Siber Dünyanın Yeni Mimarisi: Köklü Dönüşüm İhtiyacı
I. GİRİŞ
Türkiye’nin dijital dünyaya açılan kapısı, ne yazık ki giderek daralıyor. 2024’ün son aylarında ortaya çıkan veriler, ülkenin elektronik haberleşme altyapısındaki gerilemeyi gözler önüne seriyor. Mobil internet hızında dünya ortalamasının %20,1 altındayız, sabit internette ise %50,2 gerideyiz. Dünya sıralamasında mobilde 60., sabit internette 103. sıradayız (https://turk-internet.com/). Bu veriler, Türkiye’nin dijital çağın hızına yetişemediğinin sessiz bir itirafı gibi.
Ancak, bu sadece bir sonuç değil, aynı zamanda 2013’ten bu yana yaşanan düzenleyici eksikliklerin ve yanlış yönlendirilmiş politikaların bir yansıması. Bilgi Teknolojileri ve İletişim Kurumu (BTK), son on yılda rekabet ve serbestleşmeyi ikinci plana iten politikalar izledi. Bu süreçte sektör dinamizmini kaybetti, yatırımlar yavaşladı ve inovasyon geri plana düştü. Bugün geldiğimiz noktada, Türkiye’nin elektronik haberleşme sektörü sadece altyapı eksiklikleriyle değil, aynı zamanda düzenleyici belirsizliklerle de mücadele ediyor.
İşte tam bu noktada, Ocak 2025’de TBMM’ye sunulan Siber Güvenlik Kanunu Teklifi,kritik bir dönüm noktası olarak karşımıza çıkıyor. BTK’nın yıllardır üstlenmeye çalıştığı ancak etkin bir şekilde yönetemediği siber güvenlik yetkilerinin yeni bir kuruma devredilmesi, yalnızca siber güvenlik mimarisinin değil, belki de tüm elektronik haberleşme sektörünün yeniden şekillenmesi için bir fırsat yaratabilir. Eğer bu değişim doğru yönetilirse, BTK sektörel düzenleme ve rekabeti geliştirme misyonuna geri dönebilir, böylece hem telekomünikasyon altyapısı güçlenir hem de siber güvenlik daha sağlam temeller üzerine inşa edilir.
Ancak bu noktada kritik bir soru karşımıza çıkıyor: Bu yasa gerçekten siber güvenlik alanında bir dönüşüm yaratabilir mi, yoksa yalnızca merkeziyetçiliği artıran bir düzenleme mi olacak?
Bu sorunun cevabını ararken, önce dijital dünyanın değişen dinamiklerine, ardından Türkiye’nin mevcut siber güvenlik yapısına ve bu yeni teklifin ne gibi yenilikler getirdiğine göz atmamız gerekiyor.
II. DİJİTAL DÜNYADA SİBER TEHDİTLERİN YÜKSELİŞİ
Dijitalleşmenin hız kazanmasıyla birlikte, siber güvenlik artık yalnızca teknoloji şirketlerinin veya devletlerin meselesi değil, bireylerden büyük kurumsal yapılar ve kritik altyapılara kadar uzanan geniş bir güvenlik ağı gerektiriyor. Siber saldırılar artık sadece finansal kazanç amacıyla yapılmıyor; devletler arası rekabetin, ticari casusluğun ve hatta seçimlere müdahale gibi siyasi süreçlerin ayrılmaz bir parçası haline geldi.
1. Küresel Ölçekte Artan Siber Tehditler</b
Son yıllarda yaşanan siber saldırılar, tehdidin boyutlarını gözler önüne seriyor:
| Yıl | Öne Çıkan Siber Saldırılar | Etkilenen Sektörler |
| 2020 | SolarWinds saldırısı | Saldırının kurbanları arasında ABD Savunma Bakanlığı, Dışişleri Bakanlığı, Adalet Bakanlığı, Ulusal Güvenlik Ajansı (NSA) ve Hazine Bakanlığı gibi devlet kurumları ile Microsoft, FireEye, Cisco, Intel ve Nvidia gibi büyük şirketler bulunmaktadır. |
| 2021 | Colonial Pipeline fidye saldırısı | ABD’nin en büyük akaryakıt boru hattı işletmecisi olan Colonial Pipeline, fidye yazılımı saldırısına uğramış ve operasyonlarını durdurmak zorunda kalmıştır. Bu saldırı, enerji sektörünü ciddi şekilde etkilemiş ve Doğu Yakası’nda yakıt arzında kesintilere yol açmıştır. |
| 2022 | Costa Rica hükümetine yönelik saldırı | Kosta Rika hükümeti, kamu altyapısını hedef alan büyük bir siber saldırıya maruz kalmıştır. Bu saldırı, ülkenin çeşitli kamu hizmetlerinde aksamalara neden olmuş ve ulusal acil durum ilan edilmiştir. |
| 2023 | MOVEit veri sızıntısı | MOVEit adlı dosya transfer yazılımında tespit edilen bir güvenlik açığı, finans ve teknoloji sektörlerindeki birçok şirketin veri sızıntısı yaşamasına neden olmuştur. Bu olay, hassas verilerin ifşa olmasına yol açmış ve geniş çaplı etkilere neden olmuştur. |
| 2024 | Kritik sağlık kuruluşlarına yönelik saldırılar | Sağlık sektöründeki kritik kuruluşlar, özellikle hastaneler ve sağlık hizmeti sağlayıcıları, hedef alınan siber saldırılara maruz kalmıştır. Bu saldırılar, hasta verilerinin çalınması ve sağlık hizmetlerinde kesintilere yol açmıştır. |
Bu olaylar gösteriyor ki, siber saldırılar sadece bireysel veya ticari mağduriyetler yaratmıyor, aynı zamanda ulusal güvenlik riskleri oluşturuyor. Fidye yazılımları (ransomware), DDoS saldırıları ve oltalama (phishing) gibi yöntemler, artık sadece bireysel suçluların değil, organize grupların ve hatta devlet destekli hacker ekiplerinin kullandığı araçlara dönüştü.
2. Türkiye’de Artan Siber Güvenlik Tehditleri
Türkiye de bu küresel dalganın dışında değil. Hatta, Türkiye, dünya genelinde en çok siber saldırıya uğrayan ülkeler arasında üst sıralarda yer almaktadır. Farklı kaynaklar ve yıllara göre sıralamalar değişiklik gösterebilir, ancak genel olarak Türkiye’nin siber saldırılara maruz kalma oranı yüksektir. Örneğin, 2023 yılının ikinci çeyreğinde yapılan bir araştırmaya göre, Türkiye en çok siber saldırıya uğrayan beşinci ülke konumundadır. Bu dönemde yaklaşık 2,8 milyon hesabın güvenliği ihlal edilmiştir.
Son yıllarda Türkiye’de gerçekleşen önemli siber saldırılar şunlardır:
Türkiye’deki enerji şirketleri, enerji altyapısına zarar vermeyi amaçlayan siber saldırılara maruz kaldı.Enerji sektörü
| Yıl | Öne Çıkan Siber Saldırı | Etkilenen Sektörler |
| 2020 | E-Devlet ve Kamu Kurumlarına Yönelik DDoS Saldırıları Türkiye’deki kamu kurumlarının dijital hizmetlerine yönelik DDoS saldırıları, hizmetlerin durmasına ve kritik altyapıya zarar verilmesine neden oldu. | Kamu sektörü |
| 2021 | Sağlık Sektörüne Yönelik Siber Casusluk Saldırıları COVID-19 pandemisi sırasında, aşı geliştiren kurumlar ve sağlık araştırma merkezleri siber casusluk saldırılarına maruz kaldı. | Sağlık sektörü |
| 2022 | Enerji Şirketlerine Yönelik Siber Saldırılar | Enerji sektörü |
| 2023 | E-Ticaret ve Perakende Sektörüne Yönelik Veri İhlalleri Büyük e-ticaret platformları ve perakende şirketleri, kullanıcı verilerinin çalındığı ve hizmet kesintilerine neden olan saldırılarla karşılaştı. | E-ticaret ve perakende sektörü |
3. Bankalar, E-Ticaret, Kolluk ve Hukuk Sistemi: Koordinasyon Eksikliği
Siber saldırıların etkisini azaltmak için sadece teknoloji odaklı çözümler yetmez. Bankalar, e-ticaret platformları, kolluk kuvvetleri ve hukuk sistemi arasındaki iş birliği yetersiz olduğunda, saldırıların etkisi büyüyor.
