Compass Consultancy

Logo
Compass Consultancy

Yeni Siber Güvenlik Kanunu: Türkiye’nın Dijital Güvenliğinde Yeni Dönem

Siber tehditlere karşı savunma kapasitesini güçlendirmek amacıyla Siber Güvenlik Başkanlığı kurulmasına ilişkin düzenleme 08.01.2025 tarihli ve 32776 sayılı Resmî Gazete’de yayımlanan Cumhurbaşkanlığı Kararnamesi ile duyurulmuştur.

Resmî Gazete’de yayımlanan bu Cumhurbaşkanlığı Kararnamesi’ne istinaden Türkiye Büyük Millet Meclisi (“TBMM”) tarafından Siber Güvenlik Kanunu (“Kanun”) teklifi kabul edilerek 19.03.2025 tarihli ve 32846 sayılı Resmî Gazete ile yürürlüğe girmiştir.

Kanunun amacı, Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ilişkin esasları düzenlemektir.

Kanun’un 4. Maddesinde siber güvenliğin sağlanmasına ilişkin temel ilkeler aşağıdaki şekilde sayılmıştır:

 

  • Siber güvenlik milli güvenliğin ayrılmaz bir parçasıdır.
  • Kritik altyapı ve bilişim sistemlerinin korunması ile güvenli bir siber uzay oluşturulması temel hedeftir.
  • Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülür.
  • Siber güvenlik tedbirlerinin, hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanması esastır.
  • Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünler tercih edilir.
  • Siber güvenlik politika ve stratejilerinin yürütülmesi ile siber saldırıların önlenmesi veya etkisinin azaltılmasına yönelik gerekli tedbirlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumludur.
  • Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esastır.
  • Siber güvenlik politika ve strateji geliştirme çalışmaları sürekli gelişim yaklaşımı ile yürütülür.
  • Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilir.
  • Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenir.
  • Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkeleri temel esas kabul edilir.

 

Peki Siber Güvenlik Kanununda Yer Alan Uygulama Alanları Nelerdir?
Siber Güvenlik Kanunu, Türkiye’nin dijital altyapısını korumak ve siber tehditlere karşı önlem almak amacıyla kapsamlı düzenlemeler içermektedir. Kanun’un amacı, Türkiye’nin siber uzaydaki milli gücünü korumak için;

  • İç ve dış tehditlerin tespit ve bertaraf edilmesi,
  • Siber olayların etkilerini azaltacak esasların belirlenmesi,
  • Kamu ve özel sektörün siber saldırılara karşı korunması,
  • Ülkenin siber güvenliğini güçlendirecek strateji ve politikaların oluşturulması ve
  • Verilerin korunmasıdır.

Bu Kanun kapsamında bilişim sistemlerini kullanarak hizmet sunan, veri toplayan ve işleyen kurum, kuruluş ve kişilerin temel sorumlulukları 7. madde hükmü ile düzenlenmiştir. Bu kapsamda görev ve sorumluluklar;

  • Siber Güvenlik Başkanlığı (“Başkanlık”) ‘nın talep ettiği bilgi, belge, donanım, yazılım ve diğer katkıları öncelikli ve zamanında iletmek,
  • Milli güvenlik ve kamu düzenini sağlamak için gerekli siber güvenlik tedbirlerini almak; tespit ettikleri zafiyet veya siber olayları gecikmeden Başkanlık’a bildirmek,
  • Kamu kurumları ve kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetlerini, Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş uzmanlar ve şirketlerden temin etmek,
  • Siber güvenlik şirketleri, faaliyetlerine başlamadan önce Başkanlık’ın onayını almak,
  • Başkanlık tarafından geliştirilen politika, strateji, eylem planları ve tavsiyelere uygun hareket etmek ve gerekli tedbirleri almak,

olarak hüküm altına alınmış olup özel kurumlar da dahil olmak üzere tüm kurumların da Başkanlık ile iş birliği içerisinde çalışacağı belirtilmiştir.

