Siber Güvenlik Kanunu teklifinin tam metni

Türkiye, siber güvenlik alanında önemli bir adım atmak için yasal düzenlemeleri güçlendiriyor. Siber Güvenlik Kanunu Teklifi’ni Türkiye Büyük Millet Meclisi'ne (TBMM) sunuldu. Kanun teklifi, siber uzaydaki milli gücü pekiştirerek, hem iç hem de dış tehditlere karşı güvenliği artırmayı amaçlıyor.

Teklif, kamu kurumları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsayacak şekilde siber güvenlik tedbirlerinin uygulanmasını öngörüyor. Özellikle siber tehditlerin erken tespiti, bu tehditlere karşı hızlı ve etkili müdahale edilmesi hedefleniyor.

Siber Güvenlik Kanunu Teklifi'nin 1. Maddesi, Türkiye Cumhuriyeti’nin siber uzayda karşılaşabileceği tehditlere karşı gerekli düzenlemelerin yapılması ve siber saldırılara karşı korunmasını sağlamak amacıyla hazırlanmış durumda. Kanunun temel ilkeleri, siber güvenliği milli güvenliğin ayrılmaz bir parçası olarak kabul etmekte ve yerli ve milli ürünlerin kullanılması gerektiği vurgulanmaktadır. Ayrıca, siber güvenlik tedbirlerinin tüm hizmet ve ürünlerin yaşam döngüsüne entegre edilmesi gerektiği belirtiliyor.

Siber Güvenlik Başkanlığı'nın Yetkileri

Teklifin bir diğer önemli unsuru, Siber Güvenlik Başkanlığı'na verilen görevlerdir. Başkanlık, kritik altyapılar ve bilişim sistemlerinin korunmasına yönelik çalışmalar yürütecek, siber saldırılara karşı tespit, analiz ve müdahale işlemlerini gerçekleştirecek. Ayrıca, zararlı yazılımlar hakkında inceleme yapılacak ve uluslararası iş birliği sağlanacak.

Siber Güvenlik Kurulu'nun Oluşumu ve Görevleri

Cumhurbaşkanlığı başkanlığında oluşturulacak Siber Güvenlik Kurulu, ülkenin siber güvenlik politikalarını belirleyecek ve stratejiler geliştirecek. Kurul, Cumhurbaşkanı Yardımcısı ve ilgili bakanlardan oluşacak. Ayrıca, gerektiğinde teknik düzeyde komisyonlar ve çalışma grupları oluşturulacak. Bu yapı, ülke genelinde siber güvenliği koordine edecek ve ulusal siber güvenlik stratejilerini hayata geçirecek.

Siber Güvenlik Kanunu'na Yönelik Cezai Düzenlemeler

Teklif, siber güvenlik alanında yasa ihlalleri durumunda caydırıcı cezalar öngörüyor. Bilgi verilmemesi, izinsiz faaliyet yürütülmesi ve veri ihlali gibi durumlarda ağır hapis ve adli para cezaları uygulanacak. Ayrıca, kamu destekleriyle üretilen siber güvenlik ürünlerinin yurt dışına satışı ve şirket birleşmeleri, Başkanlık onayına tabi olacak. Siber güvenlik alanında faaliyet gösteren dernekler, federasyonlar ve ticaret şirketleri, Kanun yayımlandıktan sonra belirlenen sertifikasyon ve yetkilendirme işlemlerini tamamlamak zorunda olacak. Aksi takdirde, faaliyetlerine son verilecek.

Yasal Düzenlemelerin Kamuya Etkisi

Siber Güvenlik Kanunu Teklifi, Türkiye'nin mevcut siber güvenlik yapısını daha koordineli ve etkili bir hale getirmeyi amaçlıyor. Kamu kurumları ile uyum içinde çalışacak olan Başkanlık, ayrıca sözleşmeli uzman personel alımını da içeren düzenlemelere sahip olacak. Personel alımında güvenlik soruşturması yapılacak ve işe alım süreci, ilgili güvenlik şartlarına uygun şekilde gerçekleştirilecek. Ayrıca, Başkanlık, belirli yasaklar doğrultusunda faaliyet gösterecek ve görevden ayrılanların siber güvenlik alanında görev alması yasaklanacak.

Siber Güvenlik Kanunu teklifinin tam metni

SİBER GÜVENLİK KANUNU TEKLİFİ

BİRİNCİ BÖLÜM
Başlangıç Hükümleri
Amaç
MADDE 1- (1) Bu Kanunun amacı, Türkiye Cumhuriyetinin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ilişkin esasları düzenlemektir.

Kapsam
MADDE 2- (1) Bu Kanun, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsar.
4/7/1934 tarilıli ve 2559 sayılı Polis Vazife ve Salahiyet Kanununun ek 7 nci maddesi ve 10/3/1983 tarihli ve 2803 sayılı Jandarma Teşkilat, Görev ve Yetkileri Kanununun ek 5 inci maddesi uyarınca yürütülen istihbari faaliyetler ile 1/11/1983 tarihli ve 2937 sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu uyarınca yürütülen faaliyetler bu Kanun kapsamı dışındadır.
Tanım ve kısaltmalar

