Siber Güvenlik şirketleri için Siber Güvenlik Başkanlığı onay şartı
Kritik altyapıların siber güvenliğinin sağlanması için yerli ve millî teknolojilerin Siber Güvenlik Kanunu Kapsamında hükme bağlanarak, Cumhurbaşkanı tarafından yürütülecek olan Siber Güvenlik Başkanlığı Hakkında Cumhurbaşkanlığı Kararnamesi (“Kararname”) 8 Ocak 2025 tarih ve 32776 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Yürürlüğe giren bu yeni Kararname ile Siber Güvenlik Başkanlığı (“Başkanlık”) kurulmuş ve Başkanlığın görev, yetki ve sorumluluklarına ilişkin usul ve esaslar belirlenmiştir. Akabinde, 10 Ocak 2025’te Cumhurbaşkanı tarafından yürütülecek olan Siber Güvenlik Kanunu’nun teklifi de (“Taslak Kanun”) meclis tarafından onaylanmış olup, Resmi Gazetede yayımlandığı gün yürürlüğe girmesi beklenmektedir.
Kararname’de Başkanlığın Görev ve Yetkileri düzenlenmiş olup; bu minvalde Başkanlık’ın çalışmaları aşağıdakileri içerecektir:
- Siber güvenliğin sağlanması amacıyla politika, strateji ve hedefleri belirlemek, eylem planları hazırlamak, mevzuat çalışmalarını yürütmek, ilgili faaliyetlerin koordinasyonunu sağlamak ve bunların etkin şekilde uygulanmasını takip etmek;
- Siber güvenlik konusunda bilinçlendirme, eğitim ve farkındalığı artırmaya yönelik çalışmalar yürütmek;
- Siber güvenlik ve bilgi güvenliğini destekleyici projeler yürütmek;
- Siber güvenlik alanında kamu, özel sektör ve üniversiteler arasındaki iş birliğinin artırılmasına yönelik çalışmalar yapmak;
- Siber güvenlik ekosistemi ile yerli ve millî ürün ve teknolojilerin geliştirilmesine ve yerli girişimcilerin dünya pazarında rekabetçi konuma gelmesine yönelik çalışmalar yapmak:
- Siber güvenliğe ilişkin ihtiyaç duyulan alanlarda araştırma-geliştirme (Ar-Ge) faaliyetleri yürütmek ve teknoloji transferi yapmak:
- Siber güvenlikle ilgili yurtiçinde veya yurtdışında düzenlenen tatbikat, etkinlik ve fuarlara katılımın özendirilmesine yönelik çalışmalar yürütmek:
- Siber güvenlik zafiyetlerinin tespit edilmesi amacıyla çalışmalar yürütmek;
- Siber güvenlik alanındaki kapasitenin kritik alanlara yönlendirilmesi ve mükerrer yatırımların önlenmesi için öncelikli siber güvenlik alanlarını belirlemek;
- Siber güvenlik acil durum ve kriz yönetim planları oluşturmak ve bu planlar çerçevesinde ortak operasyon merkezleri kurmak;
- Siber güvenlik alanında kamu kurum ve kuruluşları tarafından verilecek teşviklere ilişkin görüş bildirmek;
- Mevzuatla verilen diğer görevleri yerine getirmek.
21 maddeden oluşan Taslak Kanun’un amacı Türkiye’nin siber uzaydaki ulusal güvenliğini güçlendirmek olup; bu kapsamda, ülkenin kritik altyapılarını ve bilişim sistemlerini tehdit eden siber saldırılara karşı (i) koruma sağlanması için alınacak tedbirler, (ii) oluşturulacak strateji ve politikalar, ve (iii) Siber Güvenlik Kurulu’nun kurulmasıdır. Siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esaslar da Başkanlık tarafından belirlenecek olup; kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri sunacak olan siber güvenlik uzmanları ve şirketler Başkanlık tarafından yetkilendirilecek ve belgelendirilecektir. Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketleri için de Başkanlık onayı aranacaktır. Gerekli onay, yetki veya izinleri almadan faaliyet gösterilmesi halinde, Başkanlık 2 yıldan 4 yıla kadar hapis ve 100 günden 2000 güne kadar adli para cezasına hükmedebilecektir.
Millî İstihbarat Teşkilâtı hariç, tüm kamu ve özel sektör Taslak Kanun’a tabii olacaktır. Başkanlık’ın gerekli gördüğü hallerde siber güvenlik anlamında tüm fiil ve işlemi denetleme yetkisi mevcuttur.
Taslak Kanun ile kritik altyapıların korunması süreçlerinde yerli ve millî teknolojilerin öncelikli olarak tercih edilmesi hedeflenmektedir. Başkanlığın görevlerinin yürütülmesi sırasında ihtiyaç duyduğu her türlü malzeme, araç, gereç, makine, cihaz ve sistemlerin ithalatında ve yurt dışına çıkış aşamalarında, kamu kurum ve kuruluşlarından, gerçek ve tüzel kişilerden alınması gereken izin ve uygunluk belgesi aranmayacaktır.
Türk Ceza Kanunu’ndaki verilerin hukuka aykırı sayılması maddesine ek olarak, Taslak Kanun siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara 3 yıldan- 5 yıla kadar hapis cezası öngörmektedir.
Başkanlıkta kadrolu veya sözleşmeli statüde görev yapanlar görevlerinin herhangi bir nedenle sonlanması halinde dahi Başkanlıktan muvafakat almadan 2 yıl süreyle yurt içi veya yurt dışında siber güvenlik alanında resmi veya özel başka hiçbir görev alamaz ve bu alanda ticaretle uğraşamaz, serbest meslek faaliyetinde bulunamaz ve özellikle bu sektörde faaliyet gösteren bir şirkette hissedar veya yönetici olamaz. İşbu rekabet yasağı maddesinin Yargıtay kararlarına göre, coğrafi sınırları, belirli bir bölge veya birkaç il ile sınırlandırılması beklenirken işbu düzenlemenin uygulamasının nasıl değerlendirileceği merak konusu olacaktır. Zira maddeye aykırılıkta da 3 yıldan- 5 yıla kadar hapis cezası öngörülmektedir.
Kamu destekleriyle kurulan, geliştirilen veya desteklenen siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı ile bunları üreten şirketlerin bölünme, birleşme, pay devri veya satış işlemleri Başkanlık onayına tabiidir. Kamu kurum ve kuruluşları ile kritik altyapılar için yeni tedarik sözleşmeleri kapsamında kullanılacak siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerinin yurt dışına satışı ile bunları üreten şirketlerin bölünmesi, birleşmesi, pay devri veya satış işlemler için de Başkanlık onayı şarttır.
Taslak Kanun’un yürürlüğe girmesinden itibaren 6 ay içerisinde, Bilgi Teknolojileri ve İletişim Kurumu’na (“BTK”) ait ve münhasıran ulusal siber güvenlik faaliyetleri kapsamında kullanılan her türlü taşınır, bilgi işlem alt yapısı ve sistemler, taşıt, araç, gereç ve malzeme, fiziki ve elektronik ortamdaki her türlü kayıt ve doküman ile diğer her türlü varlık envanteri ve BTK tarafından söz konusu faaliyetlerin yürütülmesinden doğan her türlü borç ve alacaklar, hak ve yükümlülükler, Başkanlık’a devredilecektir. İşbu düzenlemeden Usom (Ulusal Siber Olaylara Müdahale Merkezi) ve Some (Siber Olaylara Müdahale Ekipleri) altyapılarının Başkanlık tarafına geçeceği anlaşılmaktadır.
