Kamuoyunun bir müddettir gündeminde yer alan Siber Güvenlik Kanunu Teklifi, TBMM Genel Konseyinde kabul edilerek maddeleşti. Bu hafta Meclis’in çalışmalarında yer alan teklifle Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren bütün ögelerine karşı içten ve dıştan yöneltilen mevcut ve olası tehditlerin tespit ve bertaraf edilmesi, siber olayların olası tesirlerini azaltmaya yönelik temellerin belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hukukî bireyler ile hukukî kişiliği bulunmayan kuruluşların siber akınlara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve siyasetlerin belirlenmesi ile Siber Güvenlik Şurasının kurulmasına ait temeller düzenleniyor, kanunun kapsamına ait genel çerçeve belirleniyor. İşte, ayrıntılar.
SİBER GÜVENLİK KANUNU TASARISI NEDİR?
Kanunla, Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren bütün ögelerine karşı içten ve dıştan yöneltilen mevcut ve olası tehditlerin tespit ve bertaraf edilmesi, siber olayların beklenen tesirlerini azaltmaya yönelik asılların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hükmî bireyler ile hukuksal kişiliği bulunmayan kuruluşların siber ataklara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve siyasetlerin belirlenmesi ile Siber Güvenlik Konseyinin kurulmasına ait temeller düzenleniyor, kanunun kapsamına ait genel çerçeve belirleniyor.
Buna nazaran, düzenleme siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hukuksal şahıslar ile hukuksal kişiliği bulunmayan kuruluşları kapsayacak.
Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilat Kanunu ile Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen faaliyetler düzenleme kapsamı dışında tutuluyor.
Düzenlemeyle, “Barındırma”, “Başkan”, “Başkanlık”, “Bilişim sistemleri”, “Kritik altyapı”, “Kritik kamu hizmeti”, “Siber güvenlik”, “Siber olay”, “Siber saldırı”, “Siber tehdit”, “Siber tehdit istihbaratı”, “Siber uzay”, “SOME”, “Varlık” ve “Zafiyet”in tarifleri yapılıyor, siber güvenliğin sağlanmasındaki temel prensipler de belirleniyor. Buna nazaran, siber güvenlik, ulusal güvenliğin ayrılmaz bir kesimi olacak. Kritik altyapı ve bilişim sistemlerinin korunması ile inançlı bir siber uzay oluşturulması temel gaye olacak.Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülecek. Siber güvenlik önlemlerinin hizmet ve eserlerin tüm hayat döngüsü boyunca uygulanması temel olacak.
SİBER GÜVENLİK SÜREÇLERİNİN YÜRÜTÜLMESİNDE HESAP VEREBİLİRLİK TEMEL OLACAK
Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve ulusal eserler tercih edilecek. Siber güvenlik siyaset ve stratejilerinin yürütülmesi ile siber hücumların önlenmesi yahut tesirinin azaltılmasına yönelik gerekli önlemlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve hükmî bireyler sorumlu tutulacak. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik temel olacak.
Siber güvenlik siyaset ve strateji geliştirme çalışmaları, daima gelişim yaklaşımıyla yürütülecek. Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecek.Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenecek. Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması unsurları temel esas kabul edilecek.
SİBER ATAKLARA KARŞI KORUMA
Kanunla, Siber Güvenlik Başkanlığının misyonları de tanımlanıyor. Buna nazaran, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan misyonların yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber hücumlara karşı korunmasına, gerçekleştirilen siber taarruzların tespitine, olası akınların önlenmesine ve tesirlerinin azaltılmasına yahut ortadan kaldırılmasına yönelik faaliyet yürütecek.
Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk tahlilleri yapma yahut yaptırma, siber tehditlerle uğraş etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile ziyanlı yazılım inceleme faaliyetlerini yürütecek.
Kritik altyapılar ile ilişkin oldukları kurumları ve pozisyonları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların data envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk tahlilinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine nazaran güvenlik önlemlerini almak yahut aldırmakla da sorumlu olacak.
Siber Olaylara Müdahale Grubu (SOME) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk düzeylerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, öbür ülkelerin siber olaylara müdahale gruplarıyla uyum kurmak, her türlü siber müdahale aracının ve ulusal tahlillerin üretilmesi ve geliştirilmesi emeliyle çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de başkanlığın vazifeleri ortasında yer alıyor.