MADDE 3- (1) Bu Kanunda geçen;
Barındırma: Bilişim sistemlerinin harici bir veri merkezinde bulundurulmasını,
Başkan: Siber Güvenlik Başkanını,
Başkanlık: Siber Güvenlik Başkanlığını,
ç) Bilişim sistemleri: Bilgi ve iletişim teknolojileri vasıtasıyla sağlanan her türlü hizmetin, işlemin ve verinin sunumunda kullanılan donamm, yazılım, sistem ve aktif veya pasif durumda bulunan tüm diğer bileşenleri,
Kritik altyapı: İşlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barmdıran altyapıları,
Kritik kamu hizmeti: Ulusal, toplumsal veya ekonomik faaliyetlerin sürdürülmesi İçin gerekli olan ve kesintiye uğraması veya zarar görmesi halinde ulusal güvenlik, ülkenin sosyal veya ekonomik refahı, kamu düzeni veya sağlığı ya da diğer hizmetlerin sunumu üzerinde önemli bir etki oluşturabilecek ülke genelinde tekel veya sınırlı ikame ile sunulan hizmeti,
Siber güvenlik: Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye alınmasını ve sonrasında yaşanan siber olay öncesi duruma geri döndürülmesin! kapsayan faaliyetler bütününü,
Siber olay: Bilişim sistemlerinin veya bu sistemler tarafından işlenen verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesini,
ğ) Siber saldırı: Siber uzaydaki bilişim sistemlerinin ve bu sistemler tarafından işlenen verinin gizliliği, bütünlüğü veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın herhangi bir yerindeki kişi veya bilişim sistemlerine yönelik olarak kasıtlı yapılan işlemleri,
Siber tehdit: Bilişim sistemlerinin, bu sistemlerde bulunan veya bu sistemler tarafından işlenen verinin gizlilik, bütünlük veya erişilebilirliğinin ihlal edilmesine neden olabilecek potansiyel tehlikeleri,
ı) Siber tehdit istihbaratı: Siber uzaydaki varlıklara yönelik mevcut veya potansiyel siber tehdit unsurları ile siber saldırılar hakkında bir araya getirilmiş, dönüştürülmüş, analiz edilmiş, yorumlanmış veya zenginleştirilmiş bilgiyi,
Siber uzay: Doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortamı,
SOME: Siber olaylara müdahale ekibini,
Varlık: Elektronik veya fiziksel ortamlarda yer alan ve iletişim yoluyla aktarılabilen veriyi içeren tüm bilgi ve bilgi işleme olanaklarını, veriyi kullanan veya taşıyan personeli ve veriyi barındıran fiziksel mekânları,
Zafiyet: Siber uzayda yer alan varlıkların herhangi bir siber tehdit tarafından istismar edilebilecek zayıflık ve güvenlik açıklarını,
ifade eder.
Temel ilkeler
MADDE 4- (1) Siber güvenliğin sağlanmasında temel ilkeler şunlardır:
Siber güvenlik milli güvenliğin ayrılmaz bir parçasıdır.
Kritik altyapı ve bilişim sistemlerinin korunması ile güvenli bir siber uzay oluşturulması temel hedeftir.
Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülür.
ç) Siber güvenlik tedbirlerinin hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanması esastır.
Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünler tercih edilir.
Siber güvenlik politika ve stratejilerinin yürütülmesi ile siber saldırıların önlenmesi veya etkisinin azaltılmasına yönelik gerekli tedbirlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumludur.
Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esastır.
Siber güvenlik politika ve strateji geliştirme çalışmaları sürekli gelişim yaklaşımı ile yürütülür.
ğ) Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilir.
Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenir.
ı) Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkeleri temel esas kabul edilir.

