Siber Güvenlik Kanunu Teklifi’nin 13 maddesi kabul edildi

TBMM Genel Kurulu’nda Siber Güvenlik Kanunu Teklifi’nin 13 unsuru kabul edildi. Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli eserler tercih edilecek. Belirtilen yetkiler çerçevesinde elde edilecek ferdî bilgiler ve ticari sırlar, bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinecek, yok edilecek ya da anonim hale getirilecek. Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Liderinden oluşacak.

Kabul edilen unsurlara göre, Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren bütün ögelerine karşı içten ve dıştan yöneltilen mevcut ve beklenen tehditlerin tespit ve bertaraf edilmesi, siber olayların mümkün tesirlerini azaltmaya yönelik asılların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hukuksal şahıslar ile hukuksal kişiliği bulunmayan kuruluşların siber hücumlara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve siyasetlerin belirlenmesi ile Siber Güvenlik Şurasının kurulmasına ilişkin temeller düzenleniyor, kanunun kapsamına ilişkin genel çerçeve belirleniyor.

Buna göre, düzenleme siber uzayda varlık gösteren, fliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hükmî şahıslar ile hukuksal kişiliği bulunmayan kuruluşları kapsayacak.

Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari fliyetler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilat Kanunu ile Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen fliyetler düzenleme kapsamı dışında tutuluyor.

Düzenlemeyle, “Barındırma”, “Başkan”, “Başkanlık”, “Bilişim sistemleri”, “Kritik altyapı”, “Kritik kamu hizmeti”, “Siber güvenlik”, “Siber olay”, “Siber saldırı”, “Siber tehdit”, “Siber tehdit istihbaratı”, “Siber uzay”, “SOME”, “Varlık” ve “Zafiyet”in tarifleri yapılıyor, siber güvenliğin sağlanmasındaki temel prensipler de belirleniyor.

Buna göre, siber güvenlik, milli güvenliğin ayrılmaz bir modülü olacak. Kritik altyapı ve bilişim sistemlerinin korunması ile inançlı bir siber uzay oluşturulması temel hedef olacak.

Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülecek. Siber güvenlik önlemlerinin hizmet ve ürünlerin tüm hayat döngüsü boyunca uygulanması esas olacak.

Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esas olacak

Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli eserler tercih edilecek. Siber güvenlik siyaset ve stratejilerinin yürütülmesi ile siber hücumların önlenmesi ya da tesirinin azaltılmasına yönelik gerekli önlemlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve hukukî şahıslar sorumlu tutulacak. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esas olacak.

Siber güvenlik siyaset ve strateji geliştirme çalışmaları, daima gelişim yaklaşımıyla yürütülecek. Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecek.

Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenecek. Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması prensipleri temel esas kabul edilecek.

Siber hücumlara karşı koruma

Teklifle, Siber Güvenlik Başkanlığının vazifeleri de tanımlanıyor. Buna göre, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan misyonların yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber ataklara karşı korunmasına, gerçekleştirilen siber akınların tespitine, olası atakların önlenmesine ve tesirlerinin azaltılmasına ya da ortadan kaldırılmasına yönelik fliyet yürütecek.

Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk tahlilleri yapma ya da yaptırma, siber tehditlerle mücadele etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile ziyanlı yazılım inceleme fliyetlerini yürütecek.

Kritik altyapılar ile ait oldukları kurumları ve pozisyonları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların bilgi envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk tahlilinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine göre güvenlik önlemlerini almak ya da aldırmakla da sorumlu olacak.

Siber Olaylara Müdahale Ekibi (SOME) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk düzeylerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, diğer ülkelerin siber olaylara müdahale gruplarıyla koordinasyon kurmak, her türlü siber müdahale aracının ve milli tahlillerin üretilmesi ve geliştirilmesi gayesiyle çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de başkanlığın misyonları arasında yer alıyor.

Kritik kamu hizmetlerinin siber güvenliği sağlanacak

Siber Güvenlik Başkanlığı, siber güvenlik alanında fliyet gösterenlerin uyması gereken adap ve temelleri da düzenleyecek.

Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak maksadıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına inançlı sistem ve altyapılar üzerinden barındırma hizmeti sunmak ya da sunulmasını sağlamak, bu fliyetlere yönelik uygulama tarz ve temeller, Siber Güvenlik Başkanlığı tarafından belirlenecek.

Siber güvenlik alanına ilişkin standartları hazırlamak, diğer kişi ya da kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütal vermek, uygun bulduğunda standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek de Siber Güvenlik Başkanlığının misyonları arasında yer alıyor.