KRİTİK KAMU HİZMETLERİNİN SİBER GÜVENLİĞİ SAĞLANACAK
Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken tarz ve temelleri da düzenleyecek.
Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak gayesiyle gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına inançlı sistem ve altyapılar üzerinden barındırma hizmeti sunmak yahut sunulmasını sağlamak, bu faaliyetlere yönelik uygulama yol ve asıllar, Siber Güvenlik Başkanlığı tarafından belirlenecek.
Siber güvenlik alanına ait standartları hazırlamak, öteki kişi yahut kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğunda standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek de Siber Güvenlik Başkanlığının misyonları ortasında yer alıyor.
Siber Güvenlik Başkanlığı, siber güvenlik alanına ait yazılım, donanım, eser, sistem ve hizmetlere yönelik test ve sertifikasyon süreçlerini yürütme, buna yönelik test altyapıları kurma, kurdurma ve işletme ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini ilgili kurumlarla koordineli yürütecek.
Siber güvenlik kontrolünü gerçekleştirecek ve sonucuna nazaran yaptırım uygulayacak olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların kontrolünü yapmak ya da yaptırmak, kontrolleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi süreksiz olarak durdurmak ya da iptal etmekle vazifeli olacak.
KAYITLAR, EN FAZLA 2 YIL MÜDDETLE ÇALIŞMAYA BAHİS EDİLECEK
Siber Güvenlik Başkanlığının yetkilerinin de belirlendiği yasaya nazaran, Başkanlık, ilgili mevzuatta yer alan yetkilerinin yanı sıra, kanun kapsamındakilerin siber ataklara karşı korunması ve bu atakların kaynağına karşı caydırıcılık sağlanması için gerekli önlemi alacak yahut aldıracak.
Bu kapsamda bilişim sistemlerine uygun bulunan yazılım ve donanım eserlerinin heyetim ve entegrasyonunu sağlayabilecek, bu eserler tarafından üretilen yahut toplanan bilgi ve log kayıtlarını Başkanlık idaresinde bulunan bilişim sistemlerine aktarabilecek, siber olayların tespitine yönelik gerekli usulü ve aracı kullanabilecek.
Başkanlık, siber olaya maruz kalanlara yerinde yahut uzaktan siber olay müdahale dayanağı sağlayabilecek, siber uzayda bulunan yahut elde ettiği bilgi, imaj yahut log kayıtları üzerinden taarruzlara ilişkin izleri takip edebilecek, bunları inceleyerek delillendirebilecek, kabahat teşkil ettiği bedellendirilen bulguları isimli makamlar ve öbür ilgililer ile paylaşacak, yurt içi ve yurt dışındaki paydaşlar ile uyum sağlayabilecek.
Başkanlık, yürüttüğü faaliyetlerle hudutlu olmak üzere bilgi, evrak, data ve kayıtları alabilecek ve değerlendirmesini yapabilecek, bunlara ilişkin arşivlerden, elektronik bilgi süreç merkezlerinden ve bağlantı altyapısından yararlanabilecek ve bunlarla irtibat kurabilecek.
Bu kapsamda elde edilen bilgi, evrak, bilgi ve kayıtlar, en fazla 2 yıl mühletle çalışmaya husus edilecek ve çalışma mühleti sonrasında imha edilecek. Bu kapsamda talepte bulunulanlar, kendi mevzuatındaki kararları münasebet göstermek suretiyle talebin yerine getirilmesinden kaçınamayacak.
Siber Güvenlik Başkanlığı, bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilecek, saklayabilecek, değerlendirebilecek, bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilecek.
ÜLKELERLE MÜNASEBET YÜRÜTÜP, BİLGİ ALIŞVERİŞİNDE BULUNABİLECEK
Başkanlık, bakanlıklar ve başka kamu kurum ve kuruluşları ile koordineli olarak siber güvenlik bahislerinde gereksinim halinde işçi tefrik edebilecek. Misyon alanına giren hususlarda memleketler arası kuruluşlar ve ülkelerle münasebetler yürütebilecek, bilgi alışverişinde bulunabilecek, Türkiye’yi temsil edebilecek ve uyumu sağlayabilecek, milletlerarası kuruluşların çalışmalarına katılabilecek, alınan kararların uygulanmasını takip edebilecek ve gerekli uyumu sağlayabilecek.