İKİNCİ BÖLÜM
Görev, Yetki, Sorumluluk, Denetim ve Siber Güvenlik Kurulu

Başkanlığın görevleri
MADDE 5- (1) Başkanlığın görevleri şunlardır:
İlgili mevzuatta yer alan görevleri yapmak.
Kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber saldırılara karşı korunmasına, gerçekleştirilen siber saldırıların tespitine, muhtemel saldırıların önlenmesine ve etkilerinin azaltılmasına veya ortadan kaldırılmasına yönelik faaliyet yürütmek, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri yapmak veya
yaptırmak, siber tehditlerle mücadele etmek, siber tehdit istihbaratı elde etmek, oluşturmak ve paylaşmak, zararlı yazılım inceleme faaliyetleri yürütmek.
Kritik altyapılar ile ait oldukları kurumlan ve konumları belirlemek.
ç) Kamu kurum ve kuruluşları ile kritik altyapıların veri envanteri dâhil olmak üzere tüm varlıklarının envanterinin tutulmasım ve varlıklara yönelik risk analizinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşlan ile kritik altyapıların sahip olduğu varlıkların kritikliğine göre güvenlik tedbirlerini almak veya aldırmak.
SOMETer kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk seviyelerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, diğer ülkelerin siber olaylara müdahale ekipleriyle koordinasyon kurmak, her türlü siber müdahale aracının ve milli çözümlerin üretilmesi ve geliştirilmesi amacıyla çalışmalar yapmak, yaptırmak ve bunları teşvik etmek.
Siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları düzenlemek.
Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak amacıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına güvenli sistem ve altyapılar üzerinden barındırma hizmeti sunmak veya sunulmasım sağlamak, bu faaliyetlere yönelik uygulama usul ve esaslarını belirlemek.
Siber güvenlik alanına ilişkin standartları hazırlamak, diğer kişi veya kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğu takdirde standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek.
ğ) Siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifıkasyon işlemlerini yürütmek, buna yönelik test altyapıları kurmak, kurdurmak ve işletmek ile siber güvenlik uzmanlan ve şirketlerine yönelik sertifıkasyon, yetkilendirme ve belgelendirme işlemlerini ilgili kurumlarla koordineli olarak yürütmek.
Siber güvenlik denetimini gerçekleştirmek ve sonucuna göre yaptırım uygulamak.
Kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunlann denetimini yapmak ya da yaptırmak, denetimleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi geçici olarak durdurmak ya da iptal etmek.
Yetkiler
MADDE 6- (1) Başkanlık, görevlerini yerine getirirken aşağıdaki yetkileri kullanır:
İlgili mevzuatta yer alan yetkileri kullanmak.
Bu Kanun kapsamındakilerin siber saldırılara karşı korunması ve bu saldırıların kaynağına karşı caydırıcılık sağlanması için gerekli tedbiri alır veya aldırır. Bu kapsamda bilişim sistemlerine uygun bulunan yazılım ve donamm ürünlerinin kurulum ve entegrasyonunu sağlayabilir, bu ürünler tarafından üretilen veya toplanan veri ve log kayıtlarını Başkanlık yönetiminde bulunan bilişim sistemlerine aktarabilir, siber olayların tespitine yönelik gerekli yöntemi ve aracı kullanabilir.
Bu Kanun kapsamındakilerden siber olaya maruz kalanlara yerinde veya uzaktan siber olay müdahale desteği sağlayabilir, siber uzayda bulunan veya elde ettiği veri, imaj veya log kayıtları üzerinden saldırılara ait izleri takip edebilir, bunları inceleyerek delillendirebilir, suç teşkil ettiği değerlendirilen bulguları adli makamlar ve diğer ilgililer ile paylaşır, yurt içi ve yurt dışındaki paydaşlar ile koordinasyon sağlayabilir.
ç) Bu Kanun kapsamındakilerden, yürüttüğü faaliyetlerle sımrlı olmak üzere bilgi, belge, veri ve kayıtları alabilir ve değerlendirmesini yapabilir, bunlara ait arşivlerden, elektronik bilgi
işlem merkezlerinden ve iletişim alt yapısından yararlanabilir ve bunlarla irtibat kurabilir. Bu kapsamda elde edilen bilgi, belge, veri ve kayıtlar, en fazla iki yıl süreyle çalışmaya konu edilir ve çalışma süresi sonrasında imha edilir. Bu kapsamda talepte bulunulanlar, kendi mevzuatındaki hükümleri gerekçe göstermek suretiyle talebin yerine getirilmesinden kaçınamazlar.
Bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilir, saklayabilir, değerlendirebilir. Bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilir.
Başkanlık, bakanlıklar ve diğer kamu kurum ve kuruluşları ile koordineli olarak siber güvenlik konularında ihtiyaç halinde personel tefrik edebilir.
Görev alanına giren konularda uluslararası kuruluşlar ve ülkelerle ilişkiler yürütebilir, bilgi alışverişinde bulunabilir, ülkemizi temsil edebilir ve koordinasyonu sağlayabilir, uluslararası kuruluşların çalışmalarına katılabilir, alınan kararların uygulanmasını takip edebilir ve gereldi koordinasyonu sağlayabilir.
Bu Kanun kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları sınıflandırabilir, faaliyetlerini icra ederken gerektiğinde sadece belirli bir kısmını kapsayan hükümler oluşturabilir.
ğ) Siber güvenlik denetimi gerçekleştiren bağımsız denetçiler ve bağımsız denetim kuruluşlarını yetkilendirebilir, yetkisini süreli veya süresiz iptal edebilir.
Kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe etkisi olan yazılım, donanım, ürün ve hizmetlere kullanım öncesinde uygunluk verir.
Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin asgari güvenlik kriterlerini belirler. Bunları sağlayacak veya tedarik edecek gerçek ve tüzel kişilere yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetir. Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin belirlenecek standartlara uygun hale getirilmesini talep edebilir, bu talebe uyum sağlamayanların kullanılmasını önleyici tedbirler alabilir.
Bu Kanun uyarınca yürütülen iş ve işlemler kapsamında kişisel veriler; hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde güncel olmak kaydıyla, belirli, açık ve meşru amaçlarla, işlendiği amaçla bağlantılı, sınırlı ve ölçülü olmak kaydıyla ve işlendiği amaç için gerekli olan süre kadar muhafaza edilmek üzere işlenir. Bu Kanunda belirtilen yetkiler çerçevesinde elde edilecek kişisel veriler ve ticari sırlar; bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinir, yok edilir veya anonim hale getirilir.
Bu maddenin uygulanmasına ilişkin usul ve esaslar Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenir.
Sorumluluklar ve iş birliği
MADDE 7- (1) Bu Kanun kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin siber güvenliğe ilişkin görev ve sorumlulukları şunlardır:
Başkanlığın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında Başkanlığa iletmek.
Siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek.
Kamu kurumlan ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanları ve şirketlerden tedarik etmek.
ç) Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayım almak.
Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan tavsiye ve benzeri belgelerde yer alan hususları yerine getirmek ve gerekli tedbirleri almak.
Başkanlık, bu Kanunda belirtilen faaliyetlerin yürütülmesinde kamu kurum ve kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşlarla iş birliği içerisinde çalışır.
Denetim
MADDE 8- (1) Başkanlık, bu Kanunda belirtilen görevleri ile ilgili olarak gerekli gördüğü hallerde Kanunun kapsamına giren her türlü fiil ve işlemi denetleyebilir; bu amaçla mahallinde inceleme yapabilir veya yaptırabilir. Denetim, bu Kanun kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişilerin bu Kanun hükümleriyle ilgili faaliyet ve işlemlerini kapsar. Denetime Başkanlık personeli, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız denetim kuruluşları yetkilidir. Bu yetki, Başkan tarafından görevlendirilenler tarafından kullanılır. Kamu kurum ve kuruluşları ile kritik altyapılarda denetimler, Başkanlık personelince veya refakatinde yapılır.
Başkanlık, denetim faaliyetlerine ilişkin önemlilik ve öncelik ilkeleri ile risk değerlendirmelerinde dikkate alınacak ölçütleri ve uygulama esaslarını belirler. Denetim faaliyeti, önemlilik ve öncelik ilkeleri ile risk değerlendirmeleri kapsamında oluşturulacak program uyarınca yürütülür. Başkan, oluşturulan program dışında incelenmesi gerekli görüldüğü hususlarda program dışı denetim yaptırabilir.
Mülki amirler, kolluk kuvvetleri ve diğer kamu kurumlarının amir ve memurları inceleme veya denetimle görevlendirilenlere her türlü kolaylığı göstermek ve yardımda bulunmakla yükümlüdürler.
Denetimle görevlendirilenler; yürüttükleri denetim faaliyetleriyle sınırlı olarak elektronik ortamdaki verinin, belgelerin, elektronik altyapımn, cihaz, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret veya örnek alınması, konuyla ilgili yazılı veya sözlü açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi konularında yetkilidir. Denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almak zorundadır.
Hâkim kararı üzerine veya gecikmesinde sakınca bulunan hâllerde Başkanın yazılı emri ile konutta, işyerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilir ve kopya çıkarma ve elkoyma işlemi gerçekleştirilebilir. Hâkim kararı olmaksızm yapılan arama ve gerçekleştirilen kopya çıkarma ve elkoyma işlemleri yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını kırksekiz saat içinde açıklar; aksi hâlde çıkarılan kopyalar ve çözümü yapılan metinler derhâl imha edilir ve elkoyma kendiliğinden kalkar. Bu fıkra kapsamına giren talepler bakımından Ankara sulh ceza hâkimliği yetkili ve görevlidir. Ancak kamu kurum ve kuruluşları bakımından hâkimlik kararı aranmaz.
Siber Güvenlik Kurulu
MADDE 9- (1) Siber Güvenlik Kurulu; Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakam, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savumna Sanayii Başkanı ve Siber Güvenlik Başkanından oluşur. Cumhurbaşkanının katılmadığı hallerde Kurula Cumhurbaşkanı Yardımcısı başkanlık eder.
Kurul toplantılarına üyeler dışında, gündemin özelliğine göre ilgili bakan ve kişiler de çağrılarak bilgi ve görüş alınabilir.
Kurul görevleri kapsamında gerekli görmesi halinde komisyon ve çalışma grupları oluşturabilir. Komisyon ve çalışma grupları, Kurulun görev alamna giren hususlarda teknik
düzeyde çalışmalar yapar ve karar önerileri oluşturur. Komisyon ve çalışma grubu toplantılarına görüşlerinden faydalanmak üzere alanında uzman kişiler davet edilebilir.
Kurulun görevleri şunlardır:
Siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlere yönelik kararları almak, alınan kararların tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek.
Başkanlık tarafından hazırlanan siber güvenlik alanına ilişkin teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararlar almak.
Siber güvenlik alanında teşvik verilecek öncelikli alanları belirlemek, siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar almak.
ç) Kritik altyapı sektörlerini belirlemek.
Başkanlık ile kamu kurum ve kuruluşları arasında meydana gelebilecek ihtilaflar hakkında karar almak.
Kurulun sekretarya hizmetleri Başkanlık tarafından yürütülür. Kurul, komisyon ve çalışma gruplarının çalışma usul ve esasları Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenir.