Örneğin, bankalardan müşterilerin hesaplarından izinsiz para çekilmesi gibi olaylar yaşandığında, vatandaş bankaya gidiyor, banka sorumluluğu kabul etmiyor, polis ise “teknik” bir mesele olduğu için süreci yavaşlatıyor. E-ticaret siteleri dolandırıcılık olaylarında sorumluluk almıyor. Siber suçların mağdurları, şirketler, kolluk ve hukukun birbirine top atması sonucu çözüm bulamıyor.
Yeni Siber Güvenlik Kanunu Teklifi, bu kaosu çözebilir mi?
Bu soruya cevap aramak için, öncelikle Türkiye’nin mevcut siber güvenlik altyapısının nasıl şekillendiğine ve bu yasa teklifinin neleri değiştireceğine bakmamız gerekiyor.
III. TÜRKİYE’NİN MEVCUT SİBER GÜVENLİK ALTYAPISI
Türkiye’nin siber güvenlik altyapısı, yıllar içinde çeşitli düzenlemeler ve yapılarla şekillenmiş olsa da, halen büyük eksiklikler barındırmaktadır. Mevcut sistemde yetki karmaşası, koordinasyon eksikliği ve güncel tehditlere karşı yetersizlik en önemli sorunlar arasında yer alıyor.
1. Mevcut Düzenleyici Yapılar
Türkiye’de siber güvenlik alanında farklı kurumların yetkileri şu şekilde dağılmış durumda:
- Ulaştırma ve Altyapı Bakanlığı (2012’de kurulan Siber Güvenlik İnisiyatifi),
- BTK (2020’de kurulan Siber Güvenlik Merkezi ve USOM),
- Cumhurbaşkanlığı Dijital Dönüşüm Ofisi,
- Sanayi ve Teknoloji Bakanlığı,
- Milli Savunma Bakanlığı ve MİT (kritik altyapılar ve askeri sistemler için).
Kurum | Görev ve Yetkileri |
Bilgi Teknolojileri ve İletişim Kurumu (BTK) | Elektronik haberleşme altyapısının güvenliği, SOME koordinasyonu. |
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi | Kamu kurumlarının dijital dönüşümü ve siber güvenlik stratejileri. |
Ulaştırma ve Altyapı Bakanlığı | Telekomünikasyon altyapısının güvenliği ve siber tehditlere karşı politika geliştirme. |
Milli İstihbarat Teşkilatı (MİT) | Devlet güvenliğini ilgilendiren siber tehditlerle mücadele. |
Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Dairesi | Siber suçlarla ilgili adli soruşturma yürütme. |
Jandarma Genel Komutanlığı Siber Suçlar Birimi | Kırsal alanlarda siber suçlarla mücadele. |
2. Koordinasyon Sorunu
Mevcut sistemde kurumlar arasında net bir görev dağılımı olmadığı için etkili koordinasyon sağlanamıyor. Örneğin, BTK’nın 2020’de kurduğu Ulusal Siber Olaylara Müdahale Merkezi (USOM) siber tehditleri takip etme ve önleme konusunda önemli bir adım olsa da, özel sektörle iş birliği konusunda yetersiz kaldı.
3. Siber Suçlarla Mücadelede Hukuki Boşluklar
Türkiye’de siber suçlarla ilgili yasal çerçeve şu ana yasalarla şekilleniyor:
- 5651 Sayılı İnternet Kanunu (Daha çok içerik düzenlemeleri odaklı)
- 5809 Sayılı Elektronik Haberleşme Kanunu (BTK’nın yetkilerini tanımlıyor)
- TCK 243-246 Maddeleri (Bilişim suçlarını düzenliyor)
Mevzuat | Kapsamı |
5809 Sayılı Elektronik Haberleşme Kanunu (2008) | Bilgi ve iletişim sektörünü düzenler, BTK’nın yetkilerini belirler. |
5651 Sayılı İnternet Kanunu (2007) | İnternet ortamında işlenen suçlarla mücadeleyi ve erişim engellemeyi düzenler. |
5237 Sayılı Türk Ceza Kanunu (TCK) – Bilişim Suçları | Bilişim sistemlerine yetkisiz erişim, veri hırsızlığı gibi suçları tanımlar ve cezai yaptırımlar içerir. |
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) (2016) | Kişisel verilerin korunması ve işlenmesi için hukuki çerçeve oluşturur. |
4703 Sayılı Ürün Güvenliği ve Teknik Düzenlemeler Kanunu | Siber güvenlik standartlarının belirlenmesine yönelik düzenlemeler içerir. |
Bunların yanı sıra; BTK web sayfasında Ocak 2025’de yayınlanan “Ulusal Siber Güvenliğin Sağlanmasına ve Siber Caydırıcılığın Artırılmasına Yönelik Yönetmelik Taslağı” vardı. Söz konusu yönetmelik taslağı, mevcut yasal çerçeve içinde BTK’nın siber güvenlik yetkilerini detaylandırmayı amaçlıyordu. TELKODER’in endişeleri temel olarak BTK’nın düzenleyici ve denetleyici rollerinin genişlemesi ve bunun sektöre getireceği yükler üzerine odaklanmıştı.
Yeni kanun teklifi, bu yönetmelik taslağını otomatik olarak geçersiz kılacaktır;
Birincisi, kanun teklifi BTK’nın siber güvenlik yetkilerini yeni kurulacak Siber Güvenlik Başkanlığı’na devretmektedir. Teklifin 19. maddesinde, 5809 sayılı Elektronik Haberleşme Kanunu’ndaki BTK’ya siber güvenlik yetkileri veren hükümler kaldırılmaktadır. Bu durumda, BTK’nın siber güvenlik yetkileri üzerine inşa edilmiş bir yönetmelik taslağının geçerliliği kalmayacaktır.
İkincisi, USOM ve Sektörel SOME yapılanması da yeni kanun teklifiyle BTK’dan Siber Güvenlik Başkanlığı’na geçmektedir. Kanun tesiklifinin 5. maddesinde Başkanlığa “SOME’ler kurmak, kurdurmak ve denetlemek” yetkisi verilmektedir.
Bu yasal çerçeve modern siber tehditlere tam anlamıyla cevap veremiyor. Siber güvenlik olaylarında sorumluluk kimin üzerine düşüyor, şirketler hangi yaptırımlara tabi olacak gibi kritik sorular netlik kazanmamış durumda.
IV. SİBER GÜVENLİK KANUNU TEKLİFİ: NE GETİRİYOR?
Yeni Siber Güvenlik Kanunu Teklifi, Türkiye’nin mevcut dağınık siber güvenlik yapısını yeniden organize etmeyi amaçlayan kapsamlı bir düzenleme olarak öne çıkıyor. Bu teklif, kurumsal yeniden yapılanma, yaptırımlar, veri güvenliği, uluslararası işbirliği ve sertifikasyon süreçleri açısından radikal değişiklikler içeriyor.
Teklifin gerekçesinde öne çıkan temel noktaları inceleyelim:
a) Artan Dijitalleşme ve İhtiyaç
Gerekçede, Türkiye’nin dijitalleşme verileri dikkat çekici. İnternet kullanıcıları günde ortalama 7.5 saat internette zaman geçiriyor, 93.3 milyon mobil abone bulunuyor. Bu yaygın dijital kullanım, güvenlik ihtiyacını artırıyor.
b) Değişen Tehdit Ortamı
Kanun gerekçesinde, konvansiyonel savaşların yerini hibrit ve asimetrik savaşlara bıraktığı, devlet destekli siber saldırıların arttığı vurgulanıyor. 2024 verilerine göre, kurumlar haftalık ortalama 1,876 siber saldırıya maruz kalıyor ki bu bir önceki yıla göre %75’lik bir artışı gösteriyor.
c) Merkezi Yapılanma İhtiyacı
Mevcut durumda siber güvenlik yetkileri farklı kurumlar arasında dağılmış durumda (Ulaştırma Bakanlığı, BTK, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi gibi). Kanun, bu dağınık yapıyı merkezi bir otorite altında toplamayı hedefliyor.
Ayrıca yine gerekçede belirtildiği gibi, Türkiye’nin “Rol Model Ülke” kategorisinde yer almasına rağmen gerçek anlamda çatı mevzuat özelliği taşıyan bir siber güvenlik kanununa sahip olmaması da bu düzenlemenin önemli gerekçelerinden biri olarak karşımıza çıkıyor.