Siber Güvenlik Başkanlığı, siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifikasyon süreçlerini yürütme, buna yönelik test altyapıları kurma, kurdurma ve işletme ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini ilgili kurumlarla koordineli yürütecek.

Siber güvenlik kontrolünü gerçekleştirecek ve sonucuna göre yaptırım uygulayacak olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların kontrolünü yapmak yahut yaptırmak, kontrolleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi süreksiz olarak durdurmak yahut iptal etmekle görevli olacak.

Kayıtlar, en fazla 2 yıl müddetle çalışmaya husus edilecek

Düzenlemeyle, Siber Güvenlik Başkanlığının yetkileri de belirleniyor. Buna göre, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan yetkilerinin yanı sıra Siber Güvenlik Başkanlığı, kanun kapsamındakilerin siber ataklara karşı korunması ve bu taarruzların kaynağına karşı caydırıcılık sağlanması için gerekli önlemi alacak ya da aldıracak.

Bu kapsamda bilişim sistemlerine uygun bulunan yazılım ve donanım ürünlerinin heyetim ve entegrasyonunu sağlayabilecek, bu eserler tarafından üretilen ya da toplanan data ve log kayıtlarını Başkanlık idaresinde bulunan bilişim sistemlerine aktarabilecek, siber olayların tespitine yönelik gerekli yolu ve aracı kullanabilecek.

Başkanlık, siber olaya maruz kalanlara yerinde ya da uzaktan siber olay müdahale takviyesi sağlayabilecek, siber uzayda bulunan ya da elde ettiği bilgi, imaj ya da log kayıtları üzerinden ataklara ait izleri takip edebilecek, bunları inceleyerek delillendirebilecek, suç teşkil ettiği bedellendirilen bulguları adli makamlar ve diğer ilgililer ile paylaşacak, yurt içi ve yurt dışındaki paydaşlar ile koordinasyon sağlayabilecek.

Başkanlık, yürüttüğü fliyetlerle sınırlı olmak üzere bilgi, doküman, data ve kayıtları alabilecek ve değerlendirmesini yapabilecek, bunlara ait arşivlerden, elektronik bilgi işlem merkezlerinden ve iletişim altyapısından yararlanabilecek ve bunlarla irtibat kurabilecek.

Bu kapsamda elde edilen bilgi, evrak, bilgi ve kayıtlar, en fazla 2 yıl müddetle çalışmaya mevzu edilecek ve çalışma müddeti sonrasında imha edilecek. Bu kapsamda talepte bulunulanlar, kendi mevzuatındaki kararları münasebet göstermek suretiyle talebin yerine getirilmesinden kaçınamayacak.

Siber Güvenlik Başkanlığı, bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilecek, saklayabilecek, değerlendirebilecek, bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilecek.

Ülkelerle bağlantı yürütüp, bilgi alışverişinde bulunabilecek

Başkanlık, bakanlıklar ve diğer kamu kurum ve kuruluşları ile koordineli olarak siber güvenlik mevzularında ihtiyaç halinde işçi tefrik edebilecek. Görev alanına giren hususlarda uluslararası kuruluşlar ve ülkelerle ilişkiler yürütebilecek, bilgi alışverişinde bulunabilecek, Türkiye’yi temsil edebilecek ve uyumu sağlayabilecek, uluslararası kuruluşların çalışmalarına katılabilecek, alınan kararların uygulanmasını takip edebilecek ve gerekli uyumu sağlayabilecek.

Düzenleme kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve hukuksal bireyler ile hukukî kişiliği bulunmayan kuruluşlar sınıflandırabilecek, fliyetlerini icra ederken gerektiğinde yalnızca belli bir kısmını kapsayan kararlar oluşturabilecek.

Siber Güvenlik Başkanlığı, siber güvenlik kontrolü gerçekleştiren bağımsız denetçiler ve bağımsız kontrol kuruluşlarını yetkilendirebilecek, yetkisini müddetli ya da süresiz iptal edebilecek. Başkanlık, kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe tesiri olan yazılım, donanım, ürün ve hizmetlere dair kriterler ile başkanlığa yapılacak bildirimlere ilişkin adap ve asılları belirleyecek.

Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin minimum güvenlik kriterlerini belirleyecek olan başkanlık, bunları sağlayacak ya da tedarik edecek gerçek ve hükmî şahıslara yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetecek. Başkanlık, siber güvenlik yazılım, donanım, ürün ve hizmetlerinin belirlenecek standartlara uygun hale getirilmesini talep edebilecek. Bu talebe ahenk sağlamayanların kullanılmasını önleyici önlemler alabilecek.

