‘Siber Güvenlik Yasası’nın Getirdikleri [*]

1. Giriş

Günümüzde siber güvenlik, dijitalleşmenin hız kazandığı bir dünyada kritik önceliklerden biri haline gelmiştir. Hem bireylerin hem de kurumların dijital varlıklarını koruma ihtiyacı, gelişmiş ülkelerde stratejik öneme sahip olan siber güvenlik politikalarını ve teknolojik yatırımları beraberinde getirmiştir. Yapay zekâ, blok zincir, büyük veri, kuantum ve bulut bilişim gibi teknolojilerin yaygınlaşması, siber tehditlerin karmaşıklığını artırırken, aynı zamanda savunma mekanizmalarının gelişimini de tetiklemiştir. Kritik altyapıların korunması ve kamu kurumlarının dijital süreç ve varlıklarının güvence altına alınması, modern siber güvenlik stratejilerinin merkezinde yer almaktadır. Bununla beraber, Milli Teknoloji Hamlesi kapsamında Türkiye’nin yaşadığı teknolojik dönüşüm ve gelişim sürecinde siber güvenlik en temel gerekliliklerinden biri haline gelmiştir.

Türkiye’nin özellikle son 20 yılda teknolojide yaptığı atılım internet kullanıcı sayısını da artırmıştır. Araştırmalara göre, Türkiye’de internet kullanıcıları günlük ortalama 7,5 saat internette zaman geçirmekte ve bunun yaklaşık 3 saatini sosyal medya üzerinde harcamaktadır. Mobil abone sayısı 93,3 milyona, mobil genişbant abone sayısı 72,7 milyona ve sabit genişbant kullanıcıları yaklaşık 19,9 milyona ulaşmıştır. Mobil internet kullanıcılarının ortalama aylık veri tüketimi 16,7 GB iken, sabit genişbant abonelerinin aylık ortalama kullanımı 272 GB olarak ölçülmüştür. Bu veriler, Türkiye’nin iletişim altyapısındaki hızlı gelişimi ve dijitalleşmenin günlük hayattaki etkisini açıkça ortaya koymaktadır.

Diğer taraftan, bağlı cihaz sayısının ve akıllı uygulamaların artmasıyla tüm dünyada üretilen veri miktarında ciddi bir artış yaşanmaktadır. Üretilen verinin 2024 itibarıyla 180 zettabayt sınırlarına ulaşması, veri işlemeye dayalı hizmetler ile çözümlerin gerek iş hayatında gerekse gündelik yaşamda önemli bir yer tutmasına yol açmıştır. 2004 yılında üretilen toplam veri miktarının yalnızca 5 exabayt civarında olduğu göz önüne alındığında, geçen süre zarfında üretilen veri miktarının yaklaşık 36 bin kat arttığı görülmektedir. Bu artış, dijitalleşmenin hızını ve veri odaklı teknolojilerin yaşamımızdaki etkisini çarpıcı bir şekilde ortaya koymaktadır.

Konvansiyonel savaşlar yerini hibrit ve asimetrik savaşlara bırakmış, devlet destekli siber saldırılar başta olmak üzere terör örgütleri, organize suç örgütleri ve bireysel motivasyonla hareket eden siber tehdit aktörleri tarafından devlet kurumları, enerji, finans, sağlık ve haberleşme sistemleri gibi kritik altyapılar ile her türlü teknolojik cihaz hedef alınmaya başlanmıştır. Siber saldırıların devlet politikalarının bir aracı olarak kullanılmasındaki artış, savaş ve barış halleri arasındaki sınırı belirsizleştirmiş, ülkeler direkt askeri misillemeden kaçınmak için siber saldırıları; siyasi, ekonomik ve askeri hedeflere yönelik düşük maliyetli yüksek etkili bir strateji haline getirmiştir. Ayrıca tedarik zincirlerine yönelik saldırılar sonucunda, birçok sektörde kritik sistemler çökmüş ve kesintiler yaşanmıştır.

2024 yılı itibarıyla siber saldırılar, küresel ölçekte her gün yoğunlaşarak karmaşık bir tehdit oluşturmaya devam etmiştir. Üçüncü çeyrekte, her bir kuruluş başına haftalık ortalama 1.876 siber saldırı gerçekleştirilmiş, bu da 2023 yılının aynı dönemine göre yüzde 75’lik bir artışı ifade etmektedir.