Konu | Teklif Öncesi Durum | Yeni Kanun Teklifi ile Gelen Değişiklik |
Merkezi Yönetim | BTK, Dijital Dönüşüm Ofisi, MİT gibi kurumlara dağılmış sorumluluklar. | Siber Güvenlik Başkanlığı adıyla merkezi bir yapı kuruluyor. |
Yetkili Kurumlar | Farklı bakanlıklar ve kurumlar arasında koordinasyon eksikliği. | Siber Güvenlik Kurulu oluşturularak politika belirleme yetkisi veriliyor. |
Kritik Altyapılar | Siber güvenlik gereksinimleri net değil, yaptırımlar sınırlı. | Kritik altyapıların belirlenmesi ve korunmasına yönelik bağlayıcı düzenlemeler getiriliyor. |
Özel Sektör | Özel sektör için zorunlu sertifikasyon yok, güvenlik yükümlülükleri net değil. | Özel sektör siber güvenlik standartlarına uymak zorunda kalıyor, ürün satışları kontrol altına alınıyor. |
Veri Güvenliği | KVKK kapsamında düzenlemeler var ancak siber güvenlik açısından yeterli değil. | Başkanlığa log kayıtlarını toplama ve inceleme yetkisi tanınıyor. |
Cezai Yaptırımlar | TCK ve 5651 sayılı Kanun kapsamında cezalar var, ancak sınırlı. | Siber suçlara yönelik cezalar sertleştiriliyor, hapis ve para cezaları artırılıyor. |
1. Yeni Kurumsal Yapı
Kanun teklifiyle birlikte, Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu gibi iki yeni yapı devreye giriyor:
- Siber Güvenlik Başkanlığı, Cumhurbaşkanlığı’na bağlı olarak çalışacak ve Türkiye’de siber güvenlik politikalarını şekillendirecek.
- Siber Güvenlik Kurulu, ulusal güvenlik çerçevesinde üst düzey yöneticilerin katılımıyla kararlar alacak.
- BTK’nın mevcut siber güvenlik yetkileri kaldırılacak ve Başkanlığa devredilecek.
Teklif ile oluşturulan Siber Güvenlik Başkanlığı geniş yetkilere sahip olacak gibi görünüyor:
•Denetim Yetkisi: Kamu ve özel sektör dahil, tüm kritik altyapıları denetleme yetkisi.
•Veri Toplama Yetkisi: Log kayıtları dahil, siber güvenlik için gerekli gördüğü verileri alabilme hakkı.
•Müdahale Yetkisi: Siber saldırılara karşı yerinde veya uzaktan müdahale yetkisi.
•Zorunlu Standartlar: Siber güvenlik ürün ve hizmetlerinde yerli ve milli çözümlerin teşvik edilmesi.
Kritik nokta: Başkanlık, kamu ve özel sektörden bilgi ve belge talep edebilecek ve bunları en fazla iki yıl süreyle saklayabilecek. Bu düzenleme, kişisel verilerin korunması açısından tartışmalı olabilir. Avrupa’da benzer yetkilere sahip kurumlar var, ancak bağımsız denetim mekanizmalarıyla sınırlandırılmış durumda.
2. Yaptırımlar ve Denetimler
Kanun, ciddi idari ve cezai yaptırımlar öngörüyor:
- Kritik altyapılara yapılan siber saldırılar için 8 ila 12 yıl arasında hapis cezası.
- İdari para cezaları 1 milyon TL’den 100 milyon TL’ye kadar değişebilecek.
- Siber güvenlik denetimleri sıkılaştırılacak, işletmeler düzenli raporlama yapmak zorunda kalacak.
3. Siber Güvenlik Kurulu Üzerinden Yeniden Yapılanma
Aslında, mevcut düzenlemeler kapsamında kurulu bir Siber Güvenlik Kurulu halihazırda var. Ancak, yeni kanun teklifindeki yapı ile arasında önemli farklılıklar bulunuyor. Bu farklılıkları detaylı olarak inceleyelim:
a) Kurulun Yapısı ve Üyelik
Mevcut durumda Siber Güvenlik Kurulu, 2012 yılında Bakanlar Kurulu kararıyla kurulmuş ve 2014’te yasal statüsü 5809 sayılı kanuna eklenen madde ile güncellenmiştir. Yeni teklifte ise Kurul çok daha üst düzey bir yapıya kavuşturuluyor.
Yeni teklifte Kurul’un üyeleri açıkça belirtiliyor: Cumhurbaşkanı (başkan), Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, MGK Genel Sekreteri, MİT Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanı. Bu yapı, siber güvenliğin ulusal güvenliğin ayrılmaz bir parçası olarak görüldüğünü gösteriyor.
b) Yetki ve Sorumluluklar
Mevcut durumda Kurul’un görevi daha çok koordinasyon ve onay makamı olarak tanımlanmış: “kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler tarafından alınacak önlemleri belirlemek, hazırlanan plan, program, rapor, usul, esas ve standartları onaylamak”
Yeni teklifte Kurul’un yetkileri genişletiliyor ve netleştiriliyor:
- Siber güvenlikle ilgili politika, strateji ve eylem planlarını belirlemek,
- Teknoloji yol haritasını onaylamak,
- Kritik altyapı sektörlerini belirlemek,
- Teşvik verilecek öncelikli alanları belirlemek,
- Kurumlar arası ihtilafları çözmek.
c) Kurumsal Yapılanma
En önemli fark, yeni teklifin Siber Güvenlik Başkanlığı adında yeni bir kurum oluşturması. Mevcut yapıda BTK ve USOM üzerinden yürütülen operasyonel faaliyetler, yeni yapıda bu Başkanlık altında toplanıyor.
d) USOM ve SOME Yapılanması
Mevcut durumda USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve SOME’ler (Sektörel/Kurumsal Siber Olaylara Müdahale Ekipleri) BTK koordinasyonunda çalışıyor. Yeni teklifte bu yapı Siber Güvenlik Başkanlığı’na bağlanıyor ve yetkileri genişletiliyor.
e) Yaptırım Gücü
Mevcut yapıda doğrudan bir yaptırım mekanizması bulunmuyor. Yeni teklifte ise ciddi idari ve cezai yaptırımlar getiriliyor. Örneğin, siber saldırılara 8-12 yıl hapis cezası, yükümlülüklerin yerine getirilmemesi durumunda 100 milyon TL’ye varan idari para cezaları öngörülüyor. Türk Ceza Kanunu’na (TCK) ek olarak siber suçlarla ilgili yeni getirilen maddeler;
•Veri sızıntısı veya siber saldırı gerçekleştirenlere 3-15 yıl arasında hapis cezası.
•Denetimi engelleyenlere 1-3 yıl hapis cezası.
•Siber güvenlik düzenlemelerine uymayan kurumlara 1-100 milyon TL arasında idari para cezası.
Dikkat çeken bir nokta, “veri sızıntısı olmadığı halde sızıntı varmış gibi algı oluşturma” suçu eklenmiş. Bu ifade muğlak ve medya özgürlüğü açısından risk taşıyor. Örneğin, bir gazetecinin veri güvenliği konusunda eleştirel bir haber yapması bu maddeye göre suç sayılabilir.
Özellik | Mevcut Siber Güvenlik Kurulu (2012-2024) | Yeni Siber Güvenlik Kurulu ve Başkanlık (Teklif) |
Bağlı Olduğu Makam | Ulaştırma ve Altyapı Bakanlığı | Cumhurbaşkanlığı |
Yetkileri | Tavsiye niteliğinde kararlar alır, bağlayıcılığı yoktur. | Bağlayıcı karar alma yetkisi var, zorunlu politikalar belirliyor. |
Denetim Yetkisi | BTK üzerinden denetim yapabiliyordu, kapsam sınırlıydı. | Siber Güvenlik Başkanlığı denetim yapacak, siber güvenlik ürünleri ve altyapılar kontrol altında olacak. |
Özel Sektör Etkisi | Özel sektör için zorlayıcı düzenleme yoktu. | Siber güvenlik şirketlerine sertifikasyon zorunluluğu getiriliyor, ürün satışları Başkanlık onayına tabi olacak. |
Kritik Altyapılar | Tanımlama ve koruma mekanizması zayıftı. | Kritik altyapılar tanımlanacak ve zorunlu güvenlik önlemleri uygulanacak. |
Cezai Yaptırımlar | TCK ve 5651 çerçevesinde kısıtlıydı. | Siber suçlara yönelik cezalar ağırlaştırılıyor (3-15 yıl hapis, yüksek para cezaları). |
Değişimin özünde yetkilerin bir “üst kurula devri” değil, aslında tüm siber güvenlik ekosisteminin yeniden yapılandırılması var:
- Yeni Siber Güvenlik Kurulu müsteşar seviyesinden Cumhurbaşkanı başkanlığında bakan seviyesine yükseltiliyor. Bu, siber güvenliğin devlet yönetiminde çok daha üst düzeyde ele alınacağını gösteriyor.
