Siber Güvenlik Kanunu
Türkiye Cumhuriyeti’nin siber uzaydaki milli güç unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulu’nun kurulmasına ilişkin esasları düzenleme amacıyla 12 Mart 2025 tarihinde Türkiye Büyük Millet Meclisi’nde kabul edilip 19 Mart 2025’te Resmi Gazete’de yayınlanarak yürürlüğe girmiş bulunan 7545 sayılı Siber Güvenlik Kanunu (“Kanun”), siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsayacak şekilde hazırlanmıştır.
Kanunun dördüncü maddesi uyarınca öngörülen birtakım önemli temel ilkeler aşağıda sıralandığı gibidir:
· Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülür.
· Siber güvenlik tedbirlerinin, hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanması esastır.
· Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünler tercih edilir.
· Siber güvenlik politika ve stratejilerinin yürütülmesi ile siber saldırıların önlenmesi veya etkisinin azaltılmasına yönelik gerekli tedbirlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumludur.
· Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esastır.
· Siber güvenlik politika ve strateji geliştirme çalışmaları sürekli gelişim yaklaşımı ile yürütülür.
· Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilir.
· Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkeleri temel esas kabul edilir.
Bu Kanun ile, 8 Ocak 2025 tarihli Cumhurbaşkanlığı Kararnamesi ile kuruluşu ve genel çerçevesiyle görev ve yetki esasları öngörülmüş olan Siber Güvenlik Başkanlığı’nın (“Başkanlık”) ilgili hususları, aşağıda belirtildiği şekilde daha detaylıca tasnif edilmiştir. Kanunun bu bölümünde, Başkanlığın kritik altyapıların belirlenmesinden siber tehdit istihbaratı toplamaya, uluslararası koordinasyondan standart belirleme yetkilerine kadar geniş bir spektrumda tanımlanan görev, sorumlulukları ve yetkileri zikredilmiştir.
Başkanlığın Görevleri
· Kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber saldırılara karşı korunmasına, gerçekleştirilen siber saldırıların tespitine, muhtemel saldırıların önlenmesine ve etkilerinin azaltılmasına veya ortadan kaldırılmasına yönelik faaliyet yürütmek, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri yapmak veya yaptırmak, siber tehditlerle mücadele etmek, siber tehdit istihbaratı elde etmek, oluşturmak ve paylaşmak, zararlı yazılım inceleme faaliyetleri yürütmek.
· Kritik altyapılar ile ait oldukları kurumları ve konumları belirlemek.
· Kamu kurum ve kuruluşları ile kritik altyapıların veri envanteri dâhil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk analizinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine göre güvenlik tedbirlerini almak veya aldırmak.
· Siber Olaylarla Mücadele Ekibi (“SOME”) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk seviyelerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, diğer ülkelerin siber olaylara müdahale ekipleriyle koordinasyon kurmak, her türlü siber müdahale aracının ve milli çözümlerin üretilmesi ve geliştirilmesi amacıyla çalışmalar yapmak, yaptırmak ve bunları teşvik etmek.
· Siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları düzenlemek.
· Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak amacıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına güvenli sistem ve altyapılar üzerinden barındırma hizmeti sunmak veya sunulmasını sağlamak, bu faaliyetlere yönelik uygulama usul ve esaslarını belirlemek.
· Siber güvenlik alanına ilişkin standartları hazırlamak, diğer kişi veya kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğu takdirde standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek.
· Siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifikasyon işlemlerini yürütmek, buna yönelik test altyapıları kurmak, kurdurmak ve işletmek ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme işlemlerini ilgili kurumlarla koordineli olarak yürütmek.
· Siber güvenlik denetimini gerçekleştirmek ve sonucuna göre yaptırım uygulamak.
· Kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların denetimini yapmak ya da yaptırmak, denetimleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi geçici olarak durdurmak ya da iptal etmek.
Başkanlığın Yetkileri
· Bilişim sistemlerine uygun bulunan yazılım ve donanım ürünlerinin kurulum ve entegrasyonunu sağlayabilir, bu ürünler tarafından üretilen veya toplanan veri ve log kayıtlarını Başkanlık yönetiminde bulunan bilişim sistemlerine aktarabilir, siber olayların tespitine yönelik gerekli yöntemi ve aracı kullanabilir.