Düzenleme kapsamındaki kurum, kuruluş ve ilgili başka gerçek ve hükmî şahıslar ile hukuksal kişiliği bulunmayan kuruluşlar sınıflandırabilecek, faaliyetlerini icra ederken gerektiğinde yalnızca muhakkak bir kısmını kapsayan kararlar oluşturabilecek.
Siber Güvenlik Başkanlığı, siber güvenlik kontrolü gerçekleştiren bağımsız denetçiler ve bağımsız kontrol kuruluşlarını yetkilendirebilecek, yetkisini müddetli yahut süresiz iptal edebilecek. Başkanlık, kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe tesiri olan yazılım, donanım, eser ve hizmetlere dair kriterler ile başkanlığa yapılacak bildirimlere ait metot ve asılları belirleyecek.
Siber güvenlik yazılım, donanım, eser ve hizmetlerinin minimum güvenlik kriterlerini belirleyecek olan başkanlık, bunları sağlayacak yahut tedarik edecek gerçek ve hükmî bireylere yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetecek. Başkanlık, siber güvenlik yazılım, donanım, eser ve hizmetlerinin belirlenecek standartlara uygun hale getirilmesini talep edebilecek. Bu talebe ahenk sağlamayanların kullanılmasını önleyici önlemler alabilecek.
Yürütülen iş ve süreçler kapsamında şahsî bilgiler, hukuka ve dürüstlük kurallarına uygun halde, yanlışsız ve gerektiğinde şimdiki olmak kaydıyla, makul, açık ve legal gayelerle, işlendiği hedefle ilişkili, hudutlu ve ölçülü olmak kaydıyla ve işlendiği hedef için gerekli olan mühlet kadar koruma edilmek üzere işlenecek.
Belirtilen yetkiler çerçevesinde elde edilecek şahsî bilgiler ve ticari sırlar, bu datalara erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinecek, yok edilecek yahut anonim hale getirilecek. Bu hususun uygulanmasına ait tarz ve temeller, Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.
SORUMLULUKLAR VE İŞBİRLİĞİ
Kanunla, bilişim sistemleri kullanarak hizmet sunan, data toplayan, işleyen ve gibisi faaliyet yürütenlerin, siber güvenliğe ait vazife ve sorumlulukları da belirleniyor.
Bu kapsamda misyon ve sorumluluklar şöyle tanımlanıyor:
Başkanlığın misyon ve faaliyetleri kapsamında talep ettiği her türlü data, bilgi, doküman, donanım, yazılım ve öbür her türlü katkıyı öncelikle ve vaktinde Başkanlığa iletmek, siber güvenliğe yönelik olarak ulusal güvenlik, kamu nizamı yahut kamu hizmetinin gereği üzere yürütülmesi maksadıyla mevzuatın öngördüğü önlemleri almak, hizmet sundukları alanda tespit ettikleri zafiyet yahut siber olayları gecikmeksizin Başkanlığa bildirmek. Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerinden yahut şirketlerden tedarik etmek. Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan evvel mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak. Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen siyaset, strateji, aksiyon planı ile yayımlanan başka düzenleyici süreçlerde yer alan konuları yerine getirmek ve gerekli önlemleri almak.
DENETİM FAALİYETİNE AİT ESASLAR
Siber Güvenlik Başkanlığı, düzenlemede belirtilen misyonları ile ilgili olarak gerekli gördüğü hallerde düzenlemenin kapsamına giren her türlü fiil ve süreci denetleyebilecek, bu maksatla mahallinde inceleme yapabilecek yahut yaptırabilecek. Kontrol, bu düzenleme kapsamındaki kurum, kuruluş ve ilgili başka gerçek ve hukukî şahısların bu düzenleme kararlarıyla ilgili faaliyet ve süreçlerini kapsayacak.
Denetime, Başkanlık işçisi, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız kontrol kuruluşları yetkili olacak. Bu yetki, lider tarafından görevlendirilenler tarafından kullanılacak.
Kamu kurum ve kuruluşları ile kritik altyapılarda kontroller, başkanlık çalışanınca yahut refakatinde yapılacak. Başkanlık, kontrol faaliyetlerine ait değerlilik ve öncelik prensipleri ile risk değerlendirmelerinde dikkate alınacak ölçütleri ve uygulama temellerini belirleyecek.