ÜÇÜNCÜ BÖLÜM
Personele İlişkin Hükümler
Sözleşmeli uzman personel istihdamı
MADDE 10- (1) Başkanlıkta siber güvenliğin sağlanması ile ilgili görevleri yürütmek üzere sayısı Cumhurbaşkanınca belirlenecek sözleşmeli uzman personel çalıştırılabilir. Bu personelin nitelikleri, atanma şartları gibi istihdamlarına ilişkin hususlar ile bunlara verilecek her türlü ödemeler dahil net ücretler, 14/7/1965 tarihli ve 657 sayılı Devlet Memurları Kanununun 4 üncü maddesinin (B) bendine göre çalıştırılanlar için uygulanmakta olan sözleşme ücret tavanının beş katını aşmamak üzere Siber Güvenlik Kurulu tarafından ilgililerin yürüteceği görevler göz önüne alınarak tespit edilir. Bu fıkra kapsamındaki personel, 31/5/2006 tarihli ve 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanununun 4 üncü maddesinin birinci fıkrasının (a) bendi kapsamında sigortalı sayılır. Kanunlardaki özel hükümler saklı kalmak kaydıyla, bu statüde çalıştırılma, sözleşme bitiminde kamu kurum ve kuruluşlarında herhangi bir pozisyon, kadro veya statüde çalışma açısından kazanılmış hak teşkil etmez.
Başkanlıkta; geçici olarak görevlendirilenler de dahil olmak üzere, görev alan tüm personele 7/4/2021 tarihli ve 7315 sayılı Güvenlik Soruşturması ve Arşiv Araştırması Kanunu uyarınca güvenlik soruşturması ve arşiv araştırması birlikte yapılır.
Zorunlu hizmet yükümlülüklerinin devri
MADDE 11- (1) Başkanlıkta istihdam edilen personelden ilgili mevzuatı kapsamında diğer kamu kurum ve kuruluşlarına karşı zorunlu hizmet yükümlülüğü bulunanların Başkanlıkta geçen hizmet süreleri, ilgili kamu kurum ve kuruluşunun da muvafakati alınmak kaydıyla, söz konusu yükümlülük sürelerinden düşülür.
Yasak hükümler
MADDE 12-(1) Başkanlıkta kadrolu veya sözleşmeli statüde görev yapanlardan Başkanlık ile herhangi bir nedenle ilişiği kesilenler Başkanlıktan muvafakat almadan iki yıl süreyle yurt içi veya yurt dışında siber güvenlik alanında resmi veya özel başka hiçbir görev alamaz ve bu alanda ticaretle uğraşamaz, serbest meslek faaliyetinde bulunamaz ve özellikle bu sektörde faaliyet gösteren bir şirkette hissedar veya yönetici olamaz.
Başkanlıktaki görev ve faaliyetler kapsamında edinilen bilgi, belge ve benzeri her türlü verinin, Siber Güvenlik Başkanlığınca yetki verilen durumlar hariç olmak üzere, radyo,
televizyon, internet, sosyal medya, gazete, dergi, kitap ve diğer tüm medya araçları ile her türlü yazılı, görsel, işitsel ve elektronik kitle iletişim araçları vasıtasıyla yayımlanması veya açıklanması yasaktır.
Sır saklama yükümlülüğü
MADDE 13- (1) Başkanlık tarafından yürütülen görev ve faaliyetler kapsamında edinilen kamuya, ilgililere ve üçüncü kişilere ait gizlilik taşıyan bilgiler, kişisel veriler, ticari sırlar ve bunlara ait belgeler mevzuat gereği yetkili kılınan mercilerden başkasına açıklanamaz, gerçek ve tüzel kişilerin menfaatine kullanılamaz.
DÖRDÜNCÜ BÖLÜM
Gelir ve Muafiyetler
Başkanlığın gelirleri
MADDE 14- (1) Başkanlığın gelirleri;
Genel bütçeden yapılacak hazine yardımlarından,
Başkanlığın faaliyetlerinden elde edilen gelirlerden,
Başkanlık tarafından verilen idari para cezalarından elde edilen gelirlerden,
ç) Kanun ve kararnamelerle kurulu bulunan ve kurulacak olan fonların gelirlerinden Cumhurbaşkanı kararıyla yüzde 10’una kadar aktarılacak tutarlardan,
Diğer gelirlerden,
oluşur.
Muafiyetler
MADDE 15- (1) Başkanlığın ihtiyaçları kapsamında yurt dışından ithalat veya hibe yoluyla sağlanacak her türlü malzeme, araç, gereç, makine, cihaz ve sistemleri ve bunların araştırma, geliştirme, eğitim, üretim, modernizasyon ve yazılımı ile yapım, bakım ve onarımlarında kullanılacak yedek parçalar, hammadde malzeme ile bedelsiz olarak dış kaynaklardan alınan yardım malzemeleri nedeniyle yapılacak işlemler gümrük vergisinden, fon ve resimlerden, harçlardan, bu işlemler nedeniyle düzenlenen kâğıtlar damga vergisinden istisnadır. Bu istisna, Başkanlık adına yurt dışına onarım, modernizasyon, bakım, mahrece iade, değişim maksadıyla kafi çıkış, geçici çıkış, bedelsiz ithalat ve giriş işlemlerinde de uygulanır.
Başkanlığın görevlerinin yürütülmesi sırasında ihtiyaç duyduğu her türlü malzeme, araç, gereç, makine, cihaz ve sistemlerin ithalatında ve yurt dışına çıkış aşamalarında, kamu kurum ve kuruluşlarından, gerçek ve tüzel kişilerden alınması gereken izin ve uygunluk belgesi aranmaz.
Kamu kurum ve kuruluşları ile diğer kurum ve kuruluşlar, bu Kanunda yazılı görevlerin yerine getirilmesi sırasında ihtiyaç duyulan hâllerde, kullanımlarında bulunan ve müsadere edilen her türlü malzeme, ekipman, teçhizat ve cihazı, diğer kanunların bu konudaki düzenlemelerine bakılmaksızın Başkanlığa geçici olarak tahsis edebilir veya bedelsiz devredebilirler.