· Bu Kanun kapsamındakilerden siber olaya maruz kalanlara yerinde veya uzaktan siber olay müdahale desteği sağlayabilir, siber uzayda bulunan veya elde ettiği veri, imaj veya log kayıtları üzerinden saldırılara ait izleri takip edebilir, bunları inceleyerek delillendirebilir, suç teşkil ettiği değerlendirilen bulguları adli makamlar ve diğer ilgililer ile paylaşır, yurt içi ve yurt dışındaki paydaşlar ile koordinasyon sağlayabilir.
· Bu Kanun kapsamındakilerden, yürüttüğü faaliyetlerle sınırlı olmak üzere bilgi, belge, veri ve kayıtları alabilir ve değerlendirmesini yapabilir, bunlara ait arşivlerden, elektronik bilgi işlem merkezlerinden ve iletişim altyapısından yararlanabilir ve bunlarla irtibat kurabilir. Bu kapsamda elde edilen bilgi, belge, veri ve kayıtlar, en fazla iki yıl süreyle çalışmaya konu edilir ve çalışma süresi sonrasında imha edilir. Bu kapsamda talepte bulunulanlar, kendi mevzuatındaki hükümleri gerekçe göstermek suretiyle talebin yerine getirilmesinden kaçınamazlar.
· Bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilir, saklayabilir, değerlendirebilir. Bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilir.
· Başkanlık, bakanlıklar ve diğer kamu kurum ve kuruluşları ile koordineli olarak siber güvenlik konularında ihtiyaç halinde personel tefrik edebilir.
· Görev alanına giren konularda uluslararası kuruluşlar ve ülkelerle ilişkiler yürütebilir, bilgi alışverişinde bulunabilir, ülkemizi temsil edebilir ve koordinasyonu sağlayabilir, uluslararası kuruluşların çalışmalarına katılabilir, alınan kararların uygulanmasını takip edebilir ve gerekli koordinasyonu sağlayabilir.
· Bu Kanun kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları sınıflandırabilir, faaliyetlerini icra ederken gerektiğinde sadece belirli bir kısmını kapsayan hükümler oluşturabilir.
· Siber güvenlik denetimi gerçekleştiren bağımsız denetçiler ve bağımsız denetim kuruluşlarını yetkilendirebilir, yetkisini süreli veya süresiz iptal edebilir.
· Kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe etkisi olan yazılım, donanım, ürün ve hizmetlere dair kriterler ile Başkanlığa yapılacak bildirimlere ilişkin usul ve esasları belirler.
· Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin asgari güvenlik kriterlerini belirler. Bunları sağlayacak veya tedarik edecek gerçek ve tüzel kişilere yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetir. Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin belirlenecek standartlara uygun hale getirilmesini talep edebilir, bu talebe uyum sağlamayanların kullanılmasını önleyici tedbirler alabilir.
· Bu Kanun uyarınca yürütülen iş ve işlemler kapsamında kişisel veriler; hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde güncel olmak kaydıyla, belirli, açık ve meşru amaçlarla, işlendiği amaçla bağlantılı, sınırlı ve ölçülü olmak kaydıyla ve işlendiği amaç için gerekli olan süre kadar muhafaza edilmek üzere işlenir. Bu Kanunda belirtilen yetkiler çerçevesinde elde edilecek kişisel veriler ve ticari sırlar; bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinir, yok edilir veya anonim hale getirilir.
· Bu maddenin uygulanmasına ilişkin usul ve esaslar Cumhurbaşkanı tarafından çıkarılacak yönetmelikle[1] belirlenir.
Başkanlık için öngörülen görev ve yetkiler uyarınca, Kanun kapsamında faaliyet yürüten ilgililere siber güvenliğe ilişkin birtakım görev ve sorumluluklar yüklenmiştir:
1) Başkanlığın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında Başkanlığa iletmek.
2) Milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek.
3) Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmek.
4) Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak.
5) Başkanlık tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan diğer düzenleyici işlemlerde yer alan hususları yerine getirmek ve gerekli tedbirleri almak.