Denetim faaliyeti, değerlilik ve öncelik prensipleri ile risk değerlendirmeleri kapsamında oluşturulacak program uyarınca yürütülecek. Lider, oluşturulan program dışında incelenmesi gerekli görüldüğü konularda program dışı kontrol yaptırabilecek.
Mülki amirler, kolluk kuvvetleri ve başka kamu kurumlarının amir ve memurları inceleme yahut kontrolle görevlendirilenlere her türlü kolaylığı göstermek ve yardımda bulunmakla yükümlü olacak.
ARAMA, KOPYA ÇIKARMA VE EL KOYMA
Denetimle görevlendirilenler, yürüttükleri kontrol faaliyetleriyle hudutlu olarak elektronik ortamdaki bilginin, evrakların, elektronik altyapının, aygıt, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret yahut örnek alınması, hususla ilgili yazılı yahut kelamlı açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi mevzularında yetkili olacak.
Denetime tabi tutulanlar, ilgili aygıt, sistem, yazılım ve donanımları verilen müddetlerde denetlemeye açık tutmak, kontrol için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli tedbirleri almak zorunda olacak.
Kanuna nazaran, ulusal güvenlik, kamu nizamı, kabahat işlenmesinin yahut siber akınların önlenmesi emeliyle hakim kararı üzerine yahut gecikmesinde sakınca bulunan hallerde cumhuriyet savcısının yazılı buyruğu ile konutta, iş yerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilecek, uzun vadeli hizmet aksamasına yol açmayacak ve kesintisiz biçimde kopya çıkarma ve el koyma süreci gerçekleştirilebilecek. Çıkarılan kopyanın bir nüshası ilgilisine teslim edilecek ve bu konu tutanağa geçirilerek imza altına alınacak.
Bu süreçlerin yapılabilmesi için makul sebeplerin oluştuğunun münasebetleriyle birlikte gösterilmesi gerekecek.
Hakim kararı olmaksızın yapılan arama ve gerçekleştirilen kopya çıkarma ve el koyma süreçleri, 24 saat içinde misyonlu hakimin onayına sunulacak.
Yetkilendirilmiş data merkezi işletmecilerinin bilgi merkezlerinde yalnızca hakim kararıyla arama, kopya çıkarma ve el koyma süreci yapılabilecek.
Hakim, kararını 48 saat içinde açıklayacak, aksi halde çıkarılan kopyalar ve tahlili yapılan metinler derhal imha edilecek ve el koyma resen kalkacak. Bu fıkra kapsamına giren talepler bakımından Ankara Sulh Ceza Hakimliği yetkili ve misyonlu olacak lakin kamu kurum ve kuruluşları bakımından hakimlik kararı aranmayacak.
SİBER GÜVENLİK KURULU
Kanunla, Siber Güvenlik Konseyi’nin kimlerden oluşacağı da düzenleniyor.
Buna göre Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Liderinden oluşacak.
Cumhurbaşkanının katılmadığı hallerde heyete, Cumhurbaşkanı Yardımcısı başkanlık edecek. Şura toplantılarına üyeler dışında, gündemin özelliğine nazaran ilgili bakan ve kişiler de çağrılarak bilgi ve görüş alınabilecek. Heyet, vazifeleri kapsamında gerekli görmesi halinde komite ve çalışma kümeleri oluşturabilecek. Kurul ve çalışma kümeleri, heyetin vazife alanına giren konularda teknik seviyede çalışmalar yapacak ve karar teklifleri oluşturacak.
Komisyon ve çalışma kümesi toplantılarına, görüşlerinden faydalanmak üzere alanında uzman bireyler davet edilebilecek.
KURULUN GÖREVLERİ
Kurulun vazifeleri ise şöyle:
Siber güvenlikle ilgili siyaset, strateji, hareket planı ve öbür düzenleyici süreçlere yönelik kararları almak, alınan kararların tamamından yahut bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek. Başkanlık tarafından hazırlanan siber güvenlik alanına ait teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararlar almak. Siber güvenlik alanında teşvik verilecek öncelikli alanları belirlemek, siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar almak. Kritik altyapı dallarını belirlemek. Başkanlık ile kamu kurum ve kuruluşları ortasında meydana gelebilecek ihtilaflar hakkında karar almak.