Bir ülkenin siber güvenlik alanında ön plana çıkarak rol model olabilmesi, kapsamlı bir siber güvenlik çatı mevzuatının varlığı ve merkezi bir otoritenin etkin işleyişiyle doğrudan ilişkilidir. Çatı bir mevzuat, ulusal düzeyde siber güvenlik politikalarının tutarlılığını sağlamanın yanı sıra kamu kurumları, özel sektör ve bireyler için bağlayıcı standartlar sunmaktadır. Ayrıca, uluslararası işbirliği ve karşılıklı tanınabilirlik açısından temel bir çerçeve sağlayarak, bir ülkenin küresel siber güvenlik ekosistemindeki konumunu güçlendirmektedir. Bu mevzuatın etkili bir şekilde uygulanması, merkezi bir otoritenin varlığıyla mümkün hale gelmektedir. Çünkü merkezi bir yapı, kaynakların verimli kullanımını, hızlı ve koordineli karar alma mekanizmalarını desteklemekte ve aynı zamanda, tehditlerin daha etkili tespit edilmesi, müdahale süreçlerinin uyum içinde yürütülmesi ve stratejik hedeflere odaklanılması için bir temel oluşturmaktadır.

Uluslararası Telekomünikasyon Birliği tarafından, 2024 yılında yayımlanan Küresel Siber Güvenlik Endeksi verilerine göre “Rol Model Ülke” kategorisi içerisinde yer alan 46 ülkenin siber güvenlik yapısı ve mevzuatı incelendiğinde; bu ülkelerin yaklaşık yüzde 91’i, kapsamlı bir çatı mevzuata sahip olup kişisel verilerin korunması, siber suçların önlenmesi ve kritik altyapıların güvenliği gibi konularda net bir hukuki çerçeve sunmaktadır. Ancak Türkiye, “Rol Model Ülke” kategorisinde yer almasına rağmen gerçek anlamda çatı mevzuat özelliği teşkil edecek kapsamlı bir siber güvenlik yasasına sahip değildir. Türkiye’deki siber güvenlik yapılanmasında Ulaştırma ve Altyapı Bakanlığı, Sanayi ve Teknoloji Bakanlığı, Bilgi Teknolojileri ve İletişim Kurumu ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi başta olmak üzere birçok kamu kurumunun sorumlulukları bulunmaktadır. Ayrıca çatı mevzuat eksikliği; veri güvenliği, ekosistem işbirlikleri, mevzuat düzenlemeleri, teşvik ve destekleri yönlendirme, uluslararası işbirlikleri, makro politika oluşturma ve benzeri birçok açıdan koordinasyon problemleri oluşturmaktadır. Çatı mevzuatın oluşturulması Türkiye’nin küresel endekslerde üst sıralara yükselmesine katkı sağlayacaktır.

Tüm bu hususlar; Türkiye’de halen farklı yapılar altında sürdürülmeye çalışılan siber güvenlik yaklaşımının, yeniden yapılandırılması ihtiyacını ortaya koymaktadır.

Bu minvalde hazırlanan 2/2860 esas numaralı Tasarı;

• Siber Güvenlik Yasası adıyla Türkiye Büyük Millet Meclisi’ne 10 Ocak 2025 tarihinde sunulmuştur[1].
• Ardından mezkûr tasarı başta Milli Savunma Komisyonu olmak üzere diğer tali komisyonlarda da görüşülerek 190 sıra sayılı komisyon raporu hazırlanmıştır[2].
• Türkiye Büyük Millet Meclisi’nin 12 Mart 2025 tarihli oturumunda kabul edilerek yasalaşmıştır[3].
• Resmi Gazetede 19 Mart 2025 tarihinde yayımlanarak yürürlüğe girmiştir[4].

2. ‘Siber Güvenlik Yasası’nın Getirdikleri

2.1. Genel olarak

Siber Güvenlik Yasası (“Yasa”) ile Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi, siber olayların muhtemel etkilerini azaltmaya yönelik esasların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşların siber saldırılara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesi ile Siber Güvenlik Kurulunun kurulmasına ilişkin esaslar düzenlenmiş, yasanın kapsamına ilişkin genel çerçeve belirlenmiştir.

Buna göre, söz konusu düzenleme siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsayacaktır.

Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbarata dair faaliyetler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilat Kanunu ile Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen faaliyetler düzenleme kapsamı dışında tutulmuştur.

Anılan düzenlemeyle, “Barındırma”, “Başkan”, “Başkanlık”, “Bilişim sistemleri”, “Kritik altyapı”, “Kritik kamu hizmeti”, “Siber güvenlik”, “Siber olay”, “Siber saldırı”, “Siber tehdit”, “Siber tehdit istihbaratı”, “Siber uzay”, “SOME”, “Varlık” ve “Zafiyet” kavramlarının tanımları yapılmış, siber güvenliğin sağlanmasındaki temel ilkeler de belirlenmiştir. Buna göre, siber güvenlik, milli güvenliğin ayrılmaz bir parçası olacak; kritik altyapı ve bilişim sistemlerinin korunması ile güvenli bir siber uzay oluşturulması temel hedef olacaktır.

Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülecek olup siber güvenlik tedbirlerinin hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanması esas olacaktır.

2.2. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esas olacak

Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve milli ürünler tercih edilecektir. Siber güvenlik politika ve stratejilerinin yürütülmesi ile siber saldırıların önlenmesi veya etkisinin azaltılmasına yönelik gerekli tedbirlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler sorumlu tutulacak ve siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik esas olacaktır.

Siber güvenlik politika ve strateji geliştirme çalışmaları, sürekli gelişim yaklaşımıyla yürütülecek, siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecektir.

Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenecek; hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması ilkeleri temel esas kabul edilecektir.

2.3. Siber saldırılara karşı koruma

Bu yasayla, Siber Güvenlik Başkanlığının görevleri de tanımlanmıştır. Buna göre, Siber Güvenlik Başkanlığı (“Başkanlık”), ilgili mevzuatta yer alan görevlerin yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber saldırılara karşı korunmasına, gerçekleştirilen siber saldırıların tespitine, muhtemel saldırıların önlenmesine ve etkilerinin azaltılmasına veya ortadan kaldırılmasına yönelik faaliyet yürütecektir.

Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri yapma veya yaptırma, siber tehditlerle mücadele etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile zararlı yazılım inceleme faaliyetlerini yürütecektir.

Kritik altyapılar ile ait oldukları kurumları ve konumları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların veri envanteri dâhil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk analizinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine göre güvenlik tedbirlerini almak veya aldırmakla da sorumlu olacaktır.

Siber Olaylara Müdahale Ekibi (“SOME”) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk seviyelerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, diğer ülkelerin siber olaylara müdahale ekipleriyle koordinasyon kurmak, her türlü siber müdahale aracının ve milli çözümlerin üretilmesi ve geliştirilmesi amacıyla çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de başkanlığın görevleri arasında yer almaktadır.

2.4. Kritik kamu hizmetlerinin siber güvenliği sağlanacak

Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları da düzenleyecektir.

Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak amacıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına güvenli sistem ve altyapılar üzerinden barındırma hizmeti sunmak veya sunulmasını sağlamak, bu faaliyetlere yönelik uygulama usul ve esaslar, Siber Güvenlik Başkanlığı tarafından belirlenecektir.

Siber güvenlik alanına ilişkin standartları hazırlamak, diğer kişi veya kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğunda standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek de Siber Güvenlik Başkanlığının görevleri arasında yer almaktadır.

Siber Güvenlik Başkanlığı, siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifikasyon işlemlerini yürütme, buna yönelik test altyapıları kurma, kurdurma ve işletme ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme işlemlerini ilgili kurumlarla koordineli yürütecektir.

Siber güvenlik denetimini gerçekleştirecek ve sonucuna göre yaptırım uygulayacak olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik ölçütler belirlemek ve mevzuat düzenlemeleri yapmak, bunların denetimini yapmak ya da yaptırmak, denetimleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi geçici olarak durdurmak ya da iptal etmekle görevli olacaktır.

2.5. Kayıtlar, en fazla 2 yıl süreyle çalışmaya konu edilecek

Siber Güvenlik Başkanlığının yetkilerinin de belirlendiği yasaya göre, Başkanlık, ilgili mevzuatta yer alan yetkilerinin yanı sıra, kanun kapsamındakilerin siber saldırılara karşı korunması ve bu saldırıların kaynağına karşı caydırıcılık sağlanması için gerekli tedbiri alacak veya aldıracaktır.