Denetim
Kanun uyarınca Başkanlık, görevleriyle ilgili olarak gerekli gördüğü hallerde her türlü fiil ve işlemi denetleme yetkisini haizdir. Bu doğrultuda; Başkanlık personeli, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız denetim kuruluşları aracılığı ile denetim faaliyeti ve mahalde incelemenin gerçekleştirileceği öngörülmüştür. Bu kapsamda:
· Başkanlık, denetim faaliyetlerine ilişkin önemlilik ve öncelik ilkeleri ile risk değerlendirmelerinde dikkate alınacak ölçütleri ve uygulama esaslarını belirler. Denetim faaliyeti, önemlilik ve öncelik ilkeleri ile risk değerlendirmeleri kapsamında oluşturulacak program uyarınca yürütülür. Başkan, oluşturulan program dışında incelenmesi gerekli görülen hususlarda program dışı denetim yaptırabilecektir.
· Denetimle görevlendirilenler; yürüttükleri denetim faaliyetleriyle sınırlı olarak elektronik ortamdaki verinin, belgelerin, elektronik altyapının, cihaz, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret veya örnek alınması, konuyla ilgili yazılı veya sözlü açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi konularında yetkilidir. Denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almak zorundadır.
· Millî güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hâkim kararı üzerine veya gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısının yazılı emri ile konutta, işyerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilir, uzun süreli hizmet aksamasına yol açmayacak ve kesintisiz şekilde kopya çıkarma ve el koyma işlemi gerçekleştirilebilir. Çıkarılan kopyanın bir nüshası ilgilisine teslim edilir ve bu husus tutanağa geçirilerek imza altına alınır. Bu işlemlerin yapılabilmesi için makul sebeplerin oluştuğunun gerekçeleriyle birlikte gösterilmesi gerekir.
o Hâkim kararı olmaksızın yapılan arama ve gerçekleştirilen kopya çıkarma ve el koyma işlemleri yirmi dört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını kırk sekiz saat içinde açıklar; aksi hâlde çıkarılan kopyalar ve çözümü yapılan metinler derhâl imha edilir ve el koyma kendiliğinden kalkar. Yetkilendirilmiş veri merkezi işletmecilerinin veri merkezlerinde sadece hâkim kararıyla arama, kopya çıkarma ve el koyma işlemi yapılabilir. Burada sayılan ve Kanun’un sekizinci maddesinin beşinci fıkrası kapsamına giren talepler bakımından Ankara sulh ceza hâkimliği yetkili ve görevlidir. Ancak kamu kurum ve kuruluşları bakımından hâkim kararı aranmaz.
Değinilmesi gereken önemli bir husus olarak, Kanunun 12. maddesinde öngörüldüğü üzere, Başkanlıkta kadrolu veya sözleşmeli statüde görev yapanlardan Başkanlık ile herhangi bir nedenle ilişiği kesilenlerin, Başkanlıktan muvafakat almadan iki yıl süreyle yurt içi veya yurt dışında siber güvenlik alanında resmi veya özel başka hiçbir görev alamayacağına ve bu alanda ticaretle uğraşamayacağına, serbest meslek faaliyetinde bulunamayacağına ve özellikle bu sektörde faaliyet gösteren bir şirkette hissedar veya yönetici olamayacağına değinmek gerekir. Bu maddeye aykırı davrananlara üç yıldan beş yıla kadar hapis cezası verileceği Kanunun 16. maddesinde ayrıca öngörülmüştür.
Siber Güvenlik Kurulu
Cumhurbaşkanı başkanlığında toplanan, ulusal siber güvenlik stratejisi ve politikalarının en üst düzeyde belirlendiği ve koordine edildiği önemli bir yapı olan Siber Güvenlik Kurulu’nun (“Kurul”) oluşumu, çalışma prensipleri ve görevleri Kanunun 9. maddesinde düzenlenmiştir. İlgili hüküm uyarınca, Kurul:
· Siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlere yönelik kararları alır, alınan kararların tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirler,
· Başkanlık tarafından hazırlanan siber güvenlik alanına ilişkin teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararlar alır,
· Siber güvenlik alanında teşvik verilecek öncelikli alanları belirler ve siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar alır,
· Kritik altyapı sektörlerini belirler,
· Başkanlık ile kamu kurum ve kuruluşları arasında meydana gelebilecek ihtilaflar hakkında karar alır.
· Görevleri kapsamında gerekli görmesi halinde, Kurul’un görev alanına giren hususlarda teknik düzeyde çalışmalar yapan ve karar önerileri oluşturan komisyon ve çalışma grupları oluşturabilir.