- Yeni oluşturulacak Siber Güvenlik Başkanlığı, şu anda BTK ve Bakanlık arasında dağılmış olan operasyonel yetkileri tek çatı altında topluyor. Bu kurum, USOM ve SOME yapılanmalarını, denetim yetkilerini, standart belirleme görevlerini üstleniyor.
- BTK’nın siber güvenlikle ilgili mevcut yetkileri (örneğin 5809 sayılı Kanun’un 6. maddesindeki yetkiler) yeni Başkanlığa devrediliyor. Ancak bu basit bir yetki devri değil – yeni Başkanlık çok daha geniş yetkilerle donatılıyor.
Dolayısıyla yeni teklifle yapılan değişiklik, basit bir “yetki devri” değil, siber güvenlik yönetişiminin tamamen yeniden tasarlanmasıdır. Bu yeni tasarımda BTK’nın mevcut yetkileri daha güçlü bir kuruma devrediliyor, ancak bu yeni kurum sadece BTK’nın yetkilerini değil, şu anda farklı kurumlara dağılmış tüm siber güvenlik yetkilerini tek çatı altında topluyor.
Yeni Siber Güvenlik Kanunu Teklifi, Türkiye’nin 2024-2028 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı ile büyük ölçüde örtüşüyor. Ancak bazı alanlarda farklılaşmalar ve odak kaymaları da mevcut;
Konu | Ulusal Strateji Belgesi (2024-2028) | Siber Güvenlik Kanun Teklifi | Uyum Durumu |
Merkezi Yapı | Koordinasyon artırılmalı | Siber Güvenlik Başkanlığı kuruluyor | ✅ Uyumlu |
Kritik Altyapı Güvenliği | Kritik altyapı güvenliği artırılmalı | Kritik altyapılar tanımlanıyor ve korunuyor | ✅ Uyumlu |
Caydırıcılık ve Yaptırımlar | Siber suçlar için caydırıcılık artırılmalı | Hapis ve para cezaları artırılıyor | ✅ Uyumlu |
Yerli ve Milli Teknolojiler | Yerli ürünler teşvik edilmeli | Siber güvenlik ürünlerinin ihracatı kontrol ediliyor | ✅ Uyumlu |
Proaktif Savunma | Tehdit izleme ve erken uyarı sistemleri geliştirilmeli | Başkanlığa geniş denetim ve izleme yetkisi veriliyor | ✅ Uyumlu |
Denetim ve Şeffaflık | Denetimler şeffaf olmalı | Denetim süreçleri belirsiz | ❌ Eksik |
Uluslararası İş Birliği | Türkiye küresel marka olmalı | Uluslararası iş birlikleri net değil | ❌ Eksik |
Siber Güvenlik Eğitimi | İnsan kaynağı artırılmalı | Eğitim teşvikleri net değil | ❌ Eksik |
V. AB VE DİĞER ÜLKELERLE KARŞILAŞTIRMA
Yeni Siber Güvenlik Kanunu Teklifi, Türkiye’nin siber güvenlik ekosistemini yeniden şekillendirirken uluslararası modellerle kıyaslandığında belirgin farklılıklar ve benzerlikler taşıyor. Ancak, AB’nin ENISA modeli doğrudan ulusal bir yapıya tekabül etmediği için, mukayeseyi AB üye ülkelerindeki ulusal siber güvenlik otoriteleriyle yapmak daha doğru olacaktır. Bu nedenle, Fransa, Almanya ve İngiltere gibi ülkelerin siber güvenlik organizasyonları ile Türkiye’nin yeni düzenlemeleri karşılaştırıldığında dikkat çekici farklılıklar ortaya çıkmaktadır.
1. Avrupa Ülkeleri Modeli: Fransa, Almanya ve İngiltere
Avrupa Birliği’ne üye ülkeler, siber güvenlik alanında genellikle merkezi bir ulusal otorite üzerinden hareket etmektedir. Ancak, bu otoriteler genellikle diğer devlet kurumları ve özel sektör ile iş birliği içinde çalışan, düzenleyici ve yönlendirici bir rol üstlenmektedir. Öne çıkan bazı örnekler şunlardır:
- Fransa: Ulusal Siber Güvenlik Ajansı – ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), ulusal düzeyde siber güvenliği sağlayan temel kuruluştur. Ancak, yaptırım yetkisi sınırlıdır ve özel sektörle iş birliği odaklıdır.
- Almanya: Federal Bilgi Güvenliği Ofisi – BSI (Bundesamt für Sicherheit in der Informationstechnik), siber güvenlik düzenlemelerini belirleyen bir devlet ajansıdır, ancak uygulama ve yaptırım konusunda geniş yetkilere sahip değildir.
- İngiltere: Ulusal Siber Güvenlik Merkezi – NCSC (National Cyber Security Centre), hem kamu hem de özel sektörle yakın iş birliği içinde çalışarak rehberlik sağlarken, doğrudan bir yaptırım gücü yerine koordinasyon ve destek mekanizmaları sunmaktadır.
Türkiye’nin Siber Güvenlik Kanunu Teklifi ile Avrupa’daki ulusal otoriteler arasındaki farklar şu şekildedir:
Özellik | Fransa (ANSSI) | Almanya (BSI) | İngiltere (NCSC) | Türkiye Siber Güvenlik Kanunu Teklifi |
Kurumsal Yetki | Yönlendirici ve destekleyici | Düzenleyici ama yaptırım yetkisi sınırlı | Özel sektörle iş birlikçi, rehberlik sunuyor | Tek bir otorite altında toplanan merkezi bir sistem |
Özel Sektör İş Birliği | Yüksek | Orta | Çok yüksek | Sınırlı, işletmelere yükümlülük odaklı |
Denetim ve Yaptırımlar | Yaptırımlar sınırlı | Düzenleyici ancak doğrudan yaptırım gücü yok | Daha çok teşvik edici mekanizmalar sunuyor | Ağır idari yaptırımlar ve cezalar öngörülüyor |
Uluslararası İş Birliği | AB ile tam uyumlu | AB ile tam uyumlu | NATO ve Five Eyes entegrasyonu | AB ve NATO ile entegrasyon konusunda belirsizlikler var |
Bu karşılaştırma gösteriyor ki, Türkiye’nin yeni siber güvenlik modeli, Avrupa’daki ülkelere kıyasla daha merkeziyetçi ve devlet kontrolü ağırlıklı bir yapıyı öngörmektedir. Avrupa ülkelerinde siber güvenlik, genellikle özel sektörle ortak yürütülen, teşvik edici ve yönlendirici mekanizmalarla şekillendirilirken, Türkiye’de ağır yaptırımlara ve doğrudan devlet kontrolüne dayalı bir model tercih edilmiştir.
2. ABD Modeli: NSA ve Siber Güvenlik Stratejisi
ABD’de siber güvenlik politikaları genellikle Ulusal Güvenlik Ajansı (NSA), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI) gibi kurumlar tarafından yürütülüyor. Ana özellikler şunlardır:
- Savunma ve saldırı odaklı yaklaşım: NSA, sadece siber güvenliği sağlamakla kalmıyor, aynı zamanda siber saldırılar düzenleyerek istihbarat toplama görevini de yürütüyor.
- Özel sektör ile yakın iş birliği: ABD’de büyük teknoloji firmaları, finans sektörü ve hükümet arasında sıkı bir koordinasyon bulunuyor.
- Kritik altyapılara özel düzenlemeler: ABD, enerji, sağlık, finans gibi kritik sektörlere yönelik ayrı ayrı siber güvenlik standartları belirliyor.
