Teknoloji - 22 Apr, 2025
Türkiye’de Siber Güvenlikte Yeni Dönem: Kanun Yürürlüğe Girdi
"Türkiye’de Siber Güvenlikte Yeni Dönem: Kanun Yürürlüğe Girdi"
7545 sayılı Siber Güvenlik Kanunu (“Kanun”) 19.03.2025 tarihinde Resmî Gazetede yayımlanarak aynı tarihte yürürlüğe girdi.
Kanunun amacı, kapsamı ve getirdiği düzenlemeleri detaylar aşağıda bilgilerinize sunulmuştur.
Kanun’a ilişkin öne çıkan hususlar özetle aşağıdaki gibidir:
- Ulusal düzeyde siber güvenlik politikalarının tutarlılığını sağlamak, kamu kurumları, özel sektör ve bireyler için bağlayıcı standartlar sunmak, siber güvenlik kavramının yeniden yapılandırılması ihtiyacını gidermek adına çatı bir mevzuat oluşturulmuştur.
- Bilişim sistemleri, kritik altyapı, kritik kamu hizmeti, siber güvenlik, siber olay, siber saldırı, siber tehdit, siber uzay gibi önemli kavramların tanımları yapılmıştır.
- Siber güvenlikle ilgili çalışmaların kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütüleceği gibi konularda on bir adet temel ilke düzenlenmiştir.
- Siber Güvenlik Başkanlığının (“Başkanlık”) yetki ve sorumlulukları detaylandırılmış, Başkanlığın denetim yetkisine vurgu yapılmıştır.
- Siber Güvenlik Kurulu’nun yapısı ve görevlerine yer verilmiştir.
- Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemlerinin Başkanlığa bildirilmesi gerekliliği düzenlenmiştir.
- Kanun uyarınca kişisel verilerin; hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve güncel olarak, belirli, açık ve meşru amaçlarla, işlendiği amaçla bağlantılı, sınırlı ve ölçülü olarak işlenme amacı için gerekli olan süre kadar muhafaza edilmesi, erişim gerekçelerinin ortadan kalkması halinde elde edilecek kişisel veriler ve ticari sırların; resen silineceği, yok edileceği veya anonim hale getirileceği düzenlenmiştir.
- Siber güvenlik ihlallerine yönelik idari para cezaları belirlenmiştir.
Kanundaki temel kavramlar nedir?
- Bilişim sistemleri: Bilgi ve iletişim teknolojileri vasıtasıyla sağlanan her türlü hizmetin, işlemin ve verinin sunumunda kullanılan donanım, yazılım, sistem ve aktif veya pasif durumda bulunan tüm diğer bileşenleri,
- Siber uzay: Doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortamı,
- Siber güvenlik: Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye alınmasını ve sonrasında yaşanan siber olay öncesi duruma geri döndürülmesini kapsayan faaliyetler bütününü,
- Siber olay: Bilişim sistemlerinin veya verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesini,
- Siber saldırı: Siber uzaydaki bilişim sistemlerinin ve bu sistemler tarafından işlenen verinin gizliliği, bütünlüğü veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın herhangi bir yerindeki kişi veya bilişim sistemlerine yönelik olarak kasıtlı yapılan işlemleri,
- Siber tehdit: Bilişim sistemlerinin, bu sistemlerde bulunan veya bu sistemler tarafından işlenen verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesine neden olabilecek potansiyel tehlikeleri, ifade eder.
Kanundaki düzenlemeler kimleri kapsıyor?
Siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsar.
Bu noktada Kanundaki düzenlemelerin hayli geniş bir grubu kapsam altına aldığından bahsedilebilir.
Kanun’un yürürlük amacı nedir?
- Siber uzaydaki bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi,
- Siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi,
- Kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması,
- Ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi,
- Siber Güvenlik Kurulunun kurulması.
Bilişim sistemlerini kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin siber güvenliğe ilişkin görev ve sorumlulukları nelerdir?
- Başkanlığın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı Başkanlığa iletmek,
- Siber güvenliğe yönelik mevzuatın öngördüğü tedbirleri almak, tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek,
- Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanları ve şirketlerden tedarik etmek,
- Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak,
- Başkanlık tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan diğer düzenleyici işlemlerde yer alan hususları yerine getirmek ve gerekli tedbirleri almak.
Başkanlığın görev ve yetkileri nedir?
- Kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılması, siber saldırılara karşı korunması, muhtemel saldırıların önlenmesi, gerçekleştirilen saldırıların tespiti,
- Siber olaylara müdahale ekibi (“SOME”) kurmak, kurdurmak ve denetlemek,
- Siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları düzenlemek, siber güvenlik alanına ilişkin standartları hazırlamak,
- Siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifikasyon işlemlerini yürütmek, siber güvenlik denetimini gerçekleştirmek ve sonucuna göre yaptırım uygulamak,
- Kanunda belirtilen görevleri ile ilgili olarak gerekli gördüğü hallerde Kanunun kapsamına giren her türlü fiil ve işlemin denetlenmesi; bu amaçla mahallinde inceleme yapılması veya yaptırılması.
Kanunun öngördüğü yükümlülüklerin ihlali halinde uygulanacak cezai hükümler ve idari para cezaları düzenlenmiş olup ihlal sebebi ve karşılığındaki yaptırımlar tabloda belirtilmiştir.
| İhlal Sebebi | Ceza |
|---|---|
| Yetkili mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı verilmemesi veya alınmasına engel olunması | 1-3 yıl hapis ve 500-1500 gün adli para cezası |
| Gerekli onay, yetki veya izinler alınmadan faaliyet yürütülmesi | 2-4 yıl hapis ve 1000-2000 gün adli para cezası |
| Sır saklama yükümlülüğünün ihlali | 4-8 yıl hapis |
| Kişisel/kurumsal verilerin izinsiz erişime açılması, paylaşılması veya satışa çıkarılması | 3-5 yıl hapis |
| Veri sızıntısı olmadığı halde panik yaratmak veya yanlış içerik yaymak | 2-5 yıl hapis |
| Siber saldırıda bulunmak, verileri yaymak, göndermek veya satışa çıkarmak | 8-12 yıl hapis / 10-15 yıl hapis |
| Tedbir almamak, olayları bildirmemek, yetkisiz tedarik | 1.000.000 TL - 10.000.000 TL idari para cezası |
| Başkanlık izni olmadan yurtdışına satış, bildirim yapılmaması | 10.000.000 TL - 100.000.000 TL idari para cezası |
| Denetlemeye açık olmamak, gerekli altyapıyı sağlamamak | 100.000 TL - 1.000.000 TL idari para cezası (Ticari şirketler için: Brüt satış hasılatının %5’ine kadar ek ceza) |
İdari para cezalarının uygulanmasından önce ilgilinin savunması alınacağı düzenlenmiştir. Savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren otuz gün içinde savunma verilmemesi halinde, ilgilinin savunma hakkından feragat ettiği kabul edilecektir.