Bu kapsamda bilişim sistemlerine uygun bulunan yazılım ve donanım ürünlerinin kurulum ve entegrasyonunu sağlayabilecek, bu ürünler tarafından üretilen veya toplanan veri ve log kayıtlarını Başkanlık yönetiminde bulunan bilişim sistemlerine aktarabilecek, siber olayların tespitine yönelik gerekli yöntemi ve aracı kullanabilecektir.

Başkanlık, siber olaya maruz kalanlara yerinde veya uzaktan siber olay müdahale desteği sağlayabilecek, siber uzayda bulunan veya elde ettiği veri, imaj veya log kayıtları üzerinden saldırılara ait izleri takip edebilecek, bunları inceleyerek delillendirebilecek, suç teşkil ettiği değerlendirilen bulguları adli makamlar ve diğer ilgililer ile paylaşacak, yurt içi ve yurt dışındaki paydaşlar ile koordinasyon sağlayabilecektir.

Başkanlık, yürüttüğü faaliyetlerle sınırlı olmak üzere bilgi, belge, veri ve kayıtları alabilecek ve değerlendirmesini yapabilecek, bunlara ait arşivlerden, elektronik bilgi işlem merkezlerinden ve iletişim altyapısından yararlanabilecek ve bunlarla irtibat kurabilecektir.

Bu kapsamda elde edilen bilgi, belge, veri ve kayıtlar, en fazla 2 yıl süreyle çalışmaya konu edilecek ve çalışma süresi sonrasında imha edilecektir. Bu kapsamda talepte bulunulanlar, kendi mevzuatındaki hükümleri gerekçe göstermek suretiyle talebin yerine getirilmesinden kaçınamayacaktır.

Siber Güvenlik Başkanlığı, bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilecek, saklayabilecek, değerlendirebilecek, bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilecektir.

2.6. Siber Güvenlik Başkanlığı başka ülkelerle ilişki yürütüp, bilgi alışverişinde bulunabilecek

Başkanlık, bakanlıklar ve diğer kamu kurum ve kuruluşları ile koordineli olarak siber güvenlik konularında ihtiyaç halinde personel tefrik edebilecektir. Görev alanına giren konularda uluslararası kuruluşlar ve ülkelerle ilişkiler yürütebilecek, bilgi alışverişinde bulunabilecek, Türkiye’yi temsil edebilecek ve koordinasyonu sağlayabilecek, uluslararası kuruluşların çalışmalarına katılabilecek, alınan kararların uygulanmasını takip edebilecek ve gerekli koordinasyonu sağlayabilecektir.

Söz konusu düzenleme kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşlar sınıflandırabilecek, faaliyetlerini icra ederken gerektiğinde sadece belirli bir kısmını kapsayan hükümler oluşturabilecektir.

Siber Güvenlik Başkanlığı, siber güvenlik denetimi gerçekleştiren bağımsız denetçiler ve bağımsız denetim kuruluşlarını yetkilendirebilecek, yetkisini süreli veya süresiz iptal edebilecektir. Başkanlık kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe etkisi olan yazılım, donanım, ürün ve hizmetlere dair ölçütler ile başkanlığa yapılacak bildirimlere ilişkin usul ve esasları belirleyecektir.

Siber güvenlik yazılım, donanım, ürün ve hizmetlerinin asgari güvenlik ölçütlerini belirleyecek olan başkanlık, bunları sağlayacak veya tedarik edecek gerçek ve tüzel kişilere yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetecektir. Başkanlık, siber güvenlik yazılım, donanım, ürün ve hizmetlerinin belirlenecek standartlara uygun hale getirilmesini talep edebilecek ve bu talebe uyum sağlamayanların kullanılmasını önleyici tedbirler alabilecektir.

Yürütülen iş ve işlemler kapsamında kişisel veriler, hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde güncel olmak kaydıyla, belirli, açık ve meşru amaçlarla, işlendiği amaçla bağlantılı, sınırlı ve ölçülü olmak kaydıyla ve işlendiği amaç için gerekli olan süre kadar muhafaza edilmek üzere işlenecektir.

