Türkiye Büyük Millet Meclisi (TBMM) Genel Kurulu’nda görüşülen 21 maddelik Siber Güvenlik Kanunu Teklifi dün kabul edildi. Kişisel verilerin korunması, özel hayatın gizliliği ve ifade özgürlüğü konularında ciddi kısıtlamalara ve keyfi uygulamalara yol açabileceği gerekçesiyle eleştirilen Siber Güvenlik Kanunu Teklifi, TBMM Genel Kurulu’nda 102’ye karşı 246 oyla kabul edildi. Kanunun amacı, Türkiye’nin siber uzaydaki milli gücünü korumak ve siber tehditlere karşı daha etkin önlemler almak olarak veriliyor.
Temel Amaçlar şöyle sıralanıyor :
- Kritik Altyapıların Korunması: Enerji, ulaşım, sağlık, finans ve telekomünikasyon gibi sektörlerdeki kuruluşların siber saldırılara karşı güvenlik önlemlerini artırmak.
- Siber Olayların Raporlanması: Şirketlerin ciddi siber saldırıları belirli bir süre içinde yetkili kurumlara bildirme zorunluluğu.
- Yaptırımlar ve Uyum: Standartlara uymayan kurumlara idari para cezaları veya operasyonel kısıtlamalar getirilmesi.
Kanun çerçevesinde 2 yapıdan bahsediliyor (2si de daha önce kuruldu);
Siber Güvenlik Kurulu (veya Başkanlığı): Kanun kapsamında politika belirleme, denetim ve koordinasyondan sorumlu bir üst kurul oluşturuldu. Bu kurum, BTK (Bilgi Teknolojileri ve İletişim Kurumu) veya TÜBİTAK gibi kuruluşlarla iş birliği yapacak. Kritik altyapıların ve bilişim sistemlerinin siber dayanıklılığını artırmak, siber saldırılara karşı koruma sağlamak, zafiyet ve sızma testleri yapmak veya yaptırmak, siber tehdit istihbaratı elde etmek ve paylaşmak gibi görevleri üstlenecek.
Kurulan Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanı’ndan oluşacak. Bu kurul, siber güvenlik stratejilerinin belirlenmesi ve uygulanmasında merkezi bir rol oynayacak.
Siber Olay Müdahale Ekibi (SOME): Kritik ihlallere anında müdahale etmek için, özel ya da kamu kurumlarında uzman ekiplerden oluşan ekipler kurulması. Bunlar 2012’de kurulan ve şimdi Siber Güvenlik Başkanlığı altına alınan USOM (Ulusal Sİber Olaylara Müdahele Ekibi) ile entegre çalışacak.
Kanun çerçevesinde, kritik verilerin Türkiye sınırları içinde saklanmasına yönelik düzenlemeler, güvenlik testleri ve sertifikasyon süreçleriyle uyumluluk ve özel sektörün siber güvenlik çözümlerinde devletle bilgi paylaşımı maddeleri öne çıkıyor.
Kanuna gelen eleştirilere bakıldığında, devletin veri erişim yetkilerinin genişletilmesi, özel hayatın gizliliği endişelerine yol açıyor. Bunun dışında ceza mekanizmalarının nasıl işleyeceğine dair belirsizlikler söz konusu ve yeni düzenlemelerin KOBİ’lere getireceği ekstra maliyetlerden bahsediliyor.
Neler Var, Neler Değiştirildi?
Kanun teklifi görüşmeleri sırasında, teklifin 8. maddesinde yer alan ve Siber Güvenlik Kurulu Başkanı’na arama, kopya çıkarma ve el koyma yetkisi veren ifade metinden çıkarıldı.
Teklifin bir diğer tartışmalı maddesi olan 16’ncı maddenin en tartışılan 5’inci fıkrasında AKP’nin verdiği önerge üzerine değişikliğe gidildi. Verilen önergeye göre 5’inci fıkra şu şekilde değiştirildi:
“Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir.”
Veriler önerge kapsamında 16’ncı maddede 3’üncü fıkrasında yer alan “veya bu Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara” ibaresi metninden çıkarılırken 9’uncu fıkrasında yer alan “kritik” ibaresi, “Bu kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara veya kritik” şeklinde ve 11’inci fıkrasında yer alan yüzde “yüzde 1’i ile vergi öncesi kârının yüzde 20’sinden yüksek olanına” ibaresi, “yüzde 5’ine” şeklinde değiştirildi.