Kanunda zikredildiği üzere, Kurul, komisyon ve çalışma gruplarının çalışma usul ve esasları Cumhurbaşkanı tarafından çıkarılacak yönetmelikle[2] belirlenir.
Siber Güvenlik Ürünleri ve Şirketleri
Kanunun 18. maddesi, siber güvenlik alanında faaliyet gösteren şirketlerin ve ürettikleri ürünlerin stratejik önemini vurgulayarak, bu alandaki ticari faaliyetlerin ulusal güvenlik perspektifinden düzenlenmesini sağlamaktadır. Bir diğer deyişle bu hüküm, siber güvenlik ürünlerinin yurt dışına satışı ile bu ürünleri üreten şirketlerin mülkiyet yapılarındaki değişikliklerin denetim altında tutulması amacına hizmet etmektedir. Başkanlığa verilen onay ve denetim yetkileri, ülkenin siber güvenlik ekosisteminin korunması ve stratejik siber güvenlik varlıklarının kontrolsüz şekilde el değiştirmesinin önlenmesi için bu doğrultuda önemli bir mekanizma oluşturmaktadır. İlgili hüküm uyarınca:
· Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı, Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılır. Bu usul ve esaslarda yer alacak izne tabi ürünlerin yurt dışına satışında Başkanlık onayı alınır.
· Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilir.[3] Bu işlemler kapsamında, gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabidir.
· Başkanlık onayı alınmaksızın gerçekleştirilen işlemler hukuki bir geçerlilik kazanmaz. Başkanlık, bu madde kapsamında yapılacak işlemlerle ilgili olarak kurum ve kuruluşlardan bilgi ve belge talep edebilir.
Kanunun "Cezai Hükümler ve İdari Para Cezalarının Uygulanması" başlıklı beşinci bölümü, kanunun uygulanmasını sağlamaya yönelik yaptırımları düzenlemektedir. Bu bölüm, siber güvenlik alanındaki ihlallere, yükümlülüklerin yerine getirilmemesine ve kötüye kullanımlara ilişkin adli ve idari cezaları detaylı olarak ele almaktadır. Kanun kapsamında çeşitli suçlar için hapis ve para cezaları öngörülürken, idari para cezalarının uygulanma usulleri de açıkça belirlenmiştir. Bu bölümün içeriğini daha ayrıntılı olarak inceleyecek olursak:
Cezai Hükümler
· Kamu kurum ve kuruluşları hariç olmak üzere bu Kanunla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar bir yıldan üç yıla kadar hapis ve beş yüz günden bin beş yüz güne kadar adli para cezası ile cezalandırılır.
· Bu Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler iki yıldan dört yıla kadar hapis ve bin günden iki bin güne kadar adli para cezası ile cezalandırılır.
· Sır saklama yükümlülüğünü yerine getirmeyenlere dört yıldan sekiz yıla kadar hapis cezası verilir.
· Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara üç yıldan beş yıla kadar hapis cezası verilir.
· Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara iki yıldan beş yıla kadar hapis cezası verilir.
· Bu Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara veya kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere bir yıldan üç yıla kadar hapis cezası verilir.