Belirtilen yetkiler çerçevesinde elde edilecek kişisel veriler ve ticari sırlar, bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinecek, yok edilecek veya anonim hale getirilecek. Bu maddenin uygulanmasına ilişkin usul ve esaslar, Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecektir.

2.7. Sorumluluklar ve işbirliği

Bu Yasayla, bilişim sistemleri kullanarak hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin, siber güvenliğe ilişkin görev ve sorumlulukları da belirlenmiştir.

Bu kapsamda görev ve sorumluluklar şöyle tanımlanmıştır:

• Başkanlığın görev ve faaliyetleri kapsamında talep ettiği her türlü veri, bilgi, belge, donanım, yazılım ve diğer her türlü katkıyı öncelikle ve zamanında Başkanlığa iletmek, siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmek.
• Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerinden veya şirketlerden tedarik etmek.
• Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak.
• Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen politika, strateji, eylem planı ile yayımlanan diğer düzenleyici işlemlerde yer alan hususları yerine getirmek ve gerekli tedbirleri almak.

2.8. Denetim faaliyetine ilişkin esaslar

Siber Güvenlik Başkanlığı, düzenlemede belirtilen görevleri ile ilgili olarak gerekli gördüğü hallerde düzenlemenin kapsamına giren her türlü fiil ve işlemi denetleyebilecek, bu amaçla mahallinde inceleme yapabilecek veya yaptırabilecektir. Denetim, bu düzenleme kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişilerin bu düzenleme hükümleriyle ilgili faaliyet ve işlemlerini kapsayacaktır.

Denetime, mezkûr Başkanlık personeli, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız denetim kuruluşları yetkili olacak ve bu yetki, başkan tarafından görevlendirilenler tarafından kullanılacaktır.

Kamu kurum ve kuruluşları ile kritik altyapılarda denetimler, başkanlık personelince veya refakatinde yapılacaktır. Başkanlık, denetim faaliyetlerine ilişkin önemlilik ve öncelik ilkeleri ile risk değerlendirmelerinde dikkate alınacak ölçütleri ve uygulama esaslarını belirleyecektir.

Denetim faaliyeti, önemlilik ve öncelik ilkeleri ile risk değerlendirmeleri kapsamında oluşturulacak program uyarınca yürütülecektir. Başkan, oluşturulan program dışında incelenmesi gerekli görüldüğü hususlarda program dışı denetim yaptırabilecektir.

Mülki amirler, kolluk kuvvetleri ve diğer kamu kurumlarının amir ve memurları inceleme veya denetimle görevlendirilenlere her türlü kolaylığı göstermek ve yardımda bulunmakla yükümlü olacaktır.

2.9. Arama, kopya çıkarma ve el koyma

Denetimle görevlendirilenler, yürüttükleri denetim faaliyetleriyle sınırlı olarak elektronik ortamdaki verinin, belgelerin, elektronik altyapının, cihaz, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret veya örnek alınması, konuyla ilgili yazılı veya sözlü açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi konularında yetkili olacaktır.

Denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almak zorunda olacaktır.

Anılan Yasa’ya göre, milli güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hâkim kararı üzerine veya gecikmesinde sakınca bulunan hallerde cumhuriyet savcısının yazılı emri ile konutta, iş yerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilecek, uzun süreli hizmet aksamasına yol açmayacak ve kesintisiz şekilde kopya çıkarma ve el koyma işlemi gerçekleştirilebilecektir. Çıkarılan kopyanın bir nüshası ilgilisine teslim edilecek ve bu husus tutanağa geçirilerek imza altına alınacaktır.

Bu işlemlerin yapılabilmesi için makul sebeplerin oluştuğunun gerekçeleriyle birlikte gösterilmesi gerekecektir.

Hâkim kararı olmaksızın yapılan arama ve gerçekleştirilen kopya çıkarma ve el koyma işlemleri, 24 saat içinde görevli hâkimin onayına sunulacaktır.

Yetkilendirilmiş veri merkezi işletmecilerinin veri merkezlerinde sadece hâkim kararıyla arama, kopya çıkarma ve el koyma işlemi yapılabilecektir.

Hâkim, kararını 48 saat içinde açıklayacak, aksi halde çıkarılan kopyalar ve çözümü yapılan metinler derhal imha edilecek ve el koyma kendiliğinden kalkacaktır. Bu kapsama giren talepler bakımından Ankara Sulh Ceza Hâkimliği yetkili ve görevli olacak ancak kamu kurum ve kuruluşları bakımından hâkimlik kararı aranmayacaktır.