Türkiye’nin teklifi ile ABD modeli kıyaslandığında bazı benzerlikler ve farklılıklar şunlardır:
Özellik | ABD Modeli (NSA & CISA) | Türkiye Siber Güvenlik Kanunu Teklifi |
Kurumsal Yetki | NSA/CISA düzenleyici, operasyonel roller farklı kurumlarda | Tüm yetkiler Siber Güvenlik Başkanlığı’nda toplanıyor |
Özel Sektör İş Birliği | Büyük teknoloji firmaları ile doğrudan koordinasyon | Özel sektör üzerindeki yükümlülükler katı, iş birliği mekanizması belirsiz |
Uluslararası Etkileşim | NATO ve Five Eyes iş birliği ağı | Türkiye’nin uluslararası iş birlikleri sınırlı |
Bu kıyaslamalara göre, Türkiye’nin modelinin daha merkeziyetçi ve devlet kontrolü ağırlıklı olduğu görülmektedir. Avrupa’daki modeller iş birlikçi ve teşvik edici, ABD modeli ise güvenlik ve istihbarat odaklı iken, Türkiye’nin teklifi ağır yaptırımlar ve merkezi denetim mekanizmaları içermektedi.
Özellikle Avrupa’daki ulusal siber güvenlik otoritelerinin rehberlik ve koordinasyon rolüne odaklanırken, Türkiye’nin modelinin ağır yaptırımlara ve sıkı devlet kontrolüne dayanması, özel sektörle iş birliği konusunda zorluklar yaratabilir. Daha dengeli ve uygulanabilir bir çerçeve için uluslararası iyi uygulamalardan ilham alınarak kanun teklifinde bazı revizyonlara gidilmesi önem taşımaktadır.
VI. DEMOKRATİK HUKUK DEVLETİ PERSPEKTİFİNDEN DEĞERLENDİRME
Siber güvenlik, devletlerin ulusal güvenlik politikalarının merkezine yerleşirken, bireysel hak ve özgürlükler ile devletin güvenlik politikaları arasındaki dengeyi korumak giderek daha karmaşık hale geliyor. Türkiye’nin Siber Güvenlik Kanunu Teklifi, güvenliği güçlendirme iddiası taşırken, bazı yönleriyle demokratik denetim mekanizmaları, kişisel verilerin korunması ve özel sektör üzerindeki etkileri açısından eleştiriye açık bir yapı sunuyor. Bu bölümde, teklifin potansiyel riskleri ve eksik yönleri ele alınarak demokratik hukuk devleti ilkeleri ışığında bir değerlendirme yapılacaktır.
1. Yetki Yoğunlaşması ve Demokratik Denetim Eksikliği
Kanun teklifi, Siber Güvenlik Başkanlığı’na geniş ve güçlü yetkiler tanıyor. Başkanlık, kritik altyapıları denetleme, yaptırım uygulama, veri toplama ve inceleme yetkisine sahip olacak. Ancak, bu yetkilerin denetimi ve hesap verilebilirliği konusunda belirgin mekanizmalar öngörülmemiş durumda. Demokratik hukuk devletlerinde, böylesine güçlü yetkilere sahip bir kurumun bağımsız denetim organları tarafından izlenmesi gerekmektedir.
- Sorun: Başkanlık doğrudan Cumhurbaşkanlığı’na bağlı olacak ve yargı denetimi dışında kalan işlemler yapabilecek mi?
- Öneri: TBMM veya bağımsız bir siber güvenlik denetleme kurulu oluşturularak hesap verilebilirlik mekanizmalarının güçlendirilmesi sağlanmalı.
2. Kişisel Verilerin Korunması ve Gözetim Endişesi
Teklifin 6. ve 7. maddeleri, başkanlığa geniş çapta veri toplama ve inceleme yetkileri veriyor. Bu durum, kişisel verilerin korunması açısından büyük soru işaretleri doğuruyor. AB’de, GDPR gibi sıkı veri koruma düzenlemeleri bulunurken, Türkiye’deki kanun teklifinde veri güvenliğini sağlayacak mekanizmalar yetersiz.
- Sorun: Başkanlık, veri saklama süreleri, hangi kurumlarla paylaşılacağı ve hangi durumlarda kullanılacağı konusunda şeffaf olmayan yetkilere sahip.
- Öneri: Kişisel Verileri Koruma Kurumu’nun (KVKK) rolü güçlendirilmeli, Başkanlığın veri erişim yetkileri sınırlandırılmalı ve bağımsız bir gözetim mekanizması oluşturulmalıdır.
3. Özel Sektör Üzerindeki Yük ve Rekabet Endişesi
Teklif, siber güvenlik önlemlerini sıkılaştırırken, özellikle özel sektör üzerindeki yükleri artırıyor. Küçük ve orta ölçekli işletmeler için yeni yükümlülükler getiriliyor:
- Zorunlu siber güvenlik sertifikaları
- Sürekli denetimler ve yaptırım tehdidi
- Uluslararası siber güvenlik standartlarıyla uyum konusundaki belirsizlikler
Bu durum, özellikle küçük işletmelerin rekabet gücünü zayıflatabilir ve büyük şirketlere daha fazla avantaj sağlayabilir. Özel sektörle daha fazla iş birliği yapılmadan düzenleyici baskının artırılması, ekonomik sürdürülebilirlik açısından risk oluşturabilir.
- Sorun: Özellikle küçük işletmeler için denetim süreçleri ve sertifikasyon maliyetleri büyük bir yük haline gelebilir.
- Öneri: İşletme büyüklüğüne göre kademeli uyum süreçleri oluşturulmalı ve özel sektörle daha fazla diyalog sağlanmalıdır.
4. İdari Para Cezalarının Baskı Unsuru Haline Gelme Riski
Teklif, siber güvenlik kurallarına uymayan işletmelere yönelik idari para cezalarını önemli ölçüde artırıyor. Mevcut düzenlemede 1 milyon TL ile 100 milyon TL arasında değişen idari para cezaları öngörülüyor. Bu cezaların hangi kriterlere göre belirleneceği konusunda belirsizlikler bulunuyor.
- Sorun: Aşırı yüksek cezalar, belirsiz düzenlemeler nedeniyle şirketler üzerinde keyfi baskı unsuru haline gelebilir.
- Öneri: Cezai yaptırımların net kriterlere bağlanması ve hukuk devleti ilkeleri çerçevesinde orantılı olması sağlanmalıdır.
5. Yargısal Denetim ve Hukuki Güvenceler
Teklifin en büyük eksiklerinden biri, yargısal denetimin sınırlarının belirsiz olmasıdır. Örneğin, Siber Güvenlik Başkanlığı’nın vereceği kararların idari yargı tarafından ne ölçüde denetlenebileceği net değildir.
- Sorun: Başkanlık yetkileri konusunda bireysel başvurular ve hak arama yolları belirsiz bırakılmış.
- Öneri: Başkanlık kararlarının yargısal denetime açık olması sağlanmalı ve bireylerin itiraz mekanizmaları güçlendirilmelidir.
Sonuç olarak, Siber Güvenlik Kanunu Teklifi, güvenliği sağlamak adına geniş yetkiler ve ağır yaptırımlar getirirken, bireysel hak ve özgürlükler ile özel sektör üzerindeki etkileri açısından bazı riskler barındırıyor. Demokratik hukuk devleti ilkeleri çerçevesinde yetkilerin sınırlandırılması, denetim mekanizmalarının güçlendirilmesi ve özel sektör üzerindeki yüklerin azaltılması için revizyonlar yapılmalıdır.
VII. SEKTÖR VE UYGULAMA BOYUTU
Siber güvenlik alanında çıkarılan yasaların sadece teorik bir çerçeve sunması yeterli değildir. Gerçek dünya uygulamaları ve sektör üzerindeki etkileri, yasanın başarısını belirleyen en önemli unsurlardan biridir. Türkiye’nin yeni Siber Güvenlik Kanunu Teklifi, özel sektör, kamu kurumları ve bireyler açısından önemli yükümlülükler ve dönüşümler getirmektedir. Bu bölümde, teklifin uygulama süreci, sektörel etkileri ve uygulanabilirlik açısından karşılaşılabilecek zorluklar değerlendirilecektir.