BEŞİNCİ BÖLÜM
Cezai Hükümler ve İdari Para Cezalarının Uygulanması
Cezai hükümler ve idari para cezaları
MADDE 16- (1) Kamu kurum ve kuruluşları hariç olmak üzere bu Kanunla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar bir
yıldan üç yıla kadar hapis ve beşyüz günden binbeşyüz güne kadar adli para cezası ile cezalandırılır.
Bu Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler iki yıldan dört yıla kadar hapis ve bin günden ikibin güne kadar adli para cezası ile cezalandırılır.
Sır saklama yükümlülüğünü yerine getirmeyenlere veya bu Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara dört yıldan sekiz yıla kadar hapis cezası verilir.
Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara üç yıldan beş yıla kadar hapis cezası verilir.
Siber uzayda veri sızıntısı olmadığı halde veri sızıntısı yapılmış gibi bu yönde algı oluşturmak suretiyle kurumlan veya şalıısları hedef almaya yönelik faaliyet yürütenlere iki yıldan beş yıla kadar hapis cezası verilir.
Türkiye Cumhuriyetinin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara fiil daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde sekiz yıldan oniki yıla kadar hapis cezası verilir. Bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara on yıldan onbeş yıla kadar hapis cezası verilir.
Yukarıdaki fıkralara göre verilecek ceza suçun kamu görevlisi tarafından işlenmesi halinde üçte bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından iki katına kadar artırılır.
12 nci maddeye aykırı davrananlara üç yıldan beş yıla kadar hapis cezası verilir.
Kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere bir yıldan üç yıla kadar hapis cezası verilir.
7 nci maddenin birinci fıkrasının (b) ve (c) bentlerindeki görev ve sorumluluklarını yerine getirmeyenlere bir milyon Türk Lirasından on milyon Türk Lirasına kadar, 18 inci maddedeki görev ve sorumluluklarını yerine getirmeyenlere ise on milyon Türk Lirasından yüz milyon Türk Lirasına kadar idari para cezası verilir.
8 inci maddenin dördüncü fıkrasındaki yükümlülüklerini yerine getirmeyenlere, yüz bin Türk Lirasından bir milyon Türk Lirasına kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde yüzbin Türk Lirasından az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının %1’i ile vergi öncesi karının %20’sinden yüksek olamna kadar idari para cezası verilir.
İdari para cezalarının uygulanması
MADDE 17- (1) İdari para cezalarının uygulanmasından önce ilgilinin savunması alınır. Savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren otuz gün içinde savunma verilmemesi halinde, ilgilinin savunma hakkından feragat ettiği kabul edilir.
Bu Kanunda tanımlanan kabahatlerden birinin idari yaptırım kararı verilinceye kadar birden çok işlendiğinin tespit edilmesi halinde ilgili gerçek veya tüzel kişiye tek idari para cezası verilir ve verilecek ceza iki katını aşmayacak şekilde artırılarak uygulanır. Kabahatin işlenmesi nedeniyle bir menfaat temin edilmesi veya zarara sebebiyet verilmesi halinde verilecek idari para cezasının miktarı bu menfaat veya zararın üç katından az beş katından fazla olamaz.
Başkanlık tarafından verilen idari para cezaları, tebliğ tarihinden itibaren bir ay içinde ödenir. Bu süre içinde ödenmeyen ve kesinleşen idari para cezaları, Kurumun bildirimi üzerine
21/7/1953 tarihli ve 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun hükümlerine göre vergi dairelerince tahsil edilir.
Tahsil edilen idari para cezalarının yüzde ellisi Başkanlık bütçesine, yüzde ellisi genel bütçeye gelir kaydedilir. Başkanlığm tahsil ettiği idari para cezalarından ayrılan genel bütçe payı; vergi dairesince tahsil edilen idari para cezalarından ayrılan Başkanlık payı, tahsilatı takip eden ay sonuna kadar aktarılır.
Bu Kanun uyarınca verilen idari para cezası kararlarına karşı idari yargı yoluna başvurulabilir.