2.10. Siber Güvenlik Kurulu

Bu Yasayla, Siber Güvenlik Kurulu’nun (“Kurul”) kimlerden oluşacağı da düzenlenmiştir. Buna göre Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanından oluşacaktır.

Cumhurbaşkanının katılmadığı hallerde bu Kurul’a, Cumhurbaşkanı Yardımcısı başkanlık edecektir. Kurul toplantılarına üyeler dışında, gündemin özelliğine göre ilgili bakan ve kişiler de çağrılarak bilgi ve görüş alınabilecek. Kurul, görevleri kapsamında gerekli görmesi halinde komisyon ve çalışma grupları oluşturabilecek. Komisyon ve çalışma grupları, kurulun görev alanına giren hususlarda teknik düzeyde çalışmalar yapacak ve karar önerileri oluşturacaktır.

Komisyon ve çalışma grubu toplantılarına, görüşlerinden faydalanmak üzere alanında uzman kişiler davet edilebilecektir.

Kurul’un görevleri ise şöyledir:

• Siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlere yönelik kararları almak, alınan kararların tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek.
• Başkanlık tarafından hazırlanan siber güvenlik alanına ilişkin teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararlar almak.
• Siber güvenlik alanında teşvik verilecek öncelikli alanları belirlemek, siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar almak.
• Kritik altyapı sektörlerini belirlemek. Başkanlık ile kamu kurum ve kuruluşları arasında meydana gelebilecek ihtilaflar hakkında karar almak.

Kurul’un sekretarya hizmetleri, Siber Güvenlik Başkanlığı tarafından yürütülecektir. Bu Yasayla Siber Güvenlik Başkanlığında sözleşmeli uzman personel istihdam yöntemi ile ücretlerine ilişkin esaslar da belirlenmiştir.

Siber Güvenlik Başkanlığı’nda istihdam edilen personelden ilgili mevzuatı kapsamında diğer kamu kurum ve kuruluşlarına karşı zorunlu hizmet yükümlülüğü bulunanların başkanlıkta geçen hizmet süreleri, ilgili kamu kurum ve kuruluşunun da muvafakati alınmak kaydıyla söz konusu yükümlülük sürelerinden düşülecektir.

2.11. Siber Güvenlik Başkanlığı’ndan ilişiği kesilenler, muvafakat almadan 2 yıl süreyle siber güvenlik alanında görev alamayacak

Yasa’ya göre, Siber Güvenlik Başkanlığı’nda kadrolu veya sözleşmeli statüde görev yaparken herhangi bir nedenle ilişiği kesilenler, başkanlıktan muvafakat almadan 2 yıl süreyle yurt içi veya yurt dışında siber güvenlik alanında resmi veya özel başka hiçbir görev alamayacak, bu alanda ticaretle uğraşamayacak, serbest meslek faaliyetinde bulunamayacak ve özellikle bu sektörde faaliyet gösteren bir şirkette hissedar veya yönetici olamayacaktır.

Başkanlık’taki görev ve faaliyetler kapsamında edinilen bilgi, belge ve benzeri her türlü verinin, Siber Güvenlik Başkanlığı tarafından yetki verilen durumlar hariç, radyo, televizyon, internet, sosyal medya, gazete, dergi, kitap ve diğer tüm medya araçlarıyla her türlü yazılı, görsel, işitsel ve elektronik kitle iletişim araçları vasıtasıyla yayımlanması veya açıklanması yasak olacaktır.

Başkanlık tarafından yürütülen görev ve faaliyetler kapsamında edinilen kamuya, ilgililere ve üçüncü kişilere ait gizlilik taşıyan bilgi, kişisel veri, ticari sır ve bunlara ait belgeler mevzuat gereği yetkili kılınan mercilerden başkasına açıklanamayacak, gerçek ve tüzel kişilerin menfaatine kullanılamayacaktır.

Başkanlığın gelirleri, genel bütçeden yapılacak hazine yardımlarından, Başkanlığın faaliyetlerinden elde edilen gelirlerden, Başkanlık tarafından verilen idari para cezalarından elde edilen gelirlerden, kanun ve kararnamelerle kurulu bulunan ve kurulacak olan fonların gelirlerinden Cumhurbaşkanı kararıyla yüzde 10’una kadar aktarılacak tutarlardan ve diğer gelirlerden oluşacaktır.

