Siber Güvenlik Başkanlığı’nın kurulmasının ardından TBMM’ye sunulan “Siber Güvenlik Kanunu Teklifi”, Milli Savunma Komisyonu’nda kabul edildi. Teklif, şu an tasarı aşamasında olup TBMM Genel Kurulu’nda değerlendirilmesi beklenmektedir.
Bu yazımızda, Teklif’in başlıca neleri içerdiği incelenmiş olup şirketleri ilgilendirebilecek konular değerlendirilmiştir.
Kanun Teklifinin Amacı
Dijital dönüşümün giderek hızlandığı günümüzde, kritik altyapıların ve bilişim sistemlerinin korunması çok daha hayati bir hal almıştır. Bu ihtiyaçtan hareketle hazırlanan Teklif’in gerekçesine bakıldığında, temel amacın siber güvenlik alanında dağınık şekilde yer alan mevcut mevzuatı tek bir çatı altında toplamak ve merkezi bir yapı ile daha etkin bir yönetim ve koordinasyon sağlamak olduğu anlaşılmaktadır.
Bu Teklif ile, kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına yönelik faaliyet yürütmek gibi görevler edinen Siber Güvenlik Başkanlığı, siber güvenlik politikalarının oluşturulması ve uygulanmasında merkezi bir yapı kurmayı, standartları belirlemeyi ve denetimler gerçekleştirmeyi hedeflemektedir.
Kanun Teklifinin Şirketler Açısından Getirdiği Yükümlülükler
Teklif, özellikle siber güvenlik alanında hizmet sunan şirketler için bir dizi yeni sorumluluk getirmektedir. Bu kapsamda; siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme gibi yeni işlemler gündeme gelecektir.
Önemli bir nokta, Teklif’te “kritik altyapılar” olarak tanımlanan tarafları ilgilendiren düzenlemelerdir. Kritik altyapıların spesifik olarak hangi sektörleri veya kurumları ilgilendirdiği şimdilik listelenmemiş olsa da Teklif’in yasalaşması ile birlikte bunlara yönelik özel belirlemelerin yapılacağı beklenmektedir. Teklif’te yer verilen tanıma bakıldığında, işlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği, bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapılar, kritik altyapılardır. Bunların enerji, finans, sağlık, haberleşme gibi sektörlerdeki şirketleri ilgilendirebileceği tahmin edilmektedir.
Kişisel Veriler ve Veri Güvenliği ile İlgili Düzenlemeler
Teklif’in odaklandığı önemli alanlardan biri de kişisel verilerin işlenmesi ve muhafazasıyla ilgili konular olmuştur. Teklif’te, KVKK ile aynı doğrultuda, kişisel verilerin hukuka uygun, ölçülü ve amacına uygun bir şekilde işlenmesi gerektiği belirtilmektedir. Bu kapsamda, elde edilen kişisel verilerin, işleme amacı ortadan kalktığında silinmesi veya anonim hale getirilmesi zorunlu kılınmaktadır.
Bununla birlikte, Teklif’in 16/5. maddesinde yer verilen düzenleme uyarınca, veri sızıntısı nedeniyle kişisel verileri veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara 3 yıldan 5 yıla kadar hapis cezası verileceği düzenlenmiştir.
Ayrıca, Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik olarak siber saldırıda bulunan veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara 8 yıldan 12 yıla kadar; bu verileri siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara ise 10 yıldan 15 yıla kadar hapis cezası verilecektir.
Teklif, aynı zamanda veri sızıntısı olmadığı halde bu yönde algı oluşturan faaliyetleri de cezai kapsamda değerlendirmekte; bunun için 2 yıldan 5 yıla kadar hapis cezası getirmektedir. Bu düzenleme, veri sızıntısı veya siber saldırı gibi konularda yanıltıcı bilgiler yayarak kamuoyunu yanıltan ve kurum veya şahısların itibarını zedeleyen faaliyetlerin önlenmesini amaçlamaktadır. Aynı zamanda, yanlış algı operasyonlarına karşı caydırıcılık yaratmayı hedeflemektedir. Şirketler açısından, bu düzenleme doğru bilgilendirme süreçlerinin önemi ve dijital iletişim politikalarının şeffaf bir şekilde yürütülmesi gerektiğine işaret etmektedir. Bu nedenle, kurumların kriz yönetimi stratejilerini ve siber olaylara ilişkin bilgilendirme süreçlerini titizlikle gözden geçirmesi faydalı olacaktır.
Gelinen noktada, veri sızıntısının hem KVKK hem de Siber Güvenlik Kanunu uyarınca suç olarak tanımlanan bir eyleme tekabül etmesi halinde aynı fiil nedeniyle birden fazla yaptırım uygulanıp uygulanamayacağı konusunda soru işareti gündeme gelmektedir. KVKK, kişisel veri sahiplerini korumayı hedeflerken; Siber Güvenlik Kanunu Teklifi, ulusal güvenlik, kamu düzeni ve kritik altyapıların korunmasına odaklanmaktadır. Bu farklı noktalar, aynı eylemin her iki mevzuat açısından farklı sonuçlar doğurmasına neden olabilir. Bu çakışmayı ele almak için, Teklif’in yasalaşması durumunda uygulama esaslarının nasıl düzenleneceği kritik olacaktır.
Sonuç ve Değerlendirme
Siber Güvenlik Kanunu Teklifi, dijital güvenlik alanındaki düzenlemeleri bir çatı altında toplamayı ve ulusal düzeyde daha etkin bir siber güvenlik yönetimi sağlamayı amaçlamaktadır. Henüz yasalaşmamış olan bu Teklif, şirketler açısından denetim, veri güvenliği ve uyum süreçlerine yönelik potansiyel değişiklikler öngörmekle birlikte, hangi sektörlerin veya şirketlerin kapsam dahilinde olacağı konusunda henüz net bir çerçeve sunmamaktadır. Şu anki haliyle, Tasarı’ya ilişkin gelişmeleri yakından takip etmek ve olası etkilerini analiz ederek hazırlıklı olmak önemli bir adım olacaktır.
Siber Güvenlik Kanunu Teklifi’nin tam metnine buradan ulaşabilirsiniz.