Kurulun sekretarya hizmetleri, Siber Güvenlik Başkanlığı tarafından yürütülecek. Konsey, kurul ve çalışma kümelerinin çalışma metot ve asılları Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.
Kanunla Siber Güvenlik Başkanlığında kontratlı uzman işçi istihdam formülü ile fiyatlarına ait asıllar da belirleniyor.
Siber Güvenlik Başkanlığında istihdam edilen işçiden ilgili mevzuatı kapsamında başka kamu kurum ve kuruluşlarına karşı zarurî hizmet yükümlülüğü bulunanların başkanlıkta geçen hizmet müddetleri, ilgili kamu kurum ve kuruluşunun da muvafakati alınmak kaydıyla kelam konusu yükümlülük müddetlerinden düşülecek.
Siber Güvenlik Kanunu’na nazaran, Siber Güvenlik Başkanlığında takımlı yahut kontratlı statüde misyon yaparken rastgele bir nedenle ilişiği kesilenler, başkanlıktan muvafakat almadan 2 yıl mühletle yurt içi yahut yurt dışında siber güvenlik alanında resmi yahut özel diğer hiçbir misyon alamayacak, bu alanda ticaretle uğraşamayacak, özgür meslek faaliyetinde bulunamayacak ve bilhassa bu dalda faaliyet gösteren bir şirkette hissedar yahut yönetici olamayacak.
Başkanlıktaki vazife ve faaliyetler kapsamında edinilen bilgi, evrak ve gibisi her türlü bilginin, Siber Güvenlik Başkanlığınca yetki verilen durumlar hariç, radyo, televizyon, internet, toplumsal medya, gazete, mecmua, kitap ve başka tüm medya araçlarıyla her türlü yazılı, görsel, işitsel ve elektronik kitle irtibat araçları vasıtasıyla yayımlanması yahut açıklanması yasak olacak.
Başkanlık tarafından yürütülen vazife ve faaliyetler kapsamında edinilen kamuya, ilgililere ve üçüncü bireylere ilişkin saklılık taşıyan bilgi, şahsî bilgi, ticari sır ve bunlara ilişkin dokümanlar mevzuat gereği yetkili kılınan mercilerden diğerine açıklanamayacak, gerçek ve hukuksal bireylerin menfaatine kullanılamayacak.
Başkanlığın gelirleri, genel bütçeden yapılacak hazine yardımlarından, Başkanlığın faaliyetlerinden elde edilen gelirlerden, Başkanlık tarafından verilen idari para cezalarından elde edilen gelirlerden, kanun ve kararnamelerle kurulu bulunan ve kurulacak olan fonların gelirlerinden Cumhurbaşkanı kararıyla yüzde 10’una kadar aktarılacak meblağlardan ve başka gelirlerden oluşacak.
Başkanlığın gereksinimleri kapsamında yurt dışından ithalat yahut hibe yoluyla sağlanacak her türlü gereç yahut hizmet alımı ile bedelsiz olarak dış kaynaklardan alınan yardım gereçleri nedeniyle yapılacak süreçler gümrük vergisinden, fon ve fotoğraflardan, harçlardan, bu süreçler nedeniyle düzenlenen kağıtlar damga vergisinden istisna olacak.
Kamu kurum ve kuruluşları ile öteki kurum ve kuruluşlar, Kanunda yazılı vazifelerin yerine getirilmesi sırasında muhtaçlık duyulan hallerde, kullanımlarında bulunan ve müsadere edilen her türlü gereç, ekipman, teçhizat ve aygıtı, öbür kanunların bu bahisteki düzenlemelerine bakılmaksızın Başkanlığa süreksiz olarak tahsis edilebilecek yahut bedelsiz devredebilecek.
CEZAİ KARARLAR VE İDARİ PARA CEZALARININ UYGULANMASI
Kamu kurum ve kuruluşları hariç olmak üzere Kanunla yetkilendirilen mercilerin ve kontrol vazifelilerinin görev ve yetkileri kapsamında istedikleri bilgi, doküman, yazılım, data ve donanımı vermeyenler yahut bunların alınmasına mahzur olanlar 1 yıldan 3 yıla kadar mahpus ve 500 günden 1500 güne kadar isimli para cezası ile cezalandırılacak.