Başkanlığın ihtiyaçları kapsamında yurt dışından ithalat veya hibe yoluyla sağlanacak her türlü malzeme veya hizmet alımı ile bedelsiz olarak dış kaynaklardan alınan yardım malzemeleri nedeniyle yapılacak işlemler gümrük vergisinden, fon ve resimlerden, harçlardan, bu işlemler nedeniyle düzenlenen kâğıtlar damga vergisinden istisna olacaktır.

Kamu kurum ve kuruluşları ile diğer kurum ve kuruluşlar, bu Yasa’da yazılı görevlerin yerine getirilmesi sırasında ihtiyaç duyulan hallerde, kullanımlarında bulunan ve müsadere edilen her türlü malzeme, ekipman, teçhizat ve cihazı, diğer kanunların bu konudaki düzenlemelerine bakılmaksızın Başkanlığa geçici olarak tahsis edilebilecek veya bedelsiz devredebilecektir.

2.12. Cezai hükümler ve idari para cezalarının uygulanması

Kamu kurum ve kuruluşları hariç olmak üzere anılan Yasayla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar 1 yıldan 3 yıla kadar hapis ve 500 günden 1.500 güne kadar adli para cezası ile cezalandırılacaktır.

Yasa uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler 2 yıldan 4 yıla kadar hapis ve 1.000 günden 2 bin güne kadar adli para cezası ile cezalandırılacaktır.

Sır saklama yükümlülüğünü yerine getirmeyenlere 4 yıldan 8 yıla kadar hapis cezası verilecektir.

Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara 3 yıldan 5 yıla kadar hapis cezası verilecektir.

Siber uzayda veri sızıntısı olmadığını bildiği halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef göstermek amacıyla siber güvenlikle ilgili veri sızıntısı olduğuna yönelik gerçeğe aykırı içerik oluşturanlara veya bu maksatla bu içerikleri yayanlara 2 yıldan 5 yıla kadar hapis cezası verilecektir.

Türkiye Cumhuriyeti’nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik siber saldırı gerçekleştiren veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara, daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde 8 yıldan 12 yıla kadar hapis cezası verilecektir. Bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara 10 yıldan 15 yıla kadar hapis cezası verilecektir.

Bu cezalar, suçun kamu görevlisi tarafından işlenmesi halinde 3’te bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından 2 katına kadar artırılacaktır.

Başkanlık’ta görev yapanlara ilişkin yasak hükümlerine aykırı davrananlara 3 yıldan 5 yıla kadar hapis cezası verilecektir.

Anılan Yasa’dan kaynaklanan görev ve yetkilerini kötüye kullanan veya kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere 1 yıldan 3 yıla kadar hapis cezası verilecektir.

Bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin, siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmeyenler ile kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilen ve belgelendirilen siber güvenlik uzmanları ve şirketlerden tedarik etmeyenlere 1 milyon liradan 10 milyon liraya kadar para cezası verilecektir.

Milli güvenlik ve kamu kaynaklarının verimli kullanımı amacıyla kamu kurum ve kuruluşları ve kritik altyapıların bilişim sistemlerinde, yeni tedarik sözleşmeleri kapsamında kullanılacak siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı veya bunları üreten şirketlerin bölünme, birleşme, pay devri veya satış işlemlerinin onayına ilişkin usul ve esaslar ilişkin görev ve sorumluluklarını yerine getirmeyenlere 10 milyon liradan 100 milyon liraya kadar idari para cezası verilecektir.

Denetime tabi tutulanların, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almalarına ilişkin yükümlülüklerini yerine getirmeyenlere, 100 bin liradan 1 milyon liraya kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde 100 bin liradan az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası verilecektir.

2.13. İdari para cezalarının uygulanması

İdari para cezalarının uygulanmasından önce ilgilinin savunması alınacaktır. Savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren 30 gün içinde savunma verilmemesi halinde, ilgilinin savunma hakkından feragat ettiği kabul edilecektir.