Başkanlık’ın denetim yetkisini düzenleyen 8. madde hükmü ise;

 

  • Başkanlık’ın, Kanun kapsamına giren her türlü fiil ve işlemi yerinde inceleyebileceği,
  • Denetime, başkanlık personeli, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız denetim kuruluşlarının yetkili olduğu,
  • Denetimlerin, öncelik ve risk değerlendirme ilkelerine göre oluşturulmuş bir program dahilinde yürütüleceği, gerekirse program dışı denetim yapılabileceği,
  • Denetimle görevlendirilenlerle iş birliği içinde olunması, gerekli kolaylığın sağlanması,
  • Denetim görevlileri, yürütülen denetim faaliyeti ile sınırlı olarak, ilgili elektronik verileri, yazılımı, belgeleri, cihazları ve altyapıyı inceleyebileceği, kopya alabileceği, yazılı veya sözlü açıklama talep edebileceği ve tesisleri inceleyebileceği,
  • Denetime tabi olanların, ilgili cihazları çalışır halde ve incelemeye hazır durumda tutmakla yükümlü oldukları düzenlenmiştir.

 

Kanun’un 8. maddesinin 5. fıkrası ile de arama ve el koyma yetkisi düzenlenmiştir. Bu kapsamda ;

  • Hâkim kararıyla, konut, işyeri ve kamuya kapalı alanlarda arama, kopya çıkarma ve el koyma işlemleri yapılabilir,
  • Gecikmesinde sakınca olan hallerde, Başkanın yazılı emriyle konutta, işyerinde ve kamuya açık olmayan kapalı alanlarda arama, kopya çıkarma ve el koyma işlemi yapılabilir, ancak hâkim kararı olmaksızın yapılan bu işlemler 24 saat içinde hakimin onayına sunulur, hakim 48 saat içinde karar vermezse alınan kopyalar ve çözümü yapılan metinler imha edilir ve el koyma kendiliğinden sona erer.
  • Kamu kurumları açısından hâkim kararı aranmaz,
  • 8.maddenin 5. fıkra hükmüne giren talepler için Ankara Sulh Ceza Hakimliğinin yetkilidir.

Siber Güvenlik Kanununa Aykırılık Halinde İdari ve Cezai Yaptırımlar Nelerdir?

Kanun’un 5. bölümünde cezai hükümler ve idari para cezalarının uygulanmasına ilişkin hususlar düzenlenmiştir.

“Cezai Hükümler ve İdari Para Cezaları” başlıklı 16. madde kapsamında ise düzenleme kapsamına alınan hususlar aşağıdaki tablodaki gibi hüküm altına alınmıştır. Kanunu’nun 16. maddesi, siber güvenlikle ilgili ihlallere yönelik ciddi yaptırımları ve idari para cezalarını düzenleyerek caydırıcılığı artırmayı hedeflemektedir.

İhlal Yaptırım
Bilgi ve belge vermeme: Denetim görevlilerine bilgi, belge, yazılım veya donanımı vermeyenler veya engel olanlar 1-3 yıl hapis ve 500-1500 gün adli para cezası
İzinsiz faaliyet: Gerekli izinleri almadan faaliyet yürütenler 2-4 yıl hapis ve 1000-2000 gün adli para cezası
Sır saklama yükümlülüğünü ihlal eden veya yetkisini kötüye kullananlar 4-8 yıl hapis cezası
Veri sızıntısı: Kişisel veya kritik verileri izinsiz erişime açan, paylaşan veya satanlar 3-5 yıl hapis cezası
Sahte veri sızıntısı algısı oluşturma: Sahte sızıntı iddialarıyla kurum veya çalışanları hedef almaya yönelik faaliyette bulunanlar 2-5 yıl hapis cezası
Milli siber güce yönelik saldırılar:
 		 ·       Veriyi yalnızca saklayanlar, 8-12 yıl hapis cezası
·       Veriyi yayımlayan, gönderen veya satanlar, 10-15 yıl hapis cezası
Kritik altyapılarda veri ihlali: Görevi ihmal edenler 1-3 yıl hapis cezası
Kanun’un 12. Maddesinde yer alan Yasak Hükümlere  aykırılık 3-5 yıl hapis cezası
Ağırlaştırıcı sebepler
  • Suçun kamu görevlisi tarafından işlenmesi halinde 1/3 oranında,
  • Suçun birden fazla kişi veya örgüt kapsamında işlenmesi halinde yarı oranında
  •  Bir örgütün faaliyeti çerçevesinde işlenmesi halinde ise yarısından iki katına kadar arttırılacaktır.

