Siber Güvenlik Kanun Teklifi, TBMM'de kabul edilerek yasalaştı

Teklifle, Türkiye Cumhuriyeti'nin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ilişkin esaslar düzenleniyor, kanunun kapsamına ilişkin genel çerçeve belirleniyor.

Buna göre, düzenleme siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsayacak.

Polis Vazife ve Salahiyet Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu uyarınca yürütülen faaliyetler kanun kapsamı dışında tutuluyor.

Komisyonda kabul edilen önerge doğrultusunda Türk Silahlı Kuvvetleri İç Hizmet Kanunu ve Sahil Güvenlik Komutanlığı Kanunu uyarınca yürütülen faaliyetler de kapsam dışında tutulacak.

Teklifle, "Barındırma", "Başkan", "Başkanlık", "Bilişim sistemleri", "Kritik altyapı", "Kritik kamu hizmeti", "Siber güvenlik", "Siber olay", "Siber saldırı", "Siber tehdit", "Siber tehdit istihbaratı", "Siber uzay", "SOME", "Varlık" ve "Zafiyet"in tanımları yapılıyor, siber güvenliğin sağlanmasındaki temel ilkeler de belirleniyor.

Buna göre, siber güvenlik, milli güvenliğin ayrılmaz bir parçası olacak. Kritik altyapı ve bilişim sistemlerinin korunması ile güvenli bir siber uzay oluşturulması temel hedef olacak.

Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülecek. Siber güvenlik tedbirlerinin hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanması esas olacak.

SİBER GÜVENLİK SÜREÇLERİNİN YÜRÜTÜLMESİNDE HESAP VEREBİLİRLİK ESAS OLACAK

Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünler tercih edilecek. Siber güvenlik politika ve stratejilerinin yürütülmesi ile siber saldırıların önlenmesi veya etkisinin azaltılmasına yönelik gerekli tedbirlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumlu tutulacak. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esas olacak.

Siber güvenlik politika ve strateji geliştirme çalışmaları, sürekli gelişim yaklaşımıyla yürütülecek. Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecek.

Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenecek.

Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkeleri temel esas kabul edilecek.

SİBER SALDIRILARA KARŞI KORUMA

Teklifle, Siber Güvenlik Başkanlığının görevleri de tanımlanıyor. Buna göre, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan görevlerin yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber saldırılara karşı korunmasına, gerçekleştirilen siber saldırıların tespitine, muhtemel saldırıların önlenmesine ve etkilerinin azaltılmasına veya ortadan kaldırılmasına yönelik faaliyet yürütecek.

Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri yapma veya yaptırma, siber tehditlerle mücadele etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile zararlı yazılım inceleme faaliyetlerini yürütecek.

Kritik altyapılar ile ait oldukları kurumları ve konumları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların veri envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk analizinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine göre güvenlik tedbirlerini almak veya aldırmakla da sorumlu olacak.

Siber Olaylara Müdahale Ekibi (SOME) kurmak, kurdurmak ve denetlemek, SOME'lerin olgunluk seviyelerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME'lerin siber olay müdahale kabiliyetlerini ölçmek, diğer ülkelerin siber olaylara müdahale ekipleriyle koordinasyon kurmak, her türlü siber müdahale aracının ve milli çözümlerin üretilmesi ve geliştirilmesi amacıyla çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de başkanlığın görevleri arasında yer alıyor.

KRİTİK KAMU HİZMETLERİNİN SİBER GÜVENLİĞİ SAĞLANACAK

Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları da düzenleyecek.

Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak amacıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına güvenli sistem ve altyapılar üzerinden barındırma hizmeti sunmak veya sunulmasını sağlamak, bu faaliyetlere yönelik uygulama usul ve esaslar, Siber Güvenlik Başkanlığı tarafından belirlenecek.

Siber güvenlik alanına ilişkin standartları hazırlamak, diğer kişi veya kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğunda standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek de Siber Güvenlik Başkanlığının görevleri arasında yer alıyor.

Siber Güvenlik Başkanlığı, siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifikasyon işlemlerini yürütme, buna yönelik test altyapıları kurma, kurdurma ve işletme ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme işlemlerini ilgili kurumlarla koordineli yürütecek.

Siber güvenlik denetimini gerçekleştirecek ve sonucuna göre yaptırım uygulayacak olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların denetimini yapmak ya da yaptırmak, denetimleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi geçici olarak durdurmak ya da iptal etmekle görevli olacak.