ALTINCI BÖLÜM
Çeşitli ve Son Hükümler
Siber güvenlik ürünleri ve şirketleri
MADDE 18- (1) Kamu destekleriyle kurulan, geliştirilen veya desteklenen siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı ile bunları üreten şirketlerin bölünme, birleşme, pay devri veya satış işlemleri, Başkanlığın uygun görüşüne tabidir. Kamu kurum ve kuruluşları ile kritik altyapılar için yeni tedarik sözleşmeleri kapsamında kullanılacak siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerinin yurt dışına satışı ile bunları üreten şirketlerin bölünmesi, birleşmesi, pay devri veya satış işlemlerinin Başkanlık onayına bağlanmasına ilişkin usul ve esaslar Başkanlık tarafından belirlenir. Başkanlık, bu kapsamda yer alan ürün, sistem, yazılım, donanım ve hizmetler ve şirketlerle ilgili olarak kamu kurum ve kuruluşlarından bilgi ve belge talep edebilir.
Birinci fıkraya ilişkin hususlar ve süreçler, Başkanlık tarafından çıkarılacak yönetmelikle belirlenir.
Değiştirilen ve yürürlükten kaldırılan hükümler
MADDE 19- (1) 27/6/1989 tarihli ve 375 sayılı Kanun Hükmünde Kararnamenin ek 34 üncü maddesinin üçüncü fıkrasına aşağıdaki cümle eklenmiştir.
“Siber Güvenlik Başkanı, mali ve sosyal hak ve yardımlar ile emeklilik hakları bakımından, bu fıkrada belirtilen usul ve esaslar çerçevesinde bakanlık müsteşarına denk kabul edilir.”
5018 sayılı Kanuna ekli (II) sayılı Cetvelin “B) Özel Bütçeli Diğer İdareler” bölümüne aşağıdaki satır eklenmiştir.
“46) Siber Güvenlik Başkanlığı”
4/5/2007 tarihli ve 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunun 10 uncu maddesinin altıncı fıkrası aşağıdaki şekilde değiştirilmiştir.
“(6) Kurum, görevleri kapsamında, içerik, yer, erişim sağlayıcılar ve ilgili diğer kurum ve kuruluşlarla koordinasyon sağlar, gerekli tedbirlerin aldırılması konusunda faaliyet yürütür ve ihtiyaç duyulan çalışmaları yapar.”
5/11/2008 tarihli ve 5 809 sayılı Elektronik Haberleşme Kanununun;
5 inci maddesinin birinci fıkrasının (h) bendi yürürlükten kaldırılmış ve (ı) bendi aşağıdaki şekilde değiştirilmiştir.
“ı) Bakanlığın yürüttüğü görevler kapsamındaki veri ve sistemlerin barındırılacağı veri merkezleri ve verilerin transferi için gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek, bu merkezlere yönelik politika, strateji ve hedefleri belirlemek, eylem planlarını hazırlamak, eylem planlarını izlemek ve tüm bu faaliyetlere yönelik uygulama usul ve esaslarını belirlemek, kurulum, uygulama ve işletim süreçlerini planlamak, yürütmek ve koordine etmek.”
6 ncı maddesinin birinci fıkrasının (v) bendi aşağıdaki şekilde değiştirilmiştir.
“v) İnternet alan adları ve Kurum görevleri konularında Cumhurbaşkanı ve Bakanlık tarafından verilen görevleri yerine getirmek.”
60 inci maddesinin onbirinci fıkrası ile ek 1 inci ve ek 2 nci maddeleri yürürlükten kaldırılmıştır.
Uyum, geçiş düzenlemeleri ve kuruluş işlemleri
GEÇİCİ MADDE 1- (1) Bilgi Teknolojileri ve İletişim Kurumu Başkanlığına ait ve münhasıran ulusal siber güvenlik faaliyetleri kapsamında kullanılan her türlü taşınır, bilgi işlem alt yapısı ve sistemler, taşıt, araç, gereç ve malzeme, fiziki ve elektronik ortamdaki her türlü kayıt ve doküman ile diğer her türlü varlık envanteri ile mezkur Başkanlıkça söz konusu faaliyetlerin yürütülmesinden doğan her türlü borç ve alacaklar, hak ve yükümlülükler, Siber Güvenlik Başkanlığına bu Kanunun yayımından itibaren altı ay içerisinde devredilir.
Bilgi Teknolojileri ve İletişim Kurumu Başkanlığının kadro ve pozisyonlarında bulunan personelden ulusal siber güvenlik faaliyetleri kapsamında çalışanlar, taleplerinin bulunması ve Siber Güvenlik Başkanlığınca uygun görülmesi halinde Başkanlıkta görevlendirilebilirler. Bunlardan talepte bulunan ve Başkanlıkça uygun görülenler mevcut kadro veya pozisyon unvanları ve öğrenim durumları dikkate alınarak bu Kanunun yayımından itibaren dokuz ay içerisinde Başkanlıkta durumlarına uygun kadro veya pozisyonlara atanabilirler. Bu fıkra kapsamında ataması yapılan personelin önceki kurumlarında veya kadrolarında geçirdikleri süreler yeni kurumlarında veya kadrolarında geçirilmiş sayılır. Bu fıkra kapsamında ataması yapılan personelden mali hakları hususunda haklarında 375 sayılı Kanun Hükmünde Kararnamenin geçici 10 uncu maddesi veya ilgili diğer mevzuat hükümleri uygulananlar hakkında amlan düzenlemelerin uygulanmasına devam edilir.
Bilgi Teknolojileri ve İletişim Kurumu Başkanlığının ulusal siber güvenlik faaliyetleri ile ilgili yapılmış olan sözleşmeler, açılmış ve açılacak olan davalar ve icra işlemlerinde ikinci fıkradaki atama işlemlerinin tamamlanması tarihi itibarıyla Başkanlık taraf sıfatını kazanır, mevcut dava dosyaları ve icra takiplerine ilişkin dosyalar Başkanlığa devredilir.
Siber güvenlik alamnda faaliyet icra eden dernek, derneklerden oluşan federasyonlar, vakıflar ile ticaret şirketleri, bu Kanunun yayımından itibaren bir yıl içerisinde Başkanlığın belirlediği ilke ve esaslar çerçevesinde sertifikasyon, yetkilendirme ve belgelendirme işlemlerini tamamlamakla yükümlüdürler. Bu yükümlülüğün yerine getirilmemesi halinde siber güvenlik alanında faaliyette bulunulamaz. Bu süre sonunda söz konusu yükümlülüklerini yerine getirmeyen dernek, vakıf ve federasyonların tüzel kişiliklerine, Başkanlığın talebi üzerine 22/11/2001 tarihli ve 4721 sayılı Türk Medeni Kanununun ilgili hükümlerine göre mahkeme kararıyla son verilir ve mahkeme tarafından yargılama sürecinde gerekli tedbirler alınır. Ticaret şirketleri ise aynı süre içinde yükümlülüklerini yerine getirmediği takdirde ticaret unvanlarında ve faaliyet konularında yer alan siber güvenliğe ilişkin ibareleri şirket sözleşmelerinden çıkarır veya ticaret sicilinden terkin edilmeleri amacıyla tasfiye süreçlerini başlatır.
19 uncu maddenin üçüncü ve dördüncü fıkraları uyarınca yürürlükten kaldırılan hükümler kapsamında faaliyet gösteren kurumlar Başkanlığın teşkilatlanmasının tamamlanmasına kadar anılan hükümler çerçevesinde görevlerini yürütmeye devam ederler.
Bu Kanunun uygulanmasına ilişkin düzenlemeler, bir yıl içinde yürürlüğe konulur. Bu düzenlemeler yürürlüğe girinceye kadar mevcut düzenlemelerin bu Kanuna aykırı olmayan hükümlerinin uygulanmasına devam olunur.
Yürürlük
MADDE 20- (1) Bu Kanun yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 21- (1) Bu Kanun hükümlerini Cumhurbaşkanı yürütür.

GENEL GEREKÇE

Günümüzde siber güvenlik, dijitalleşmenin hız kazandığı bir dünyada kritik önceliklerden biri haline gelmiştir. Hem bireylerin hem de kurumların dijital varlıklarını koruma ihtiyacı, gelişmiş ülkelerde stratejik Öneme sahip olan siber güvenlik politikalarım ve teknolojik yatırımları beraberinde getirmiştir. Yapay zekâ, blok zincir, büyük veri, kuantum ve bulut bilişim gibi teknolojilerin yaygınlaşması, siber tehditlerin karmaşıklığını artırırken, aynı zamanda savunma mekanizmalarımn gelişimini de tetiklemiştir. Kritik altyapıların korunması ve kamu kurumlarının dijital süreç ve varlıklarının güvence altına alınması, modern siber güvenlik stratejilerinin merkezinde yer almaktadır. Bununla beraber, Milli Teknoloji Hamlesi kapsamında ülkemizin yaşadığı teknolojik dönüşüm ve gelişim sürecinde siber güvenlik en temel gerekliliklerinden biri haline gelmiştir.

Ülkemizin özellikle son 20 yılda teknolojide yaptığı atılım internet kullanıcı sayısını da artırmıştır. Araştırmalara göre, ülkemizde internet kullanıcıları günlük ortalama 7,5 saat internette zaman geçirmekte ve bunun yaklaşık 3 saatini sosyal medya üzerinde harcamaktadır. Mobil abone sayısı 93,3 milyona, mobil genişbant abone sayısı 72,7 milyona ve sabit genişbant kullanıcıları yaklaşık 19,9 milyona ulaşmıştır. Mobil internet kullanıcılarının ortalama aylık veri tüketimi 16,7 GB iken, sabit genişbant abonelerinin aylık ortalama kullanımı 272 GB olarak ölçülmüştür. Bu veriler, ülkemizin iletişim altyapısındaki hızlı gelişimi ve dijitalleşmenin günlük hayattaki etkisini açıkça ortaya koymaktadır.

Diğer taraftan, bağlı cihaz sayısının ve akıllı uygulamaların artmasıyla tüm dünyada üretilen veri miktarında ciddi bir artış yaşanmaktadır. Üretilen verinin 2024 itibarıyla 180 zettabayt sınırlarına ulaşması, veri işlemeye dayalı hizmetler ile çözümlerin gerek iş hayatında gerekse gündelik yaşamda önemli bir yer tutmasına yol açmıştır. 2004 yılında üretilen toplam veri miktarmın yalnızca 5 exabayt civarında olduğu göz önüne alındığında, geçen süre zarfında üretilen veri miktarının yaklaşık 36 bin kat arttığı görülmektedir. Bu artış, dijitalleşmenin hızını ve veri odaklı teknolojilerin hayatımızdaki etkisini çarpıcı bir şekilde ortaya koymaktadır.