1. Telekomünikasyon ve İnternet Servis Sağlayıcıları (İSS’ler) Üzerindeki Etkiler
Siber güvenlik düzenlemeleri, doğrudan telekomünikasyon ve internet servis sağlayıcılarını (İSS) ilgilendiren hükümler içermektedir. Teklif, İSS’lere yeni yükümlülükler getirirken, bazı konularda uygulama belirsizlikleri barındırmaktadır:
- Zorunlu siber güvenlik önlemleri: Teklif, tüm İSS’lerin belirli siber güvenlik standartlarına uymasını zorunlu kılıyor. Ancak bu standartların hangi kriterlere dayanacağı net değil.
- Log kaydı saklama yükümlülüğü: İSS’ler, belirli bir süre boyunca internet kullanıcılarının verilerini saklamakla yükümlü olacak. Bu, hem kişisel veri mahremiyeti açısından tartışmalı hem de operasyonel maliyetleri artırıcı bir düzenleme.
- Denetimler ve yaptırımlar: BTK’nın yetkilerinin devredildiği Siber Güvenlik Başkanlığı, İSS’ler üzerinde sıkı denetimler yapabilecek. Ancak denetim kriterleri belirsiz olduğu için sektörde belirsizlik yaratabilir.
Öneri: Yasa metnine, İSS’ler için uygulanabilir ve net uyumluluk kriterleri eklenmeli, özel sektörle istişare süreçleri oluşturulmalıdır.
2. Kritik Altyapı İşletmeleri ve Kamu Kurumları
Yeni yasa, kritik altyapıları işleten kamu ve özel sektör kurumlarına da yeni yükümlülükler getirmektedir:
- Enerji, finans, sağlık, ulaşım gibi sektörlerde faaliyet gösteren kuruluşlar, siber güvenlik risk analizleri yapmak ve belirlenen güvenlik önlemlerini uygulamak zorunda kalacak.
- Bu sektörlerde meydana gelen siber saldırılar, Başkanlık’a bildirilmek zorunda olacak.
- Kritik altyapılarda kullanılan siber güvenlik ekipmanlarının yerli ve milli olmasına yönelik teşvikler getiriliyor.
Ancak, bu süreçlerin nasıl yürütüleceği, ne tür sertifikasyonlar gerekeceği ve kurumların finansal destek alıp almayacağı netleştirilmemiş durumda.
Öneri: Özellikle kritik altyapılar konusunda, sektör temsilcileri ile iş birliği içinde sektörel bazda yol haritaları oluşturulmalı ve altyapı güvenliğini artırıcı teşvik mekanizmaları geliştirilmelidir.
3. Özel Sektör ve KOBİ’ler Üzerindeki Etkiler
Yasanın en büyük etkilerinden biri, KOBİ’ler ve özel sektör şirketleri üzerinde olacaktır. Siber güvenlik, büyük şirketler için yönetilebilir bir operasyon olsa da, küçük ve orta ölçekli işletmeler için büyük bir mali yük haline gelebilir:
- Zorunlu SOME (Siber Olaylara Müdahale Ekibi) kurma gerekliliği: Küçük işletmelerin böyle bir yapıyı sürdürebilmesi maliyetli olabilir.
- Siber güvenlik sertifikasyon süreçleri: Küçük işletmelerin, siber güvenlik gerekliliklerine uyum sağlaması için ek yatırımlar yapması gerekecek.
- Denetim ve yaptırımlar: Küçük ölçekli işletmelere yönelik ağır idari para cezaları, iş yapmayı zorlaştırabilir.
Öneri: Küçük ölçekli işletmelere kademeli geçiş süreci tanınmalı, ortak SOME kurulmasına olanak tanıyan esnek düzenlemeler getirilmelidir.
4. Siber Güvenlik Eğitim ve İnsan Kaynağı Boyutu
Türkiye’de nitelikli siber güvenlik uzmanı açığı, yıllardır dile getirilen bir sorundur. Yeni yasa, insan kaynağı oluşturma hedefi taşısa da, bunu nasıl sağlayacağı konusunda detaylar belirsizdir.
- Yeni Siber Güvenlik Başkanlığı, uzman personel yetiştirme sorumluluğu üstlenecek ancak bunun hangi mekanizmalarla yapılacağı belirtilmemiş.
- Üniversitelerde siber güvenlik bölümlerinin teşvik edilmesi gibi politikalar içermiyor.
- Özel sektörle iş birliği içinde eğitim programlarının geliştirilmesi teşvik edilmemiş.
Öneri: İnsan kaynağı eksikliğini gidermek için üniversiteler, özel sektör ve kamu iş birliği ile siber güvenlik eğitimleri artırılmalı, staj ve istihdam destek mekanizmaları oluşturulmalıdır.
5. Uluslararası Uygulama ile Uyumluluk Sorunu
Türkiye’nin siber güvenlik düzenlemelerinin AB ve diğer uluslararası standartlarla ne kadar uyumlu olduğu, yasaların uygulanabilirliği açısından büyük önem taşımaktadır. Yeni teklif, uluslararası iş birlikleri ve standartlarla entegrasyon konusunda eksiklikler barındırıyor:
- AB’nin Siber Güvenlik Yasası (Cybersecurity Act) ve NIS Direktifi ile doğrudan bir uyumluluk hedeflenmemiş.
- Türkiye’nin NATO ve diğer siber güvenlik iş birliklerine nasıl entegre olacağı konusunda net bir çerçeve yok.
- Özellikle veri transferleri ve küresel siber güvenlik standartlarına uyum açısından belirsizlikler mevcut.
Öneri: Yasa, AB’nin ve diğer uluslararası kurumların standartları ile uyumlu hale getirilmeli ve uluslararası iş birlikleri konusunda detaylı stratejiler geliştirilmelidir.
Sonuç olarak, Siber Güvenlik Kanunu Teklifi’nin sektöre olan etkileri kapsamlı ve çok boyutludur. Ancak, uygulama süreçleri, özel sektör üzerindeki etkileri ve uluslararası entegrasyon eksiklikleri dikkate alındığında, bazı revizyonlara ihtiyaç duyulmaktadır.
VIII. SONUÇ VE ÖNERİLER
Türkiye’nin Siber Güvenlik Kanunu Teklifi, dijital çağın en büyük güvenlik risklerinden biri olan siber saldırılara karşı bütüncül bir yasal çerçeve oluşturmayı amaçlıyor. Ancak, yapılan analizler, teklifin bazı kritik eksiklikler ve riskler barındırdığını gösteriyor. Bu nedenle, teklifin uygulanabilirliği, etkisi ve sürdürülebilirliği açısından belirli revizyonlara ihtiyaç duyulmaktadır.
1. Güçlü Yönler
Teklifin getirdiği bazı olumlu yönler şunlardır:
- Merkezi bir siber güvenlik yönetimi sağlanıyor: Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu’nun oluşturulmasıyla kurumsal yetki karmaşasının önüne geçilmesi hedefleniyor.
- Kritik altyapılar korunuyor:Enerji, sağlık, finans gibi kritik sektörlerde siber güvenlik önlemleri sıkılaştırılarak ulusal güvenlik açısından önemli adımlar atılıyor.
- Sertifikasyon ve standartlar getiriliyor: Siber güvenlik ürünlerinin sertifikalandırılması ve belirli güvenlik kriterlerine bağlanması sektörde kalite standartlarını artırabilir.
- Siber suçlara karşı caydırıcı yaptırımlar geliyor: 8-12 yıl hapis cezaları ve 100 milyon TL’ye varan para cezaları, saldırganlar üzerinde caydırıcı bir etki yaratabilir.
2. Zayıf Yönler ve Riskler
Ancak teklifin uygulanabilirliği açısından bazı zayıf yönler ve riskler de bulunmaktadır:
- Yetki yoğunlaşması ve demokratik denetim eksikliği: Başkanlık’a verilen geniş yetkiler, bağımsız bir denetim mekanizması olmadan uygulandığında keyfi karar alma riskini artırabilir.
- Özel sektör üzerindeki ağır yükler:Küçük ve orta ölçekli işletmeler için getirilen zorunlu SOME kurma, yüksek maliyetli denetimler ve sertifikasyon süreçleri, işletmelerin rekabet gücünü düşürebilir.
- Kişisel verilerin korunması konusundaki belirsizlikler: Kanun teklifi, kişisel veri güvenliği ve mahremiyetle ilgili yeterli güvenceleri sağlamıyor. Veri toplama yetkilerinin genişletilmesi, bireysel hak ihlalleri riskini doğurabilir.
