başkanlığında istihdam edilen işçiden ilgili mevzuatı kapsamında diğer kamu kurum ve kuruluşlarına karşı zarurî hizmet yükümlülüğü bulunanların başkanlıkta geçen hizmet müddetleri, ilgili kamu kurum ve kuruluşunun da muvafakati alınmak kaydıyla söylediği söz edilen yükümlülük müddetlerinden düşülecek.

Siber Güvenlik Başkanlığında takımlı ya da kontratlı statüde görev yaparken herhangi bir nedenle ilişiği kesilenler, başkanlıktan muvaalmadan 2 yıl mühletle yurt içi ya da yurt dışında siber güvenlik alanında resmi ya da özel diğer hiçbir görev alamayacak, bu alanda ticaretle uğraşamayacak, serbest meslek fliyetinde bulunamayacak ve bilhassa bu bölümde fliyet gösteren bir şirkette hissedar ya da yönetici olamayacak.

Başkanlıktaki görev ve fliyetler kapsamında edinilen bilgi, evrak ve benzeri her türlü datanın, Siber Güvenlik Başkanlığınca yetki verilen durumlar hariç, radyo, televizyon, internet, sosyal medya, gazete, mecmua, kitap ve diğer tüm medya araçlarıyla her türlü yazılı, görsel, işitsel ve elektronik kitle iletişim araçları vasıtasıyla yayımlanması ya da açıklanması yasak olacak.

Başkanlık tarafından yürütülen görev ve fliyetler kapsamında edinilen kamuya, ilgililere ve üçüncü bireylere ait kapalılık taşıyan bilgi, şahsî bilgi, ticari sır ve bunlara ait evraklar mevzuat gereği yetkili kılınan mercilerden diğerine açıklanamayacak, gerçek ve hukukî şahısların menftine kullanılamayacak.

Öte yandan Genel Heyetin bugün toplanmamasına yönelik Danışma Kurulu kararı alındı.

TBMM Başkanvekili Bekir Bozdağ, teklifin 13 hususunun kabul edilmesinin akabinde birleşime ara verdi. Aranın akabinde kurulun yerini almaması üzerine Bozdağ, birleşimi 11 Mart Salı st 15.00’te toplanmak üzere kapattı.