19 Mart 2025 tarihli Resmî Gazete’de yayımlanarak yürürlüğe giren Siber Güvenlik Kanunu’nun temel amacından sizlere bahsetmek isteriz. Ama Siber Güvenlik Kanunu öncesinde 7 Nisan 2024 tarihinde yürürlüğe giren 6698 Kişisel Verilerin Korunması Kanunu’na bakalım. KVKK’nın temel amacı; ‘’Kişisel verilerin işlenmesinin disiplin altına alınması ve Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunmasıdır.’’ İşte tam da bu kapsamda Siber güvenlik kanununda artık sadece kişisel veriler değil tüm bilgiler (bilgi güvenliğini sağlamak üzere) çalışmalar yapılması beklenmektedir…

Kısacası KVKK ile kişisel verileri korunuyorduk, şimdi ise Siber güvenlik kanunu ile bütün varlıkları, bilgiler korumuş olacağız…

Şimdi asıl gelelim Siber Güvenlik Kanunun temel amacına; ‘’ Türkiye’nin siber güvenliğini güçlendirmek, dijital altyapıları korumak ve siber tehditlere karşı ulusal bir strateji oluşturmaktır.’’

Siber güvenlik kanunun 1. Maddesinde amaç daha kapsamlı bir şekilde ifade edilmiştir. ‘’Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ilişkin esasları düzenlemek.”

Peki Bu Kanun Kimleri Kapsıyor?

Bu kanun, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan, kamu kurumları, kamu kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler, tüzel kişiliği olmayan kuruluşlar şeklinde açıkta bırakmadan herkesi ele almıştır. Tek bir kriter var o da siber uzayda varlık göstermeleri.

Kanunun Temel İlkeleri Nelerdir?

• Siber güvenlik artık milli güvenliğin ayrılmaz bir parçası olarak kabul edilmektedir.
• Siber güvenlik hizmeti verenlerin ve ürün geliştirenlerin tüm yaşam döngüsü boyunca güvenliğe önem vermesi gerekmektedir.
• Yerli ve milli ürünlerin tercihi
• Güvenlik sadece güvenlik birimlerinin değil, herkesin sorumluluğundadır.
• Siber güvenlik alanında insan kaynağının teşvik edilmesi ve geliştirilmesi hedeflenmektedir.
• Hukukun üstünlüğü ve temel hakların korunması

Kanunla birlikte yeni bir kurumsal yapı ve görev dağılımı öngörülmektedir:

Siber Güvenlik Kurulu: Cumhurbaşkanlığı Başkanlığı’nda, ilgili bakanlar ve Siber Güvenlik Başkanından oluşmaktadır. En önemli görevi, politika, strateji ve eylem kararlarını almaktır. Kritik altyapı sektörlerini belirleme yetkisi bu kuruldadır.

Siber Güvenlik Kurulu; Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Millî İstihbarat Teşkilâtı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanından oluşur. Cumhurbaşkanının katılmadığı hallerde Kurula Cumhurbaşkanı Yardımcısı başkanlık eder.

Siber Güvenlik Başkanlığı: Siber Güvenlik Kurulu’nun kararlarına istinaden strateji, eylem planı ve politikaları hazırlama görevini üstlenir. 8 Ocak’ta Cumhurbaşkanlığı Kararnamesi ile kurulmuştur.

Başkanlık Yetkileri şunlardır:

• Politika, strateji ve hedeflerin planlanması, hazırlanması,
• Projelerin desteklenmesi,
• İşbirliğinin artırılması, yerli ve milli ürünlere teşvik sağlanması,
• AR-GE transferi,
• Acil durum ve kriz yönetim planlarının yapılması, kapasite ve kaynak yönetiminin planlanması.
• Zafiyetlerin tespiti,
• Dijital Dönüşüm Ofisi’nin kapanmasıyla ilgili konuların devralınması,
• Uygulamaları yaptırmak, düzenlemek, işletmek, oluşturmak, denetlemek, denetlettirmek, standartlar belirlemek,
• Kritik altyapı sektörlerinin içindeki kurumları ve konumları belirlemek,
• Zafiyet ve sızma testlerini koordine etmek,
• SOME’lerin kurulması, yönetilmesi, olgunluk seviyelerinin belirlenmesi,
• Siber güvenlik alanında faaliyet gösteren firmaların uyması gereken usul ve esasları düzenlemek,
• Standartlar ve sertifikasyonları (TSY standardı, kamu bilişim sertifikası, sızma testi yetki belgesi vb.) belirlemek,
• Bağımsız denetim lisanslarına sahip firmaları belirlemek.

Siber Güvenlik Kanunu’nda Hangi Cezalar Var?

Kanun’da geçen cezai hükümler ve idari para cezalarının bir kısmı şöyle:

• Kamu kurum ve kuruluşları hariç olmak üzere bu Kanunla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar bir yıldan üç yıla kadar hapis ve beş yüz günden bin beş yüz güne kadar adli para cezası ile cezalandırılır.
• Bu Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler iki yıldan dört yıla kadar hapis ve bin günden iki bin güne kadar adli para cezası ile cezalandırılır.
• Sır saklama yükümlülüğünü yerine getirmeyenlere dört yıldan sekiz yıla kadar hapis cezası verilir.
• Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara üç yıldan beş yıla kadar hapis cezası verilir.
• Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir.
• Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde sekiz yıldan on iki yıla kadar hapis cezası verilir. Bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara on yıldan on beş yıla kadar hapis cezası verilir.
• Yukarıdaki fıkralara göre verilecek ceza suçun kamu görevlisi tarafından işlenmesi hâlinde üçte bir oranında, birden fazla kişi tarafından işlenmesi hâlinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi hâlinde yarısından iki katına kadar artırılır.

Konu hakkında daha fazla bilgi almak için Forcerta’yı arayabilirsiniz.