- Uluslararası uyumluluk eksikliği: Türkiye’nin siber güvenlik çerçevesi, AB ve diğer uluslararası standartlarla yeterince entegre değil. Bu durum, küresel iş birliklerini ve ticareti olumsuz etkileyebilir.
- İdari para cezalarının keyfi uygulanma riski: Şirketler üzerinde ağır para cezaları bir baskı unsuru haline gelebilir, hukuk devleti ilkelerine uygun olmayan bir denetim rejimi oluşturabilir.
3. Öneriler
Yasanın daha dengeli, uygulanabilir ve sürdürülebilir olması için aşağıdaki öneriler dikkate alınmalıdır:
- Yetki ve denetim mekanizmaları güçlendirilmelidir: Siber Güvenlik Başkanlığı’nın yetkileri TBMM veya bağımsız bir denetim kurumu tarafından izlenmelidir.
- Özel sektör üzerindeki yükler azaltılmalıdır: Küçük ve orta ölçekli işletmeler için daha kademeli ve esnek yükümlülükler getirilmelidir.
- Kişisel verilerin korunması güvence altına alınmalıdır: KVKK ile koordinasyon sağlanmalı ve veri erişimi şeffaf mekanizmalara bağlanmalıdır.
- Uluslararası standartlarla uyumluluk sağlanmalıdır: AB’nin NIS Direktifi ve Siber Güvenlik Yasası ile daha fazla entegrasyon sağlanmalıdır.
- İdari cezalar adil ve ölçülü hale getirilmelidir: Ceza mekanizmaları orantılı ve hukuk devleti ilkelerine uygun hale getirilmelidir.
- İnsan kaynağı ve eğitim süreçleri güçlendirilmelidir:Üniversitelerde siber güvenlik bölümlerinin teşvik edilmesi ve kamu-özel sektör iş birliğiyle nitelikli uzman yetiştirilmesi sağlanmalıdır.
4. Son Söz: Yasa Ne Kadar Başarılı Olabilir?
Yeni Siber Güvenlik Kanunu Teklifi, Türkiye’nin siber güvenlik altyapısını güçlendirmek için önemli bir fırsat sunuyor. Ancak, hızlı ve sert düzenlemeler yerine, sektörle birlikte kademeli olarak uygulanabilir reformlar yapılması gerekmektedir.
Eğer yukarıda belirtilen eksiklikler giderilirse, yasa Türkiye’nin dijital geleceğini güvence altına alabilir ve uluslararası rekabet gücünü artırabilir. Ancak, eğer revize edilmeden uygulanırsa, Türkiye’nin dijital geleceğini güçlendirmek yerine merkeziyetçi bir gözetim mekanizması yaratma riski taşıyor. Bu nedenle, denetim mekanizmalarının bağımsız hale getirilmesi, özel sektörle daha fazla iş birliği sağlanması ve kişisel verilerin korunması için şeffaf bir çerçevenin oluşturulması zorunludur.
Siber güvenlik, sadece devletin kontrolü altında şekillendirilmesi gereken bir alan değildir. Etkili bir siber güvenlik politikası; devlet, özel sektör, akademi ve sivil toplumun ortak çabasıyla mümkün olabilir. Eğer yeni kanun, bu çok paydaşlı yapıyı göz ardı ederse, uzun vadede siber tehditlere karşı daha kırılgan bir yapı ortaya çıkabilir.
Bu noktada, en kritik soru şu: Türkiye, siber güvenliği sağlarken bireysel hak ve özgürlükleri ne kadar koruyabilecek? Bu sorunun cevabı, yasanın nasıl uygulandığına ve ne tür denetim mekanizmalarının oluşturulduğuna bağlı olacaktır.1. Siber Güvenlik günümüzün en önemli konusu ve bu konuda bir yasa çıkarılması iyi olabilir tabii ki… Siz bu kanunun gerekçesini nasıl değerlendiriyorsunuz?
Siber güvenlik yasası çıkarmak elbette gerekli ve kaçınılmaz. Kanun gerekçesine baktığımızda, siber saldırıların artışı, kritik altyapıların korunması ihtiyacı, küresel tehditlerin değişen doğası gibi tüm dünyanın kabul ettiği argümanlarla desteklenmiş. Bu yönüyle oldukça yeterli ve sağlam bir gerekçe sunulmuş. Ancak, bir yasa çıkarırken sadece gerekçenin güçlü olması yetmez; uygulamada nasıl bir yapı kurulacağı, hesap verebilirlik mekanizmalarının ne kadar sağlıklı işleyeceği de belirleyici olacaktır.
Bu noktada en büyük soru şudur: Gerekçe ne kadar sağlam olursa olsun, yasanın uygulanabilirliği nasıl olacak?
2. Kişisel verilerin çalındığı, hesaplardan habersiz kredi çekildiği olaylar giderek artıyor. E-ticaret, bankalar, internet servis sağlayıcıları arasında yetki dağınıklığı olduğu açık. Bu yasa bu boşluğu doldurabilir mi? Vatandaşın siber güvenliğini sağlar mı?
Kanun teklifinin yetki karmaşasını azaltarak koordinasyonu artırması olumlu. Ancak burada eşgüdüm nasıl sağlanacak? Çünkü siber suçların önlenmesinde en zayıf halka hâlâ hukuki süreçler ve adalet mekanizması.
Bugün savcıların büyük çoğunluğu siber suçları ciddiye almıyor, çoğu dosyada ‘kovuşturmaya yer olmadığı’ kararı vererek suçların kapsamını daraltıyor. Bu da siber suç oranlarının artmasına ve vatandaşın güvensizlik duymasına neden oluyor. Dolayısıyla Adalet Bakanlığı’nın ve yargının bu sistemin bir parçası hâline gelmesi sağlanmazsa, yasa ne kadar iyi olursa olsun siber güvenlik anlamında büyük bir eksiklik olacaktır.
3. Türkiye’de 2012’de Ulaştırma Bakanlığı altında “Siber Güvenlik İnisiyatifi” ve 2020’de BTK bünyesinde “Siber Güvenlik Merkezi” kuruldu. Ancak, etkili oldukları söylenemez. Yeni kurulan Siber Güvenlik Başkanlığı, bu önceki başarısız girişimlerden farklı olabilir mi? Başarılı olabilir mi?
Türkiye’de siber güvenlikle ilgili önceki yapıların genellikle reaktif (tepki veren) olduğu, önleyici (proaktif) olamadığı açık. Daha çok “güncellemeleri takip edip yamaları duyurma” işlevi gördüler. Oysa gerçek siber güvenlik tehditleri önceden tespit etmek ve önlemekten geçiyor.
Yeni kurulan Siber Güvenlik Başkanlığı’nın temel farkı, yetkilerin tek elde toplanması ve devletin en üst kademesinde konumlanması. Ancak farkındalık ve uygulama önemli.
Bu kurum, yeni bir bürokratik mekanizma yaratmaktan öteye geçebilir mi? Bu, kurumun bağımsızlığına, bütçesine, uzman kadrosuna ve özel sektörle iş birliğine bağlı olacak. Bugüne kadar yapılan hatalardan ders çıkarılmazsa, bu yapı da başarısız olmaya mahkûm olur.
4. Siber Güvenlik Başkanlığı’nın yetkilerini nasıl değerlendiriyorsunuz?
Yetkileri aşırı geniş ve merkezi bir yapı kuruluyor. Başkanlık, denetim, veri erişimi, yaptırım uygulama gibi çok geniş yetkilere sahip olacak. Bu modelin demokratik hesap verebilirlik mekanizmalarıyla desteklenmesi şart.
Siber güvenlik çok önemli bir konu ama devletin bu alanda aşırı geniş yetkilere sahip olması, bireysel özgürlükler ve denetim açısından ciddi riskler taşıyor.
5. Siber Güvenlik Kurulu hakkında ne düşünüyorsunuz?
Kurulun tamamen yürütme organının (Cumhurbaşkanlığı) kontrolü altında olması, denge-denetleme mekanizmalarının zayıf olduğunu gösteriyor. Kurulun içinde akademik çevreler, bağımsız uzmanlar ve STK’ların da yer alması sağlanmalıydı. Bu haliyle devlet içi bir iç koordinasyon organı olmaktan öteye geçmiyor.
6. 6. ve 7. maddelerde BTK’nın daha önce düzenlediği konuların, Siber Güvenlik Başkanlığı’na geçtiğini görüyoruz. Log ve abone desenleriyle ilgili Telkoder’in açtığı davalarda son durum nedir?