Yürütülen iş ve süreçler kapsamında ferdî datalar, hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde aktüel olmak kaydıyla, belli, açık ve legal gayelerle, işlendiği hedefle temaslı, sınırlı ve ölçülü olmak kaydıyla ve işlendiği emel için gerekli olan süre kadar muhafaza edilmek üzere işlenecek.

Belirtilen yetkiler çerçevesinde elde edilecek ferdî datalar ve ticari sırlar, bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinecek, yok edilecek ya da anonim hale getirilecek. Bu hususun uygulanmasına ilişkin yöntem ve asıllar, Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.

Sorumluluklar ve işbirliği

Teklifle, bilişim sistemleri kullanarak hizmet sunan, bilgi toplayan, işleyen ve gibi fliyet yürütenlerin, siber güvenliğe ilişkin görev ve sorumlulukları da belirleniyor.

Bu kapsamda görev ve misyonlar şöyle tanımlanıyor:

Başkanlığın görev ve fliyetleri kapsamında talep ettiği her türlü data, bilgi, evrak, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve vaktinde Başkanlığa iletmek, siber güvenliğe yönelik olarak milli güvenlik, kamu nizamı ya da kamu hizmetinin gereği benzeri yürütülmesi gayesiyle mevzuatın öngördüğü önlemleri almak, hizmet sundukları alanda tespit ettikleri zafiyet ya da siber olayları gecikmeksizin Başkanlığa bildirmek. Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerinden ya da şirketlerden tedarik etmek. Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince fliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak. Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen siyaset, strateji, eylem planı ile yayımlanan diğer düzenleyici süreçlerde yer alan konuları yerine getirmek ve gerekli önlemleri almak.

Denetim fliyetine ilişkin esaslar

Siber Güvenlik Başkanlığı, düzenlemede belirtilen vazifeleri ile ilgili olarak gerekli gördüğü hallerde düzenlemenin kapsamına giren her türlü fiil ve süreci denetleyebilecek, bu hedefle mahallinde inceleme yapabilecek ya da yaptırabilecek. Kontrol, bu düzenleme kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve hukukî şahısların bu düzenleme kararlarıyla ilgili fliyet ve süreçlerini kapsayacak.

Denetime, Başkanlık çalışanı, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız kontrol kuruluşları yetkili olacak. Bu yetki, başkan tarafından görevlendirilenler tarafından kullanılacak.

Kamu kurum ve kuruluşları ile kritik altyapılarda kontroller, başkanlık işçisince ya da refakatinde yapılacak. Başkanlık, kontrol fliyetlerine ilişkin değerlilik ve öncelik unsurları ile risk değerlendirmelerinde dikkate alınacak ölçütleri ve uygulama asıllarını belirleyecek.

Denetim fliyeti, değerlilik ve öncelik prensipleri ile risk değerlendirmeleri kapsamında oluşturulacak program uyarınca yürütülecek. Başkan, oluşturulan program dışında incelenmesi gerekli görüldüğü konularda program dışı kontrol yaptırabilecek.

Mülki amirler, kolluk kuvvetleri ve diğer kamu kurumlarının amir ve memurları inceleme ya da kontrolle görevlendirilenlere her türlü kolaylığı göstermek ve yardımda bulunmakla yükümlü olacak.

Arama, kopya çıkarma ve el koyma

Denetimle görevlendirilenler, yürüttükleri kontrol fliyetleriyle sınırlı olarak elektronik ortamdaki bilginin, evrakların, elektronik altyapının, aygıt, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret ya da örnek alınması, bu mevzu ile ilgili yazılı ya da kelamlı açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi bahislerinde yetkili olacak.

Denetime tabi tutulanlar, ilgili aygıt, sistem, yazılım ve donanımları verilen müddetlerde denetlemeye açık tutmak, kontrol için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli tedbirleri almak zorunda olacak.

Genel Kurulda kabul edilen önergeyle Lidere verilen arama, kopya çıkarma ve el koyma yetkisi tekliften çıkarıldı.

Buna göre, milli güvenlik, kamu nizamı, suç işlenmesinin ya da siber atakların önlenmesi maksadıyla hakim kararı üzerine ya da gecikmesinde sakınca bulunan hallerde cumhuriyet savcısının yazılı buyruğu ile konutta, iş yerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilecek, uzun periyodik hizmet aksamasına yol açmayacak ve kesintisiz şekilde kopya çıkarma ve el koyma süreci gerçekleştirilebilecek. Çıkarılan kopyanın bir nüshası ilgilisine teslim edilecek ve bu konu tutanağa geçirilerek imza altına alınacak.

