Yasalaşan teklife göre, Türkiye Cumhuriyeti'nin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ilişkin esaslar düzenlendi. Buna göre yasa, siber uzayda varlık gösteren kuruluşları kapsayacak.
Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilat Kanunu ile Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen faaliyetler düzenleme kapsamı dışında tutuluyor.
Maddelere göre yasayla, siber güvenlik, milli güvenliğin ayrılmaz bir parçası olması ve kritik altyapı ve bilişim sistemlerinin korunması ile güvenli bir siber uzay oluşturulmasının temel hedef olması hedefleniyor.
Siber güvenlik politika ve strateji geliştirme çalışmaları, sürekli gelişim yaklaşımıyla yürütülecek. Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecek.
Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenecek. Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkeleri temel esas kabul edilecek.
Siber Güvenlik Başkanlığı ne yapacak?
Yasayla, Siber Güvenlik Başkanlığının görevleri de tanımlandı. Buna göre, Siber Güvenlik Başkanlığı,
Siber güvenliğin sağlanması amacıyla politika, strateji ve hedefleri belirlemek, eylem planları hazırlamak, mevzuat çalışmalarını yürütmek, ilgili faaliyetlerin koordinasyonunu sağlamak, bunların etkin şekilde uygulanmasını takip etmek,
Siber güvenlik konusunda bilinçlendirme, eğitim ve farkındalığı artırma çalışmaları yürütmek.
Siber güvenlik ve bilgi güvenliğini destekleyici projeler yürütmek.
Siber güvenlik alanında kamu, özel sektör ve üniversiteler arasındaki iş birliğinin artırılmasına yönelik çalışmalar yapmak.
Siber güvenlik ekosistemi ile yerli ve milli ürün ve teknolojilerin geliştirilmesine ve yerli girişimcilerin dünya pazarında rekabetçi konuma gelmesine yönelik çalışmalar yapmak.
Siber güvenliğe ilişkin ihtiyaç duyulan alanlarda Ar-Ge ve teknoloji transferi yapmak gibi görev ve yetkilere sahip olacak.
Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri yapma veya yaptırma, siber tehditlerle mücadele etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile zararlı yazılım inceleme faaliyetlerini yürütecek.
Kritik altyapılar ile ait oldukları kurumları ve konumları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların veri envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk analizinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine göre güvenlik tedbirlerini almak veya aldırmakla da sorumlu olacak.
Milli çözümlerin üretilmesi ve geliştirilmesi için ekip kurulacak
Siber Olaylara Müdahale Ekibi (SOME) kurmak, kurdurmak ve denetlemek, SOME'lerin olgunluk seviyelerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME'lerin siber olay müdahale kabiliyetlerini ölçmek, diğer ülkelerin siber olaylara müdahale ekipleriyle koordinasyon kurmak, her türlü siber müdahale aracının ve milli çözümlerin üretilmesi ve geliştirilmesi amacıyla çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de başkanlığın görevleri arasında yer alıyor.
Kritik kamu hizmetlerinin siber güvenliği sağlanacak
Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları da düzenleyecek.
Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak amacıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına güvenli sistem ve altyapılar üzerinden barındırma hizmeti sunmak veya sunulmasını sağlamak, bu faaliyetlere yönelik uygulama usul ve esaslar, Siber Güvenlik Başkanlığı tarafından belirlenecek.
Veriler en fazla 2 yıl süreyle tutulabilecek
Yasayla, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan yetkilerinin yanı sıra Siber Güvenlik Başkanlığı, kanun kapsamındakilerin siber saldırılara karşı korunması ve bu saldırıların kaynağına karşı caydırıcılık sağlanması için gerekli tedbiri almak amacıyla elde edilen bilgileri en fazla 2 yıl süreyle çalışmaya konu edilecek ve çalışma süresi sonrasında imha edilecek.
Siber Güvenlik Başkanlığı, bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilecek, saklayabilecek, değerlendirebilecek, bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilecek.
Ülkelerle ilişki yürütüp, bilgi alışverişinde bulunabilecek
Başkanlık, bakanlıklar ve diğer kamu kurum ve kuruluşları ile koordineli olarak siber güvenlik konularında ihtiyaç halinde personel tefrik edebilecek. Görev alanına giren konularda uluslararası kuruluşlar ve ülkelerle ilişkiler yürütebilecek, bilgi alışverişinde bulunabilecek, Türkiye'yi temsil edebilecek ve koordinasyonu sağlayabilecek, uluslararası kuruluşların çalışmalarına katılabilecek, alınan kararların uygulanmasını takip edebilecek ve gerekli koordinasyonu sağlayabilecek.
