Türkiye Cumhuriyeti’nin siber güvenliğini güçlendirmek amacıyla kabul edilen Siber Güvenlik Kanunu, ülkenin siber alanındaki milli gücünü oluşturan tüm unsurlara karşı hem içten hem de dıştan gelen mevcut ve potansiyel tehditlerin tespit edilmesi ve ortadan kaldırılmasına yönelik düzenlemeleri kapsamaktadır. Kanun, kamu kurumları, meslek kuruluşları ve bireyler ile tüzel kimliği bulunmayan kuruluşların siber saldırılara karşı korunmasını sağlayacak esasları belirlemektedir.
Düzenleme, yalnızca siber ortamda varlık gösteren ve hizmet sunan kamu kurumları ve kuruluşları ile onların yanı sıra gerçek ve tüzel kişileri de kapsamaktadır. Ancak, bazı yürütülen istihbari faaliyetler ve iç güvenlik konularında belirli istisnalar mevcuttur.
Yeni kanunla birlikte, siber güvenlik terimleri net bir şekilde tanımlanmakta ve bu alandaki temel ilkeler belirlenmektedir. Siber güvenlik, milli güvenliğin vazgeçilmez bir parçası haline gelecek ve kritik altyapıların korunması ile güvenli siber ortam oluşturma hedeflenecektir.
Hesap verebilirlik ön plana çıkacak
Siber güvenlik çalışmaları yerli üretim ürünler üzerinden yürütülecek ve kamu kurumları ile bireyler, siber güvenlik politikaları çerçevesinde sorumluluk taşıyacaklardır. Hesap verebilirlik, süreçlerin yürütülmesinin temel ilkesi olarak belirlenecek.
Siber güvenlik alanında sürekli gelişim sağlanması hedeflenecek ve nitelikli insan kaynağı oluşturulmasına yönelik teşvikler sunulacaktır. Toplum genelinde siber güvenlik bilincinin arttırılması amaçlanacaktır.
Siber saldırılara karşı koruma önlemleri
Siber Güvenlik Başkanlığı, kritik altyapıların ve bilişim sistemlerinin dayanıklılığını artırmaya yönelik faaliyetler yürütecek; siber saldırıların tespitine ve etkilerinin azaltılmasına yönelik önlemler alacaktır.
Ayrıca, zafiyet testleri ve sızma testleri ile risk analizleri yapacak, siber tehdit istihbaratı oluşturacak ve zararlı yazılımları inceleme faaliyetlerinde bulunacaktır.
Başkanlık, kamu kurumları ve kritik altyapıların veri envanterinin tutulmasını ve varlıklarına ilişkin risk analizleri gerçekleştirilmesini sağlayarak, gereken güvenlik tedbirlerini almayı da üstlenecektir.
Kamu hizmetlerinin güvenliğini sağlamak
Siber Güvenlik Başkanlığı, siber güvenlik standartlarını belirleyecek, diğer kuruluşların hazırladığı standartları denetleyecek ve uygun bulunanları kabul edecektir. Başkanlık, ayrıca siber güvenlikle ilgili yazılım ve donanımların test ve sertifikasyonunu gerçekleştirerek, ilgili kurumlarla koordinasyon içinde çalışacaktır.
Siber güvenlik denetimlerini yapacak olan Başkanlık, uygun niteliklere sahip firmalar ile ürünlerin belirlenmesine dair mevzuat düzenlemeleri de gerçekleştirecektir.
Kayıtlar ve veri güvenliği
Siber Güvenlik Başkanlığı, siber olaya maruz kalanlara destek sağlayacak, siber saldırıların kayıtlarını toplayacak ve bunları belirli bir süre (en fazla 2 yıl) saklayacaktır. Bu süre sonrasında kayıtlar imha edilecektir.
Başkanlık, yurtiçinde ve yurtdışında bilgi paylaşımında bulunarak Türkiye’yi temsil edecek ve gerekli koordinasyonu sağlayacaktır.
Cezai hükümler ve idari para cezaları
Siber Güvenlik Kanunu, kamu kurumları haricinde, yetkili mercilerin bilgi ve belge vermekten kaçınanlar için hapis cezası ve idari para cezası öngörmektedir. Ayrıca, siber saldırılara karşı milli güvenliği tehdit eden eylemler ağır cezalarla karşılanacaktır.
Kanunun ihlali durumunda, siber güvenliğe ilişkin yükümlülükleri yerine getirmeyenler için de idari para cezası uygulanacaktır. Bu kapsamda, bireyler ve kuruluşlar, belirlenen güvenlik tedbirlerine uymak zorundadır.
Kanun, ayrıca Siber Güvenlik Başkanlığı’nın görevlerini ve işleyişini detaylandırmakta ve başkanlık bünyesinde istihdam edilecek uzmanların çalışma koşullarını düzenlemektedir.
Meclis Genel Kurulu’nda kabul edilen Siber Güvenlik Kanunu, ulusal siber güvenlik politikalarını güçlendirmek ve gereklerini yerine getirmek üzere önemli bir adım atılmıştır. Düzenleme, daha güvenli bir siber ortam yaratmak için gerekli yasal çerçeveyi oluşturmaktadır.