İdari Para Cezaları
|
Fiil |
İlgili Kanun Maddesi |
İdari Para Cezası |
|
Siber
güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin
gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almamak |
Madde 7(1)(b) |
1.000.000 – 10.000.000 TL |
|
Hizmet sunulan alanda tespit edilen zafiyet veya siber olayların
gecikmeksizin Başkanlığa bildirilmemesi |
Madde 7(1)(b) |
1.000.000 – 10.000.000 TL |
|
Kamu
kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik
ürün, sistem ve hizmetleri Siber Güvenlik Başkanlığı tarafından
yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanları ve şirketlerden
tedarik etmemek |
Madde 7(1)(c) |
1.000.000 – 10.000.000 TL |
|
Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin Başkanlıktan
onay alınmadan yurt dışına satılması |
Madde 18(1) |
10.000.000 – 100.000.000 TL |
|
Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten
şirketlerin birleşme, bölünme, pay devri veya satış işlemlerini Başkanlığa
bildirmemek |
Madde 18(2) |
10.000.000 – 100.000.000 TL |
|
Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten
şirketlerin birleşme, bölünme, pay devri veya satış işlemleri kapsamında
gerçek veya tüzel kişilere münferiden veya birlikte şirket üzerinde doğrudan
veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler için
Başkanlığın onayını almamak |
Madde 18(2) |
10.000.000 – 100.000.000 TL |
|
Siber güvenlik denetimine tabi tutulan gerçek kişiler tarafından denetim
sırasında elektronik ortamdaki veriyi, belgeyi, elektronik altyapıyı, cihaz,
sistem, yazılım ve donanımları inceletmemek, bunlardan kopya, dijital suret
veya örnek vermemek, konuyla ilgili yazılı veya sözlü açıklama istenmesi
durumunda bunu yerine getirmemek, tesislerin ve işletiminin incelenmesine
müsaade etmemek, cihaz, sistem, yazılım ve donanımları verilen sürelerde
denetlemeye açık tutmamak, denetim için gerekli altyapıyı temin etmemek ve
çalışır vaziyette tutmak için gerekli önlemleri almamak |
Madde 8(4) |
100.000 TL – 1.000.000 TL |
|
Siber güvenlik denetimine tabi tutulan ticari şirketler tarafından
kişiler tarafından denetim sırasında elektronik ortamdaki veriyi, belgeyi,
elektronik altyapıyı, cihaz, sistem, yazılım ve donanımları inceletmemek,
bunlardan kopya, dijital suret veya örnek vermemek, konuyla ilgili yazılı
veya sözlü açıklama istenmesi durumunda bunu yerine getirmemek, tesislerin ve
işletiminin incelenmesine müsaade etmemek, cihaz, sistem, yazılım ve
donanımları verilen sürelerde denetlemeye açık tutmamak, denetim için gerekli
altyapıyı temin etmemek ve çalışır vaziyette tutmak için gerekli önlemleri
almamak |
Madde 8(4) |
100.000 TL’den
az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer
alan brüt satış hasılatının %1’i ile vergi öncesi karının %20’sinden yüksek
olanına kadar idari para cezası |
Yukarıda bahsedilen idari para cezalarının uygulanmasında izlenecek prosedürü Kanunun 17. maddesi düzenlemektedir.
· İdari para cezalarının uygulanmasından önce ilgilinin savunması alınır. Savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren otuz gün içinde savunma verilmemesi halinde, ilgilinin savunma hakkından feragat ettiği kabul edilir
· Bu Kanunda tanımlanan kabahatlerden birinin idari yaptırım kararı verilinceye kadar birden çok işlendiğinin tespit edilmesi halinde ilgili gerçek veya tüzel kişiye tek idari para cezası verilir ve verilecek ceza iki katını aşmayacak şekilde artırılarak uygulanır. Kabahatin işlenmesi nedeniyle bir menfaat temin edilmesi veya zarara sebebiyet verilmesi halinde verilecek idari para cezasının miktarı bu menfaat veya zararın üç katından az beş katından fazla olamaz.
· Başkanlık tarafından verilen idari para cezaları, tebliğ tarihinden itibaren bir ay içinde ödenir. Bu süre içinde ödenmeyen ve kesinleşen idari para cezaları, Kurumun bildirimi üzerine 21/7/1953 tarihli ve 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun hükümlerine göre vergi dairelerince tahsil edilir. 6183 sayılı Kanun kapsamında vergi daireleri, borçlunun mallarına haciz koyma, maaşından kesinti yapma, banka hesaplarını dondurma gibi çeşitli tahsilat yöntemlerini kullanabilir. Ayrıca gecikme zammı da uygulanabilir.
· Tahsil edilen idari para cezalarının yüzde ellisi Başkanlık bütçesine, yüzde ellisi genel bütçeye gelir kaydedilir. Başkanlığın tahsil ettiği idari para cezalarından ayrılan genel bütçe payı; vergi dairesince tahsil edilen idari para cezalarından ayrılan Başkanlık payı, tahsilatı takip eden ay sonuna kadar aktarılır.
· Bu Kanun uyarınca verilen idari para cezası kararlarına karşı idari yargı kanun yoluna başvuru yolu açıktır.