Konvansiyonel savaşlar yerini hibrit ve asimetrik savaşlara bırakmış, devlet destekli siber saldırılar başta olmak üzere terör örgütleri, organize suç örgütleri ve bireysel motivasyonla hareket eden siber tehdit aktörleri tarafından devlet kurumlan, enerji, finans, sağlık ve haberleşme sistemleri gibi kritik altyapılar ile her türlü teknolojik cihaz hedef alınmaya başlanmıştır. Siber saldırıların devlet politikalarımn bir aracı olarak kullanılmasındaki artış, savaş ve barış halleri arasındaki sınırı belirsizleştirmiş, ülkeler direkt askeri misillemeden kaçınmak için siber saldırıları; siyasi, ekonomik ve askeri hedeflere yönelik düşük maliyetli yüksek etkili bir strateji haline getirmiştir. Ayrıca tedarik zincirlerine yönelik saldırılar sonucunda, birçok sektörde kritik sistemler çökmüş ve kesintiler yaşanmıştır.

2024 yılı itibarıyla siber saldırılar, küresel ölçekte her gün yoğunlaşarak karmaşık bir tehdit oluşturmaya devam etmiştir. Üçüncü çeyrekte, her bir kuruluş başına haftalık ortalama 1.876 siber saldırı gerçekleştirilmiş, bu da 2023’ün aynı dönemine göre %75Tik bir artışı ifade etmektedir.

Bir ülkenin siber güvenlik alanında ön plana çıkarak rol model olabilmesi, kapsamlı bir siber güvenlik çatı mevzuatının varlığı ve merkezi bir otoritenin etkin işleyişiyle doğrudan ilişkilidir. Çatı bir mevzuat, ulusal düzeyde siber güvenlik politikalarımn tutarlılığını sağlamanın yanı sıra kamu kurumlan, özel sektör ve bireyler için bağlayıcı standartlar sunmaktadır. Ayrıca, uluslararası iş birliği ve karşılıklı tanınabilirlik açısından temel bir çerçeve sağlayarak, bir ülkenin küresel siber güvenlik eko sistemindeki konumunu güçlendirmektedir. Bu mevzuatın etkili bir şekilde uygulanması, merkezi bir otoritenin varlığıyla mümkün hale gelmektedir. Çünkü, merkezi bir yapı, kaynakların verimli kullanımını, hızlı ve koordineli karar alma mekanizmalarım desteklemekte ve aynı zamanda, tehditlerin daha etkili tespit edilmesi,

müdahale süreçlerinin uyum içinde yürütülmesi ve stratejik hedeflere odaklanılması için bir temel oluşturmaktadır.

2024 yılında Uluslararası Telekomünikasyon Birliği tarafından yayımlanan Küresel Siber Güvenlik Endeksi verilerine göre “Rol Model Ülke” kategorisi içerisinde yer alan 46 ülkenin siber güvenlik yapısı ve mevzuatı incelendiğinde; bu ülkelerin yaklaşık %91’i, kapsamlı bir çatı mevzuata sahip olup kişisel verilerin korunması, siber suçların önlenmesi ve kritik altyapıların güvenliği gibi konularda net bir hukuki çerçeve sunmaktadır. Ancak ülkemiz, “Rol Model Ülke” kategorisinde yer almasına rağmen gerçek anlamda çatı mevzuat özelliği teşkil edecek kapsamlı bir siber güvenlik kanununa sahip değildir. Ülkemizdeki siber güvenlik yapılanmasmda Ulaştırma ve Altyapı Bakanlığı, Sanayi ve Teknoloji Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi başta olmak üzere birçok kamu kurumunun sorumlulukları bulunmaktadır. Ayrıca çatı mevzuat eksikliği; veri güvenliği, ekosistem iş birlikleri, mevzuat düzenlemeleri, teşvik ve destekleri yönlendirme, uluslararası iş birlikleri, makro politika oluşturma ve benzeri birçok açıdan koordinasyon problemleri oluşturmaktadır. Çatı mevzuatın oluşturulması ülkemizin küresel endekslerde üst sıralara yükselmesine katkı sağlayacaktır.

Tüm bu hususlar; ülkemizde halen farklı yapılar altında sürdürülmeye çalışılan siber güvenlik yaklaşımının, yeniden yapılandırılması ihtiyacını ortaya koymaktadır.

Bu kapsamda Teklifle;
Ülkemizin siber güvenlikle ilgili politika ve stratejisini belirlemek üzere Siber Güvenlik Kurulunun kurulması,
Siber güvenlik alanında geliştirilen politikaların ulusal satıhta etkin bir şekilde uygulanması,
Kamu kurumlan ile kritik altyapı kuruluşlarının siber mukavemetinin ve siber olgunluk seviyesinin artırılması,
Güncel teknolojik gelişmelerin takip edilmesi ve siber güvenlik süreçlerine entegre edilmesi,
Kamu kurumlan ve kritik altyapı kuruluşlannın bilişim sistemlerinde oluşabilecek siber güvenlik olaylarının merkezi bir bakış açısıyla izlenmesi, tespiti ve bertaraf edilmesi,
Eylem planlarının ve ikincil mevzuatların hayata geçirilmesi,
Denetim ve özellikle caydırıcı yaptırım süreçlerinin işletilmesi,
Siber güvenlik ekosisteminin güçlendirilmesi,
Standardizasyon, sertifikasyon ve yetkilendirme süreçlerinin düzenlenmesi,
Siber suçlara yönelik cezaların artırılması suretiyle caydırıcılığın sağlanması amaçlanmaktadır.

MADDE GEREKÇELERİ

MADDE 1- Madde ile ülkemizin siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, siber güvenliğinin güçlendirilmesi için strateji ve politikaların belirlenmesi ve Siber Güvenlik Kurulu ihdas edilmesi öngörülmektedir.

MADDE 2- Madde ile Kanunun kapsamına ilişkin genel çerçevenin belirlenmesi amaçlanmakta, milli güvenlik istihbaratını Devlet çapında oluşturmakla görevli Milli İstihbarat Teşkilatının yürüttüğü faaliyetleri ile Emniyet Genel Müdürlüğü ve Jandarma Genel Komutanlığının yürüttükleri istihbari nitelikteki faaliyetler kanun kapsamı dışında tutulmaktadır.

MADDE 3- Madde ile Kanunda yer alan tanım ve kısaltmaların açıklamalarına yer verilmektedir.

MADDE 4- Madde ile siber güvenlik için temel alınan; kurumsallık, süreklilik, sürdürülebilirlik, hesap verilebilirlik, hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması gibi ilkelere yer verilmektedir.