Bu süreçlerin yapılabilmesi için makul sebeplerin oluştuğunun münasebetleriyle birlikte gösterilmesi gerekecek.

Hakim kararı olmaksızın yapılan arama ve gerçekleştirilen kopya çıkarma ve el koyma süreçleri, 24 st içinde görevli hakimin onayına sunulacak.

Yetkilendirilmiş data merkezi işletmecilerinin bilgi merkezlerinde yalnızca hakim kararıyla arama, kopya çıkarma ve el koyma süreci yapılabilecek.

Hakim, kararını 48 st içinde açıklayacak, aksi halde çıkarılan kopyalar ve tahlili yapılan metinler derhal imha edilecek ve el koyma bizatihi kalkacak. Bu fıkra kapsamına giren talepler bakımından Ankara Sulh Ceza Hakimliği yetkili ve görevli olacak fakat kamu kurum ve kuruluşları bakımından hakimlik kararı aranmayacak.

Siber Güvenlik Kurulu

Kanunla, Siber Güvenlik Şurası’nın kimlerden oluşacağı da düzenleniyor.

Buna göre Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Liderinden oluşacak.

Cumhurbaşkanının katılmadığı hallerde konseye, Cumhurbaşkanı Yardımcısı başkanlık edecek. Heyet toplantılarına üyeler dışında, gündemin özelliğine göre ilgili bakan ve kişiler de çağrılarak bilgi ve görüş alınabilecek. Konsey, vazifeleri kapsamında gerekli görmesi halinde komisyon ve çalışma grupları oluşturabilecek. Komisyon ve çalışma grupları, şuranın görev alanına giren konularda teknik seviyede çalışmalar yapacak ve karar teklifleri oluşturacak.

Komisyon ve çalışma grubu toplantılarına, görüşlerinden faydalanmak üzere alanında uzman şahıslar davet edilebilecek.

Kurulun sekretarya hizmetleri, Siber Güvenlik Başkanlığı tarafından yürütülecek. Heyet, komisyon ve çalışma gruplarının çalışma yöntem ve temelleri Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.

Teklifle Siber Güvenlik Başkanlığında kontratlı uzman işçi istihdam usulü ile fiyatlarına ilişkin asıllar da belirleniyor.

Siber Güvenlik Başkanlığında istihdam edilen çalışandan ilgili mevzuatı kapsamında diğer kamu kurum ve kuruluşlarına karşı mecburî hizmet yükümlülüğü bulunanların başkanlıkta geçen hizmet müddetleri, ilgili kamu kurum ve kuruluşunun da muvafakati alınmak kaydıyla söylediği söz edilen yükümlülük müddetlerinden düşülecek.

Siber Güvenlik Başkanlığında takımlı ya da kontratlı statüde görev yaparken herhangi bir nedenle ilişiği kesilenler, başkanlıktan muvafakat almadan 2 yıl müddetle yurt içi ya da yurt dışında siber güvenlik alanında resmi ya da özel öbür hiçbir görev alamayacak, bu alanda ticaretle uğraşamayacak, serbest meslek fliyetinde bulunamayacak ve bilhassa bu kesimde fliyet gösteren bir şirkette hissedar ya da yönetici olamayacak.

Başkanlıktaki görev ve fliyetler kapsamında edinilen bilgi, evrak ve gibi her türlü datanın, Siber Güvenlik Başkanlığınca yetki verilen durumlar hariç, radyo, televizyon, internet, sosyal medya, gazete, mecmua, kitap ve diğer tüm medya araçlarıyla her türlü yazılı, görsel, işitsel ve elektronik kitle iletişim araçları vasıtasıyla yayımlanması ya da açıklanması yasak olacak.

Başkanlık tarafından yürütülen görev ve fliyetler kapsamında edinilen kamuya, ilgililere ve üçüncü bireylere ait kapalılık taşıyan bilgi, şahsî bilgi, ticari sır ve bunlara ait evraklar mevzuat gereği yetkili kılınan mercilerden diğerine açıklanamayacak, gerçek ve hukukî bireylerin menftine kullanılamayacak.

Öte yandan Genel Konseyin bugün toplanmamasına yönelik Danışma Kurulu kararı alındı.

TBMM Başkanvekili Bekir Bozdağ, teklifin 13 hususunun kabul edilmesinin akabinde birleşime ara verdi. Aranın akabinde kurulun yerini almaması üzerine Bozdağ, birleşimi 11 Mart Salı st 15.00’te toplanmak üzere kapattı.