Kanun uyarınca alınması gerekli onay, yetki yahut müsaadeleri almaksızın faaliyet yürütenler 2 yıldan 4 yıla kadar mahpus ve 1000 günden 2 bin güne kadar isimli para cezası ile cezalandırılacak.
Sır saklama yükümlülüğünü yerine getirmeyenlere 4 yıldan 8 yıla kadar mahpus cezası verilecek.
Siber uzayda data sızıntısı nedeniyle daha evvel yer alan şahsî yahut kritik kamu hizmeti kapsamına giren kurumsal bilgileri, bireylerin yahut kurumların müsaadesi olmaksızın fiyatlı yahut fiyatsız biçimde erişime açan, paylaşan yahut satışa çıkaranlara 3 yıldan 5 yıla kadar mahpus cezası verilecek.
Siber uzayda bilgi sızıntısı olmadığını bildiği halde halk ortasında telaş, endişe ve panik yaratmak ya da kurumları yahut şahısları maksat göstermek hedefiyle siber güvenlikle ilgili data sızıntısı olduğuna yönelik gerçeğe alışılmamış içerik oluşturanlara yahut bu gayeyle bu içerikleri yayanlara 2 yıldan 5 yıla kadar mahpus cezası verilecek.
Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren ögelerine yönelik siber taarruz gerçekleştiren yahut bu akın sonucunda elde ettiği her türlü bilgiyi siber uzayda bulunduranlara, daha ağır bir cezayı gerektiren diğer bir hata oluşturmadığı takdirde 8 yıldan 12 yıla kadar mahpus cezası verilecek. Bu akın sonucunda elde ettiği her türlü datayı siber uzayda yayan, öbür bir yere gönderen yahut satışa çıkaranlara 10 yıldan 15 yıla kadar mahpus cezası verilecek.
Bu cezalar, cürmün kamu vazifelisi tarafından işlenmesi halinde 3’te bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından 2 katına kadar artırılacak.
Başkanlıkta misyon yapanlara ait yasak kararlarına muhalif davrananlara 3 yıldan 5 yıla kadar mahpus cezası verilecek.
Kanundan kaynaklanan vazife ve yetkilerini berbata kullanan yahut kritik altyapıların siber akınlara karşı korunması kapsamında misyonunun gereklerine alışılmamış hareket etmek suretiyle data ihlali yaşanmasına sebebiyet verenlere 1 yıldan 3 yıla kadar mahpus cezası verilecek.
Bilişim sistemleri kullanmak suretiyle hizmet sunan, data toplayan, işleyen ve gibisi faaliyet yürütenlerin, siber güvenliğe yönelik olarak ulusal güvenlik, kamu tertibi yahut kamu hizmetinin gereği üzere yürütülmesi maksadıyla mevzuatın öngördüğü önlemleri almak, hizmet sundukları alanda tespit ettikleri zafiyet yahut siber olayları gecikmeksizin Başkanlığa bildirmeyenler ile kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser, sistem ve hizmetleri Başkanlık tarafından yetkilendirilen ve belgelendirilen siber güvenlik uzmanları ve şirketlerden tedarik etmeyenlere 1 milyon liradan 10 milyon liraya kadar para cezası verilecek.
Milli güvenlik ve kamu kaynaklarının verimli kullanımı gayesiyle kamu kurum ve kuruluşları ve kritik altyapıların bilişim sistemlerinde, yeni tedarik mukaveleleri kapsamında kullanılacak siber güvenlik eser, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı yahut bunları üreten şirketlerin bölünme, birleşme, hisse bölümü yahut satış süreçlerinin onayına ait yöntem ve temeller ait misyon ve sorumluluklarını yerine getirmeyenlere 10 milyon liradan 100 milyon liraya kadar idari para cezası verilecek.
Denetime tabi tutulanların, ilgili aygıt, sistem, yazılım ve donanımları verilen müddetlerde denetlemeye açık tutmak, kontrol için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli tedbirleri almalarına ait yükümlülüklerini yerine getirmeyenlere, 100 bin liradan 1 milyon liraya kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde 100 bin liradan az olmamak üzere bağımsız kontrolden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası verilecek.
İDARİ PARA CEZALARININ UYGULANMASI
İdari para cezalarının uygulanmasından evvel ilgilinin savunması alınacak. Savunma istendiğine ait yazının bildirim tarihinden itibaren 30 gün içinde savunma verilmemesi halinde, ilgilinin savunma hakkından feragat ettiği kabul edilecek.
