SİBER GÜVENLİĞE İLİŞKİN KANUN YAYIMLANDI

7545 sayılı Siber Güvenliğe İlişkin Kanun (“Kanun”) 19/03/2025 tarihinde Resmî Gazete’de yayımlandı.
Siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsayan Kanun ile; Türkiye’nin siber güvenlik altyapısını güçlendirmeyi, dijital verilerin korunmasını sağlamayı ve siber saldırılara karşı daha etkin bir savunma oluşturmayı amaçlanmaktadır.

TEMEL İLKELER
Kanun ile siber güvenlik alanında izlenecek yol haritası çizilirken temel oluşturacak ilkeler belirlenmiştir.

·         Siber güvenlik, milli güvenlik ile doğrudan ilişkilidir.

·         Kritik altyapıların korunması önceliklidir.

·         Siber güvenlik tedbirlerinde yerli ürünlerin tercih edilmesi esastır.

·         Toplumda siber güvenlik kültürünün yaygınlaştırılması hedeflenir.

·         Siber güvenlik politikaları sürekli gelişim ilkesiyle yürütülmelidir.

SİBER GÜVENLİK BAŞKANLIĞI
Kanun ile Siber Güvenlik Başkanlığının (“Başkanlık”) Türkiye’nin siber güvenlik çerçevesinin güçlendirilmesindeki görevleri aşağıdaki şekilde belirlenmiştir: 

·         İlgili mevzuatta yer alan görevleri yerine getirmek.

·         Kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığını artırmak.

·         Kamu kurumları ve kritik altyapılar için varlık envanteri oluşturmak.

·         Siber olaylara müdahale ekipleri (SOME) kurmak ve denetlemek.

·         Siber güvenlik aşanında standartlar belirlemek.

·         Sertifikasyon, denetim ve test işlemleri yürütmek.

Başkanlık, siber güvenlik alanında görevlerini yerine getirirken aşağıdaki yetkilere sahip kılınmıştır.
 ·         Mevzuata dayalı yetkiler kullanmak.

·         Siber saldırılara karşı korunma ve caydırıcılık sağlanması için gerekli tedbirler almak.

·         Siber olaylara müdahale desteğini sağlamak.

·         Siber güvenlik ürünlerini denetlemek ve gerektiğinde uluslararası iş birliği yapmak.

·         Siber güvenlik denetimi yapan bağımsız denetçilere yetki vermek ve bu denetimlerde elde edilen kişisel verileri belirli süreyle saklamak.

Bilişim sistemleri kullanarak hizmet sunan ve veri işleyenlere siber güvenlik ile ilgili aşağıdaki sorumluluklar getirilmiştir. 

·         Başkanlık’ın talep ettiği veri, bilgi, belge, donanım ve yazılımları zamanında iletmek.

·         Mevzuat gereği siber güvenlik önlemleri almak ve tespit edilen zafiyet veya siber olayları derhal bildirmek.

·         Yetkilendirilmiş ve belgelenmiş siber güvenlik ürünlerini tedarik etmek.

·         Sertifikasyona tabi siber güvenlik şirketlerinin faaliyet öncesi Başkanlık onayını almak.

·         Başkanlık tarafından belirlenen siber güvenlik politikalarına uymak.

Başkanlık, bu faaliyetleri kamu kurumları ve diğer ilgili kuruluşlarla iş birliği içinde yürütecektir.

Başkanlık, Kanun ile birlikte denetim konusunda aşağıdaki şekilde yetkili kılınmıştır: 

·         Başkanlık, Kanun kapsamında her türlü işlemi denetleyebilir. Denetimler, Başkanlık personeli veya yetkilendirilmiş denetçiler tarafından yapılır. Kamu kurumlarında denetimler Başkanlık personeliyle gerçekleştirilir.·         Denetimlerin öncelik ve risk değerlendirmelerine göre yapılacak ölçütleri belirler ve gerektiğinde program dışı denetim yapabilir.

·         Kamu görevlileri, denetimle görevlilere yardımcı olmak zorundadır.

·         Denetim yapanlar, verileri, cihazları, yazılımları inceleyebilir, kopya alabilir ve açıklama isteyebilir. Denetime tabi olanlar, denetim için gerekli altyapıyı sağlamak zorundadır.

·         Millî güvenlik veya siber saldırıları önlemek amacıyla hâkim kararı veya savcı emriyle arama, kopya çıkarma ve el koyma yapılabilir. Kamu kurumlarında hâkim kararı gerekmez.

SİBER GÜVENLİK KURULU
Kanun ile birlikte, Türkiye’nin siber güvenliğinin güçlendirilmesi, siber tehditlere karşı önlemler alınması ve siber olaylara müdahale süreçleri oluşturulması amaçlarıyla Cumhurbaşkanı ve çeşitli bakanlardan oluşan Siber Güvenlik Kurulu’nun (“Kurul”) kurulmasına karar verilmiştir.
Kurul’un görevleri arasında;

  • Siber güvenlik politikalarını belirlemek,
  • Teknoloji yol haritasını uygulamak,
  • Kritik altyapı sektörlerini tanımlamak,
  • İnsan kaynağını geliştirmek gibi faaliyetler yer alır.

CEZAİ HÜKÜMLER VE İDARİ PARA CEZALARININ UYGULANMASI
Kanun ile birlikte, siber güvenlik ve dijital veri yönetimi alanındaki düzenlemeleri güçlendirmeyi hedeflemek amacıyla çeşitli cezai hükümler ve idari para cezaları düzenlenmiştir. Bunlardan bazıları;

·         Sır saklama yükümlülüğünü yerine getirmeyenler, 4 yıldan 8 yıla kadar hapis cezası ile cezalandırılır.

·         Kişisel veya kritik verilerin izinsiz paylaşılması, satışa çıkarılması durumunda 3 yıldan 5 yıla kadar hapis cezası verilir.

·         Veri sızıntısı olmadığı halde endişe yaratmak amacıyla sahte içerik oluşturanlara 2 yıldan 5 yıla kadar hapis cezası verilir.

·         Türkiye’nin siber güvenlik unsurlarına yönelik saldırılar, 8 yıldan 15 yıla kadar hapis cezalarına yol açar.

·         Görevini kötüye kullanan veya siber saldırılara karşı koruma önlemlerini ihlal edenlere 1 yıldan 3 yıla kadar hapis cezası verilir.

·         Ticari şirketlere de denetim yükümlülüklerini yerine getirmemeleri durumunda 100.000 Türk lirasından az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası uygulanır.

YÜRÜRLÜK
Yukarıda bahsi geçen hususlar yayımı tarihinde yürürlüğe girecektir.

Yılmazlar Hukuk
Author posts

Privacy Preference Center

Privacy Preferences