MADDE 5- Madde ile Siber Güvenlik Başkanlığının; Cumhurbaşkanlığı Kararnamesi ile belirlenen görevlerinin yam sıra; kritik altyapı ve bilişim sistemlerinin siber dayanıklılığını artırmak, bunları siber saldırılara karşı korumak, sertifıkasyon, yetkilendirme ve belgelendirme faaliyetleri yürütmek, siber mukavemeti artırmak, siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları belirlemek gibi görevleri düzenlenmekte ve KamuNet kamu sanal ağ altyapısımn ve ulusal kamu entegre veri merkezlerinin kurulmasına ilişkin görevler Başkanlığa devredilmektedir.

MADDE 6- Madde ile Siber Güvenlik Başkanlığının görevlerini yerine getirmesi esnasında, Cumhurbaşkanlığı Kararnamesi ile belirlenen yetkilerinin yanı sıra kullanacağı; kamu kurumlan ve kritik altyapı kuruluşlarından veri ve log kayıtlarım kendi yönetiminde bulunan bilişim sistemlerine aktarabilme, yürüttüğü faaliyetlerle sınırlı olmak kaydıyla ilgili kurum, kuruluş ve şahıslardan gerekli bilgi, belge, veri ve kayıtları alabilme, siber güvenlik denetim faaliyetlerini yürütme gibi yetkilerine ilişkin düzenleme yapılmaktadır.

MADDE 7- Madde ile bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin, siber güvenliğe ilişkin görev ve sorumluluklarının belirlenmesi sağlanmaktadır.

MADDE 8- Madde ile siber güvenlik alanında Başkanlık tarafından gerçekleştirilecek rutin veya olay üzerine denetim faaliyetine ilişkin esaslar ile mahallinde yapılacak incelemelere yönelik hususlar belirlenmektedir.

MADDE 9- Madde ile siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlere yönelik kararları almak üzere Siber Güvenlik Kurulu oluşturulmakta ve Kurulun kimlerden oluşacağı düzenlenmektedir.

MADDE 10- Madde ile Başkanlıkta sözleşmeli uzman personel istihdam yöntemi ile ücretlerine ilişkin esaslar belirlenmektedir.

MADDE 11- Madde ile ilgili mevzuat kapsamında bir kamu kurum veya kuruluşuna karşı zorunlu hizmet yükümlülüğü bulunanların Başkanlıkta geçen hizmet sürelerinin, ilgili kurumun muvafakati ile söz konusu hizmet yükümlülüğünden sayılabilmesi öngörülmektedir.

MADDE 12- Madde ile Başkanlıkta görev alanlar ile Başkanlıktan herhangi bir nedenle ilişiği kesilenlerin yükümlülüklerine yer verilmektedir.

MADDE 13- Madde ile Başkanlık tarafından yürütülen görev ve faaliyetler kapsamında edinilen sırların saklanmasına ilişkin yükümlülükler düzenlenmektedir.

MADDE 14- Madde ile Başkanlığın gelir kalemleri belirlenmektedir.

MADDE 15- Madde ile Başkanlığın hizmetlerini yürütürken ihtiyaç duyacağı her türlü araç, malzeme gibi hususlar yönüyle tabi olduğu muafiyet ve istisnalar belirlenmektedir.

MADDE 16- 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununda bazı suçların bilişim sistemleriyle işlenmesi, suçun nitelikli hali (madde 142, madde 158, madde 228) olarak düzenlenmektedir. Aynı Kanunun 243 ila 246 ncı maddelerinde ise “Bilişim Alanında Suçlar” başlığı altında özel bir bölüm yer almaktadır. Türk Hukuk Sisteminde siber suçlarla ilgili olarak farklı kanunlarda da çeşitli düzenlemeler olduğu görülmektedir. 5/12/1951 tarihli ve 5846 sayılı Fikir ve Sanat Eserleri Kanununda siber suçlara konu olabilecek eylemler düzenlenmektedir. Yine siber suçların internet ortamında artan oranda işlenmesi, internetle alakalı bazı özel kurumların oluşması ve belli bir düzenin geliştirilmesi 4/5/2007 tarihli ve 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ile belirlenmekte, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla, yer ve erişim sağlayıcılar üzerinden mücadeleye ilişkin esas ve usuller düzenlenmektedir.

Öte yandan;teknolojik gelişmelerle birlikte kritik altyapılara yönelik tehditlerin artması ve siber olayların daha karmaşık hale gelmesi nedeniyle, bu alanın tekrar gözden geçirilmesi ve farklı bir bakış açısıyla ele alınması elzemdir.

Bu nedenle madde ile, siber güvenliğe ilişkin caydırıcı yaptırım süreçlerinin işletilmesine yönelik olarak; bazı fiillere (siber saldırı gerçekleştirilmesi, kişisel veya kurumsal verilerin sızdırılması, sızdırılan verilerin yayılması vb.) hapis cezası, diğer bazı fiillere ise (mevzuatın öngördüğü tedbirlerin alınmaması, denetim faaliyetlerinin engellenmesi vb.) idari para cezası verilmesi düzenlenmektedir.
MADDE 17- Madde ile Başkanlık tarafından verilen idari para cezalarının uygulanmasına ilişkin esaslar belirlenmektedir.

MADDE 18- Madde ile Kanun kapsamında kamu kurum ve kuruluşlarının sağladığı destekle kurulan, geliştirilen veya desteklenen siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı ile bunları üreten şirketlerin bölünme, birleşme, pay devri veya satış işlemleri Başkanlığın uygun görüşüne tabi kılınmaktadır.
Milli güvenlik ve kamu kaynaklarının verimli kullanımı amacıyla, kamu kurum ve kuruluşları ve kritik altyapıların bilişim sistemlerinde, yeni tedarik sözleşmeleri kapsamında kullanılacak siber güvenlik ürün, sistem, yazılım, donamm ve hizmetlerin yurt dışına satışı veya bunları üreten şirketlerin bölünme, birleşme, pay devri veya satış işlemlerinin onayına ilişkin usûl ve esasların Başkanlık tarafından belirleneceği hüküm altına alınmaktadır.

MADDE 19- Madde ile diğer ilgili bazı Kanun ve Kanun Hükmünde Kararnamelerde uyum düzenlemelerinin yapılması öngörülmekte, bu kapsamda 5018, 5809 ve 5651 sayılı Kanunlar ile 375 sayılı Kanun Hükmünde Kararnamede muhtelif düzenlemeler yapılmaktadır.
geçici madde 1- Madde ile Kanunun yürürlüğe girmesiyle ilgili uyum, geçiş ve kuruluş işlemlerine ilişkin düzenlemelerin belirlenmesi sağlanmaktadır.

MADDE 20- Yürürlük maddesidir.

MADDE 21- Yürütme maddesidir.