Ne yazık ki Danıştay, açılan davayı reddetti. Biz de Anayasa Mahkemesi’ne bireysel başvuru yaptık.
Şu an yaşanan şey, BTK’da zaten bulunan geniş çaplı veri ve logların, şimdi de Siber Güvenlik Başkanlığı’na aktarılmasıdır. Bu, aşırı merkezi bir veri kontrolü yaratıyor ve denetimsiz bir devlet gözetim mekanizmasına kapı açıyor. Bu sorun çözülmeden yeni sisteme aktarılmamalı.
7. 6. ve 7. maddeler bir tür “yasal zemin oluşturma” anlamına mı geliyor? Snowden olayını hatırlarsak, kişisel veriler açısından büyük bir tehdit mi?
Bu maddeler kritik çünkü kişisel veriler, devletin en geniş yetkili kurumlarından birinin kontrolü altına giriyor.
Özellikle “veri ve log kayıtlarının toplanması ve Başkanlık yönetiminde depolanması” ifadesi, ABD’deki NSA uygulamalarını hatırlatıyor. Snowden’ın ortaya çıkardığı gibi, devletler siber güvenlik gerekçesiyle geniş çaplı veri gözetimi yapabilir hale geliyor. Bu yüzden nasıl bir denetim mekanizması kurulacağı çok kritik.
8. İdari para cezaları siber güvenlikte nasıl bir denge oluşturur? Bir baskı aracı olabilir mi?
Kesinlikle bir baskı aracı olabilir. Ama cezalar bazı durumlarda gerekli. Buradaki problem, cezaların nasıl ve kime uygulanacağı konusunda yeterli şeffaflığın olmaması. Aksi takdirde sektör üzerinde bir sopa mekanizmasına dönüşebilir.
9. Siber güvenlik ihracat kontrollerini nasıl değerlendiriyorsunuz?
Siber suçların ulaştığı nokta itibarıyla daha geniş bir perspektiften düşünmek gerekiyor. Bazı teknolojilerin kontrolsüz bir şekilde satılması, güvenlik risklerini artırabilir. Ancak burada yapay zeka, veri analitiği gibi teknolojilerin de engellenmesi riski var. Yani stratejik ürünlerle, genel kullanım teknolojileri ayrıştırılmalı.
10. Türkiye’nin 2025 bütçesinde Siber Güvenlik Başkanlığı için bir fon ayrılmamış gibi görünüyor. Bunu nasıl değerlendirirsiniz?
Buradaki en büyük sorun, şeffaflık. Türkiye’de kamusal harcamalar konusunda sürekli olarak sınıfta kalıyoruz. Eğer böyle büyük yetkilerle donatılmış bir kurum için bütçe ayrılmadıysa, ya kurum fiilen işlevsiz olacak ya da kaynaklar başka kanallardan aktarılacak, ki bu da denetim eksikliği yaratır.
11. 20 yıldır Telekom ve siber güvenlik alanında çalışan bir hukukçu olarak, bu kanunu siz yazsaydınız neler koyar ya da çıkarırdınız?
Siber güvenlik yasaları, bir devletin hem kendi kritik altyapısını hem de vatandaşlarını koruma sorumluluğunu üstlenir. Ancak bu süreçte temel soru şudur: Güvenlik adına hangi yetkiler olmalı ve bu yetkiler nasıl denetlenmeli? Eğer devlet, tüm süreçleri merkezi bir yapıda toplarsa ve güçlü bir denetim mekanizması oluşturmazsa, dijital gözetim devleti kaçınılmaz hale gelir.
Türkiye’de, BTK’nın son on yılda yaşadığı başarısızlık, aşırı merkeziyetçi ve hesap vermez yapının nelere yol açabileceğini gösteren önemli bir örnektir. Öte yandan, Netflix’in Zero Day dizisi de siber güvenliğin bir kişinin ya da tek bir otoritenin iradesine bağlı hale geldiğinde, sistemin nasıl kırılganlaştığını etkileyici bir şekilde ortaya koyuyor.
Eğer bir ülke siber güvenlik yasasını demokratik bir çerçevede yazmazsa, bu yasa güvenliği sağlamak yerine devletin mutlak kontrol aracı haline dönüşebilir.
Eğer ben bir siber güvenlik kanunu yazacak olsaydım, Meadows’un sistem kuramı çerçevesinde, bağımsız denetim mekanizmaları, şeffaflık ve toplumun farklı kesimlerini kapsayan bir yapı kurmaya çalışırdım.
1. Merkeziyetçi Bir Yapı Yerine İş Birlikçi Bir Model Kurulmalı
BTK, tüm gücü kendi elinde toplamaya çalışarak başarısız oldu. Rekabeti ve inovasyonu destekleyen bir düzenleyici kurum olmak yerine, katı bir kontrol mekanizmasına dönüştü. Benzer bir hata Siber Güvenlik Başkanlığı için de geçerli olabilir.
Eğer doğru bir yasa yazılacaksa:
•Siber güvenlik tek bir devlet kurumu tarafından yönetilmemeli, özel sektör, akademi ve sivil toplum da sürece dahil edilmelidir.
•Siber Güvenlik Başkanlığı, bağımsız bir denetim mekanizmasına tabi olmalıdır.
•Tüm kritik kararlar, çok paydaşlı bir yapı içinde alınmalıdır.
Eğer bir devlet, siber güvenliği tek bir merkezde toplamaya çalışırsa, sistemin esnekliği kaybolur ve karar alma süreçleri kırılgan hale gelir. Bu nedenle, şu model benimsenmeli:
✅ Güç merkezi bir yapıda toplanmamalı, karar alma süreçleri iş birlikçi bir yapıya yayılmalı.
✅ Bağımsız denetim organları kurulmalı ve bu organlar yürütmeden tamamen bağımsız olmalı.
2. Devletin Güvenlik Kaygıları ile Vatandaş Hakları Dengelenmeli
Zero Day dizisi, devletlerin siber güvenlik adı altında bireysel özgürlükleri nasıl tehdit edebileceğini gözler önüne seriyor.
Eğer ben bu kanunu yazsaydım:
•Devletin topladığı veri ve loglar bağımsız denetime açıktır, hiçbir devlet kurumu kişisel verileri yargı kararı olmadan talep edemez.
•Acil durum yetkileri, süre ve kapsam bakımından sınırlıdır.
•Bireysel mahremiyeti koruyan açık hükümler getirilmelidir.
BTK, veri saklama politikalarıyla daha önce vatandaşların mahremiyetini ihlal eden uygulamalara imza attı. Şimdi benzer yetkiler, Siber Güvenlik Başkanlığı’na devrediliyor. Bu, büyük bir risk oluşturuyor.
3. Devletin Siber Güvenlik Yetkileri Kısıtlanmalı ve Denetime Açılmalı
BTK, serbest piyasa ve rekabet dinamiklerini göz ardı ederek sektörün gelişmesini engelleyen bir yapı oluşturdu. Siber güvenlik alanında benzer bir kontrolcü yaklaşım benimsenirse, bu sefer bireysel haklar baskılanacaktır. Bu çerçevede, Devletin veri toplama yetkileri sıkı kurallara bağlanırken özel sektörün gelişimini engelleyen düzenlemeler yerine, inovasyonu teşvik eden hükümler eklenmeli.
Sonuç…
İşin özü, bu içerikte bir yasa, yalnızca devletin güvenliğini değil, bireylerin mahremiyetini, özel sektörün bağımsızlığını ve kamunun bilgiye erişim hakkını güvence altına alan bir yapıda; güçlü ama bağımsız, veri toplama yetkileri sınırlı ve hukuki denetime tabi olmalı.
Eğer devlet bu dengeyi kuramazsa, Zero Day gibi bir senaryonun gerçekleşmesi kaçınılmaz olur. Çünkü siber güvenlik, demokratik denetimden uzaklaşırsa, özgürlükleri baskılayan bir araca dönüşebilir.
Bu yüzden, eğer siber güvenlik yasası doğru yazılmazsa, kısa vadede ulusal güvenliği artırabiliriz, ancak uzun vadede özgürlüklerimizi kaybedebiliriz. BTK’nın geçmişte yaptığı hatalardan ders almazsak, gelecekte bu yasalar, vatandaşları korumak yerine onların dijital haklarını sınırlandıran bir mekanizmaya dönüşebilir.
Kaynak : 