Kanunda tanımlanan kabahatlerden birinin idari yaptırım kararı verilinceye kadar birden çok işlendiğinin tespit edilmesi halinde ilgili gerçek yahut hukuksal bireye tek idari para cezası verilecek ve verilecek ceza 2 katını aşmayacak formda artırılarak uygulanacak. Kabahatin işlenmesi nedeniyle bir menfaat temin edilmesi yahut ziyana sebebiyet verilmesi halinde verilecek idari para cezasının ölçüsü bu menfaat yahut zararın 3 katından az, 5 katından fazla olamayacak.
Başkanlık tarafından verilen idari para cezaları, bildiri tarihinden itibaren 1 ay içinde ödenecek. Bu mühlet içinde ödenmeyen ve mutlaklaşan idari para cezaları, Kurumun bildirimi üzerine Amme Alacaklarının Tahsil Yolu Hakkında Kanun kararlarına nazaran vergi dairelerince tahsil edilecek. Tahsil edilen idari para cezalarının yüzde 50’si Başkanlık bütçesine, yüzde 50’si genel bütçeye gelir kaydedilecek.
Başkanlığın tahsil ettiği idari para cezalarından ayrılan genel bütçe hissesi; vergi dairesince tahsil edilen idari para cezalarından ayrılan Başkanlık hissesi, tahsilatı takip eden ay sonuna kadar aktarılacak.
Siber güvenlik eser, sistem, yazılım, donanım ve hizmetlerinin yurt dışına satışı Başkanlıkça belirlenecek adap ve temellere uygun olarak yapılacak. Bu yordam ve temellerde yer alacak izine tabi eserlerin yurt dışına satışında Başkanlık onayı alınacak. Siber güvenlik eser, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, hisse bölümü yahut satış süreçleri Başkanlığa bildirilecek. Bu süreçler kapsamında gerçek yahut hükmî bireylerin münferiden yahut birlikte şirket üzerinde direkt yahut dolaylı denetim hakkı yahut karar alma yetkisi sağlayan süreçler Başkanlık onayına tabi olacak. Başkanlık onayı alınmadan gerçekleştirilen süreçlerin tüzel geçerliliği olmayacak. Başkanlık, yapılacak süreçlerle ilgili kurum ve kuruluşlardan bilgi ve doküman talep edebilecek. Uygulamaya ait konular Başkanlık tarafından yayınlanacak adap ve esaslarla belirlenecek.
Siber Güvenlik Başkanı, mali ve sosyal hak ve yardımlar ile emeklilik hakları bakımından bakanlık müsteşarına denk kabul edilecek.
UYUM, GEÇİŞ DÜZENLEMELERİ VE KURULUŞ İŞLEMLERİ
Yasayla, Bilgi Teknolojileri ve İletişim Kurumu (BTK) Başkanlığına ve Dijital Dönüşüm Ofisine ilişkin ve münhasıran ulusal siber güvenlik faaliyetleri kapsamında kullanılan her türlü taşınır, bilgi süreç altyapısı ve sistemler, taşıt, araç, gereç ve materyal, fiziki ve elektronik ortamdaki her türlü kayıt ve doküman ile öteki her türlü varlık envanteri ile mezkur Başkanlık ve Ofis tarafından kelam konusu faaliyetlerin yürütülmesinden doğan her türlü borç ve alacaklar, hak ve yükümlülükler, Siber Güvenlik Başkanlığına düzenlemenin yayımından itibaren 6 ay içerisinde devredilecek.
BTK Başkanlığının ve Dijital Dönüşüm Ofisinin takım ve durumlarında bulunan işçiden ulusal siber güvenlik faaliyetleri kapsamında çalışanlar, taleplerinin bulunması ve uygun görülmesi halinde Siber Güvenlik Başkanlığınca görevlendirilebilecek.
Siber güvenlik alanında faaliyet icra eden dernek, derneklerden oluşan federasyon ve vakıflar ile ticaret şirketleri, Başkanlığın belirlediği unsur ve temeller çerçevesinde sertifikasyon, yetkilendirme ve belgelendirme süreçlerini tamamlamakla yükümlü olacak. Yükümlülüğün yerine getirilmemesi halinde siber güvenlik alanında faaliyette bulunulamayacak.