 
İdari Para Cezaları

İhlal Uygulanacak İdari Para Cezası
7 (b) Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almamak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmesizin Başkanlık’a bildirmemek,

7 (c) Kamu kurum ve kuruluşları ile kritik alt yapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanları ve şirketlerden tedarik etmemek,

 

 1 milyon TL – 10 milyon TL
Kanun’un 18. maddesi kapsamındaki görev ve sorumlulukların ihlali 10 milyon TL – 100 milyon TL
Kanun’un 8. maddesinin 4. fıkrasındaki yükümlülüklerin ihlali ·       Gerçek kişiler: 100 bin TL – 1 milyon TL
·       Ticari şirketler: 100 bin TL’den az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının %1’i ile vergi öncesi karın %20’sinden yüksek olanına kadar

 

 

Kanun’un 17. maddesi, Başkanlık tarafından verilen idari para cezalarının uygulanmasına ilişkin esasları belirlemektedir. Bu maddeye göre, verilen idari para cezaları tebliğ tarihinden itibaren 1 ay içinde ilgilisi tarafından ödenmelidir. Süresi içinde ödenmeyen ve kesinleşen cezalar, kurumun bildirimi üzerine 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun hükümlerine göre vergi dairelerince tahsil edilecektir.

 

Ancak, idari para cezalarının uygulanmasından önce ilgilinin savunması talep edilecek olup savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren 30 gün içinde savunma verilmemesi halinde, ilgilinin savunma hakkından feragat ettiğinin kabul edileceği de 17. maddenin 1. fıkra hükmü ile hüküm altına alınmıştır.

 

Kanun uyarınca verilen idari para cezası kararlarına karşı idari yargı yoluna başvurulabilecektir.

 

Kanunun 18. maddesine göre, siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı, Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılacaktır.

 

Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilir. Bu işlemler kapsamında gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabidir.

 

Başkanlık onayı alınmayan işlerler hukuki bir geçerlilik kazanmaz.

Siber güvenlik alanında faaliyet gösteren dernek, vakıf, federasyonlar ve ticaret şirketlerinin uyum süreçlerine ilişkin düzenlemeleri içeren geçici madde ise özetle;

  • Uyum Yükümlülüğü: Kanunun yayımlanmasından itibaren 1 yıl içinde, Başkanlık tarafından belirlenen ilke ve esaslar doğrultusunda sertifikasyon, yetkilendirme ve belgelendirme işlemleri tamamlanmalıdırlar.
  • Uyum yükümlülüğünün yerine getirilmemesi halinde:
    • Dernek, Vakıf ve Federasyonlar: Bu yükümlülüğü yerine getirmeyen tüzel kişiliklerin faaliyetlerine, Başkanlık talebiyle Türk Medeni Kanunu’nun ilgili hükümlerine istinaden mahkeme kararıyla son verilir. Mahkeme yargılama sürecinde gerekli tedbirleri alır.
    • Ticaret Şirketleri: Uyum yükümlülüğünü sağlamayan şirketler, ticaret unvanlarındaki ve faaliyet konularındaki “siber güvenlik” ile ilgili ifadeleri kaldırmak zorundadır. Ayrıca ticaret sicilinden terkin edilmeleri için tasfiye süreçlerini başlatırlar.

Kanun, Resmî Gazete’de yayım tarihi itibariyle yürürlüğe girmiştir.

 

Kanun ile ilgili detaylı bilgi edinmek için danışmanlarımıza ulaşabilirsiniz.