Türkiye’nin siber güvenlik alanındaki genel çerçevesini çizen ilk kanun olma özelliğini taşıyan Siber Güvenlik Kanunu, Resmi Gazete’nin 19 Mart 2025 tarihli sayısında yayımlanarak yürürlüğe girdi. İşte detaylar.
Kanun’un “çatı” bir kanun olması itibariyle genel bir çerçeve çizdiği, temel ilkelere önem atfettiği ve cezai yaptırımları yüksek tutarlarda düzenlediği göze çarpmaktadır.
Sadece kamuyu değil, özel sektörü de -ve özellikle siber güvenlik firmalarını- ilgilendiren bu düzenlemenin aktörlerinin yetki ve yükümlülüklerinin, ilerleyen dönemde çıkarılacak ikincil düzenlemelerle daha net belirleneceğini söyleyebiliriz.
Kanun Hakkında -ilk bakışta- öne çıkan diğer husular şunlar:
Amaç: Kanunun temel amacı, ulusal siber uzayı tehdit eden unsurlardan korumak ve siber dayanıklılığı artırmak için gerekli tedbirleri almak, sürdürülebilir bir siber güvenlik ekosistemine katkı sağlamak.
Kapsam: Yalnızca kamu kurum ve kuruluşlarını değil, gerçek kişiler, tüzel kişiler ve tüzel kişiliği bulunmayanları da kapsıyor. (İstihbari faaliyetler hariç tutulmuştur.)
Geniş Etki Alanı: Hem çevrim içi hem çevrim dışı sistemleri, yazılım ve donanım bileşenlerini kapsayacak şekilde tasarlanmış.
Siber Olay Tanımı: Uluslararası standartlarla uyumlu olarak “gizlilik, bütünlük ve erişilebilirlik” kavramları üzerinden yapılmış.
Kurumsal Yapılanma: Kanun, Siber Güvenlik Başkanlığı’nın kurulmasını öngörüyor. Başkanlık, düzenleme ve denetleme yetkilerine sahip olacak.
Hesap Verebilirlik ve Diğer İlkeler: Kanun, siber güvenlik ekosisteminde hesap verebilirliği ve buna bağlı bir çok ilkeyi temel bir unsur olarak konumlandırıyor.
Kritik Altyapılar: Başkanlık, kritik altyapı sektörlerini belirleme ve bu alanları korumak için özel tedbirler alma yetkisine sahip olacak.
Tedarikçi Güvenliği: Kamu kurumları ve kritik altyapılarda kullanılacak ürünlerin yetkilendirilmiş ve belgelendirilmiş tedarikçilerden temin edilmesi zorunlu hale getirilebilecek.
Sektörel Düzenlemeler: Siber güvenlik alanında faaliyet gösteren şirketlere ihracat, birleşme, bölünme ve pay devri işlemlerinde yeni yükümlülükler getirildi. Bu kuruluşların Başkanlık tarafından belirlenecek sertifikasyon ve yetkilendirme süreçlerini tamamlamaları gerekecek.
Denetim Mekanizması: Başkanlık, siber güvenlik denetimi gerçekleştiren bağımsız denetçi ve denetim kuruluşlarını yetkilendirme ve gerektiğinde bu yetkiyi iptal etme hakkına sahip.
Ceza Hükümleri:
– Siber uzayda veri sızıntısı sebebiyle edinilen kişisel veya kritik kamu hizmeti verilerini izinsiz paylaşanlara 3-5 yıl hapis cezası öngörülüyor.
-Gerçekte olmayan veri sızıntıları hakkında panik yaratmak amacıyla gerçeğe aykırı içerik üretenlere 2-5 yıl hapis cezası uygulanacak.
-Ceza hükümleri oldukça kapsamlı ve caydırıcı nitelikte düzenlenmiş.
“Kamuyu ve dijital teknoloji kullanan özel sektörü etkileyecek”
Konuyla ilgili kısa görüşünü LinkedIn hesabından paylaşan Av. Yaşar K. Canpolat (üstte), “Sadece kamuyu değil, herhangi bir şekilde dijital teknoloji kullanan özel sektörü de ilgilendiren Siber Güvenlik Kanunu yürürlüğe girdi,” diyerek şöyle devam etti:
“Kanun’un “çatı” bir kanun olması itibariyle genel bir çerçeve çizdiği, temel ilkelere önem atfettiği ve cezai yaptırımları yüksek tutarlarda düzenlediği göze çarpmaktadır. Düzenlemenin aktörlerinin yetki ve yükümlülüklerinin kapsamı, ilerleyen dönemde çıkarılacak ikincil düzenlemelerle daha net belirlenecek.
Ülkemize hayırlı olsun…”