Teklifin 7’nci maddesinde yer alan “Siber güvenlik uzmanları ve” ibaresi “Siber güvenlik uzmanlarından, üreticilerinden veya” şeklinde ve “tavsiye ve benzeri belgelerde” ibaresi “diğer düzenleyici işlemlerde” şeklinde değiştirildi. Bu değişikliklerle, siber güvenlik ürün, sistem ve hizmetlerinin üreticilerden de tedarik edilmesine imkân sağlandı ve ilgililerin Başkanlıkça çıkarılacak tüm düzenleyici işlemlere tabi olmalarına yönelik düzenleme yapılmış oldu.
Ayrıca teklifin 2’nci maddesinin 2’nci fıkrası “(2) 4/7/1934 tarihli ve 2559 sayılı Polis Vazife ve Salâhiyet Kanunu, 9/7/1982 ve 2692 sayılı Sahil Güvenlik Komutanlığı Kanunu ve 10/3/1983 tarihli ve 2803 sayılı Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler ile 1/11/1983 tarihli ve 2937 sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu ile 4/1/1961 tarihli ve 211 sayılı Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen faaliyetler bu Kanun kapsamı dışındadır” şeklinde değiştirildi.
3’üncü maddesinin 1’inci fıkrasının g bendinde yer alan “bu sistemler tarafından işlenen” ibaresinin madde metninden çıkarılmasıyla siber uzayda bulunan her türlü veri ihlalinin bent kapsamına alınması amaçlanırken, 6’ncı maddesinin 1’inci fıkrasının h bendinde yer alan “kullanım öncesinde uygunluk verir” ibaresinin “dair kriterler ile Başkanlığa yapılacak bildirimlere ilişkin usul ve esasları belirler” şeklinde değiştirilmesiyle kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe etkili olan yazılım, donanım, ürün ve hizmetlere dair kriterler ile Başkanlığa yapılacak bildirimlerin usul ve esaslarının belirlenmesine ilişkin verilen yetkinin belirli hâle getirilmesi amaçlandı.
Yine AKP’li milletvekillerinin verdiği önergeyle teklifin 18’inci maddesi de şunlarla değiştirildi;
“(1)Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı, Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılır. Bu usul ve esaslarda yer alacak izne tabi ürünlerin yurtdışına satışında Başkanlık onayı alınır.
(2) Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilir. Bu işlemler kapsamında gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabidir.
(3) Başkanlık onayı alınmaksızın gerçekleştirilen işlemler hukuki bir geçerlilik kazanmaz. Başkanlık, bu madde kapsamında yapılacak işlemlerle ilgili olarak kurum ve kuruluşlardan bilgi ve belge talep edebilir.
(4) Bu maddenin uygulanmasına ilişkin hususlar Başkanlık tarafından yayımlanacak usul ve esasları ile belirlenir.”
Kanunla ayrıca, belirtilen yetkiler çerçevesinde elde edilecek kişisel veriler ve ticari sırlar, bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinecek, yok edilecek veya anonim hale getirilecek.
8-12 Yıla Kadar Hapis Cezası
Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik siber saldırı gerçekleştiren veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara 8 yıldan 12 yıla kadar hapis cezası verilecek. Yetkili mercilerin ve denetim görevlilerinin istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar 1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası ile cezalandırılacak. Sır saklama yükümlülüğünü yerine getirmeyenlere veya görev ve yetkilerini kötüye kullananlara 4 yıldan 8 yıla kadar hapis cezası verilecek.
Kanun, AB’nin NIS Direktifi ve Budapeşte Sözleşmesi gibi uluslararası standartlarla uyumlu hale getirilmeye çalışılıyor.
Kanun, siber güvenlik açısından önemli olsa da, güvenlik ile özgürlükler arasındaki denge, uygulama sürecindeki şeffaflık ve kurumların teknik kapasitesi belirleyici olacak. Detaylı yönetmeliklerin açıklanmasıyla konu daha ne ortaya çıkacak.
Muhalefet partileri, kanunun Anayasa’ya aykırı olduğunu ve ifade ile basın özgürlüğünü kısıtlayacağını savunarak, düzenlemeyi Anayasa Mahkemesi’ne taşımayı planladıklarını belirttiler.
Kaynak : 