Bu maddenin uygulanmasına ilişkin usul ve esaslar, Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.
Görev ve sorumluluklar belirlendi
Yasada, bilişim sistemleri kullanarak hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin, siber güvenliğe ilişkin görev ve sorumluluklar şöyle tanımlanıyor:
Başkanlığın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında Başkanlığa iletmek,
siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak,
hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek,
Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerinden veya şirketlerden tedarik etmek
Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak
Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan diğer düzenleyici işlemlerde yer alan hususları yerine getirmek ve gerekli tedbirleri almak.
Başkanlık neleri denetleyecek?
Siber Güvenlik Başkanlığı, düzenlemede belirtilen görevleri ile ilgili olarak gerekli gördüğü hallerde düzenlemenin kapsamına giren her türlü fiil ve işlemi denetleyebilecek.
Denetimle görevlendirilenler, yürüttükleri denetim faaliyetleriyle sınırlı olarak elektronik ortamdaki verinin, belgelerin, elektronik altyapının, cihaz, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret veya örnek alınması, konuyla ilgili yazılı veya sözlü açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi konularında yetkili olacak.
Genel Kurulda kabul edilen önergeyle Başkana verilen arama, kopya çıkarma ve el koyma yetkisi ise yasadan çıkarıldı.
Buna göre, milli güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hakim kararı üzerine veya gecikmesinde sakınca bulunan hallerde cumhuriyet savcısının yazılı emri ile konutta, iş yerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilecek, uzun süreli hizmet aksamasına yol açmayacak ve kesintisiz şekilde kopya çıkarma ve el koyma işlemi gerçekleştirilebilecek. Çıkarılan kopyanın bir nüshası ilgilisine teslim edilecek ve bu husus tutanağa geçirilerek imza altına alınacak.
Siber Güvenlik Kurulu kurulacak
Kanunla, Siber Güvenlik Kurulu'nun kimlerden oluşacağı da belirlendi.
Buna göre Siber Güvenlik Kurulu,
Cumhurbaşkanı,
Cumhurbaşkanı Yardımcısı,
Adalet Bakanı, Dışişleri Bakanı,
İçişleri Bakanı,
Milli Savunma Bakanı,
Sanayi ve Teknoloji Bakanı,
Ulaştırma ve Altyapı Bakanı,
Milli Güvenlik Kurulu Genel Sekreteri,
Milli İstihbarat Teşkilatı Başkanı,
Savunma Sanayii Başkanı
Siber Güvenlik Başkanından oluşacak.
Komisyon ve çalışma grubu toplantılarına, görüşlerinden faydalanmak üzere alanında uzman kişiler davet edilebilecek.
Kurulun görevleri ise şöyle:
Siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlere yönelik kararları almak, alınan kararların tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek
Başkanlık tarafından hazırlanan siber güvenlik alanına ilişkin teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararlar almak
Siber güvenlik alanında teşvik verilecek öncelikli alanları belirlemek, siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar almak
Kritik altyapı sektörlerini belirlemek. Başkanlık ile kamu kurum ve kuruluşları arasında meydana gelebilecek ihtilaflar hakkında karar almak
Siber Güvenlik Başkanlığı çalışanlarının ilişiği kesildiğinde siber güvenlik alanında 2 yıl çalışamayacak
Siber Güvenlik Başkanlığında kadrolu veya sözleşmeli statüde görev yaparken herhangi bir nedenle ilişiği kesilenler, başkanlıktan muvafakat almadan 2 yıl süreyle yurt içi veya yurt dışında siber güvenlik alanında resmi veya özel başka hiçbir görev alamayacak, bu alanda ticaretle uğraşamayacak, serbest meslek faaliyetinde bulunamayacak ve özellikle bu sektörde faaliyet gösteren bir şirkette hissedar veya yönetici olamayacak.
Başkanlıktaki görev ve faaliyetler kapsamında edinilen bilgi, belge ve benzeri her türlü verinin, Siber Güvenlik Başkanlığınca yetki verilen durumlar hariç, radyo, televizyon, internet, sosyal medya, gazete, dergi, kitap ve diğer tüm medya araçlarıyla her türlü yazılı, görsel, işitsel ve elektronik kitle iletişim araçları vasıtasıyla yayımlanması veya açıklanması yasak olacak.Sputnık