Değerlendirme
Uygulama açısından oldukça önemli hususlardan biri Kanun’un kapsam maddesinin yorumlanış biçimidir. Kanunun 2. Uyarınca kapsam, “Bu Kanun, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsar.” şeklinde ifade edilmiştir. Tanımlar maddesi uyarınca ise “siber uzay”, doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortamı ifade etmektedir. Görüldüğü üzere kapsam, tanım içerisinde oldukça geniş tutulmuştur ve herhangi bir coğrafi sınırlandırmaya yer verilmemiştir. İnternetin ve elektronik haberleşme ağlarının küresel doğası gereği, siber uzay coğrafi sınırları aşan bir kavramdır. Kanunun amaç başlıklı 1. maddesinin lafzını incelersek, “Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi…” ibaresinden Türkiye Cumhuriyeti’nin siber uzay içerisinde tıpkı diğer aktörler gibi münferiden yer aldığını, amacın da diğer aktörlerin de bulunduğu bu ortamda güvenlik ve istikrarı sağlamak olduğu anlaşılmaktadır. Yani, siber uzay tanımı, globaldir ve coğrafi sınırlara indirgenemeyen bir kavramdır. Dolayısıyla, örneğin, Türkiye’de doğrudan bir şubesi veya iştiraki olmayan ve siber uzayda faaliyet gösteren yabancı şirketin işlemleri bu Kanun kapsamına gireceğinden, işlemlerinin Türkiye Cumhuriyeti’nde hukuki geçerliliğe sahip olması için burada anlatılan bildirim şartı ve prosedürlere uyulması gerekecektir. Aynı sebeple, siber uzay içerisinde faaliyet gösteren bir aktör, Kanun kapsamı içerisinde yer alacağından, öngörülen yaptırımlarla karşılaşabilecektir. Kapsam hükmünün bu şekilde geniş biçimde bırakılması Türkiye Cumhuriyeti’nin siber güvenliğe yönelik ulusal ve uluslararası düzeyde aktif bir düzenleyici rol üstlenmekte olduğunun ve siber uzayın küresel doğasına uygun bir şekilde hareket ettiğinin bir göstergesidir.
Son olarak geçiş ve uyum süreciyle ilgili noktalara değinmek gerekirse, siber güvenlik alanında faaliyet icra eden dernek, derneklerden oluşan federasyonlar, vakıflar ile ticaret şirketleri, kanunun uygulanmasına ilişkin düzenlemelerin yürürlüğe girmesinden itibaren bir yıl içerisinde Başkanlığın belirlediği ilke ve esaslar çerçevesinde sertifikasyon, yetkilendirme ve belgelendirme işlemlerini tamamlamakla yükümlüdürler. Bu yükümlülüğün yerine getirilmemesi halinde siber güvenlik alanında faaliyette bulunulamayacaktır. Bu süre sonunda söz konusu yükümlülüklerini yerine getirmeyen dernek, vakıf ve federasyonların tüzel kişiliklerine, Başkanlığın talebi üzerine mahkeme kararıyla son verilir ve mahkeme tarafından yargılama sürecinde gerekli tedbirler alınır. Ticaret şirketleri ise aynı süre içinde yükümlülüklerini yerine getirmediği takdirde ticaret unvanlarında ve faaliyet konularında yer alan siber güvenliğe ilişkin ibareleri şirket sözleşmelerinden çıkarılır veya ticaret sicilinden terkin edilmeleri amacıyla tasfiye süreçleri başlatılır. Bilgi Teknolojileri ve İletişim Kurumu Başkanlığı’nın ve Dijital Dönüşüm Ofisi’nin ulusal siber güvenlik faaliyetleri ile ilgili yapılmış olan sözleşmeler, açılmış ve açılacak olan davalar ve icra işlemlerinde Kanun’da öngörülen atama işlemlerinin tamamlanması tarihi itibarıyla Başkanlık taraf sıfatını kazanır, mevcut dava dosyaları ve icra takiplerine ilişkin dosyalar Başkanlığa devredilir. Bu Kanunun uygulanmasına ilişkin düzenlemeler, bir yıl içinde yürürlüğe konulacaktır, bu düzenlemeler yürürlüğe girinceye kadar mevcut düzenlemelerin bu Kanuna aykırı olmayan hükümlerinin ise uygulanmasına devam olunacaktır.
* * *
Konu hakkında herhangi bir soru veya sorununuz olması halinde bizimle legal@igniterstech.com adresi üzerinden iletişime geçebilirsiniz.
[1] Konuyla ilgili yönetmelik 19 Mart 2025 tarihi itibariyle henüz yayımlanmamıştır.
[2] Konuyla ilgili yönetmelik 19 Mart 2025 tarihi itibariyle henüz yayımlanmamıştır.