Yasa’da tanımlanan kabahatlerden birinin idari yaptırım kararı verilinceye kadar birden çok işlendiğinin tespit edilmesi halinde ilgili gerçek veya tüzel kişiye tek idari para cezası verilecek ve verilecek ceza 2 katını aşmayacak şekilde artırılarak uygulanacaktır. Kabahatin işlenmesi nedeniyle bir menfaat temin edilmesi veya zarara sebebiyet verilmesi halinde verilecek idari para cezasının miktarı bu menfaat veya zararın 3 katından az, 5 katından fazla olamayacaktır.

Başkanlık tarafından verilen idari para cezaları, tebliğ tarihinden itibaren 1 ay içinde ödenecektir. Bu süre içinde ödenmeyen ve kesinleşen idari para cezaları, Kurumun bildirimi üzerine Amme Alacaklarının Tahsil Usulü Hakkında Kanun hükümlerine göre vergi dairelerince tahsil edilecektir. Tahsil edilen idari para cezalarının yüzde 50’si Başkanlık bütçesine, yüzde 50’si genel bütçeye gelir kaydedilecektir.

Başkanlığın tahsil ettiği idari para cezalarından ayrılan genel bütçe payı; vergi dairesince tahsil edilen idari para cezalarından ayrılan Başkanlık payı, tahsilatı takip eden ay sonuna kadar aktarılacaktır.

Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerinin yurt dışına satışı Başkanlıkça belirlenecek usul ve esaslara uygun olarak yapılacaktır. Bu usul ve esaslarda yer alacak izine tabi ürünlerin yurt dışına satışında Başkanlık onayı alınacaktır. Siber güvenlik ürün, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, pay devri veya satış işlemleri Başkanlığa bildirilecektir. Bu işlemler kapsamında gerçek veya tüzel kişilerin münferiden veya birlikte şirket üzerinde doğrudan veya dolaylı kontrol hakkı veya karar alma yetkisi sağlayan işlemler Başkanlık onayına tabi olacaktır. Başkanlık onayı alınmadan gerçekleştirilen işlemlerin hukuki geçerliliği olmayacaktır. Başkanlık, yapılacak işlemlerle ilgili kurum ve kuruluşlardan bilgi ve belge talep edebilecektir. Uygulamaya ilişkin hususlar Başkanlık tarafından yayınlanacak usul ve esaslarla belirlenecektir.

Siber Güvenlik Başkanı, mali ve sosyal hak ve yardımlar ile emeklilik hakları bakımından bakanlık müsteşarına denk kabul edilecektir.

2.14. Uyum, geçiş düzenlemeleri ve kuruluş işlemleri

Bu Yasayla, Bilgi Teknolojileri ve İletişim Kurumu (BTK) Başkanlığına ve Dijital Dönüşüm Ofisine ait ve münhasıran ulusal siber güvenlik faaliyetleri kapsamında kullanılan her türlü taşınır, bilgi işlem altyapısı ve sistemler, taşıt, araç, gereç ve malzeme, fiziki ve elektronik ortamdaki her türlü kayıt ve doküman ile diğer her türlü varlık envanteri ile mezkûr Başkanlık ve Ofis tarafından söz konusu faaliyetlerin yürütülmesinden doğan her türlü borç ve alacaklar, hak ve yükümlülükler, Siber Güvenlik Başkanlığına düzenlemenin yayımından itibaren 6 ay içerisinde devredilecektir.

BTK Başkanlığının ve Dijital Dönüşüm Ofisinin kadro ve pozisyonlarında bulunan personelden ulusal siber güvenlik faaliyetleri kapsamında çalışanlar, taleplerinin bulunması ve uygun görülmesi halinde Siber Güvenlik Başkanlığınca görevlendirilebilecektir.

Siber güvenlik alanında faaliyet icra eden dernek, derneklerden oluşan federasyon ve vakıflar ile ticaret şirketleri, Başkanlığın belirlediği ilke ve esaslar çerçevesinde sertifikasyon, yetkilendirme ve belgelendirme işlemlerini tamamlamakla yükümlü olacaktır. Yükümlülüğün yerine getirilmemesi halinde siber güvenlik alanında faaliyette bulunulamayacaktır.

3. Sonuç

Siber Güvenlik Başkanlığı’nın kurulması ve siber güvenlik alanında yürütülen yasama faaliyetleri, Türkiye’nin siber güvenlik alanında daha güçlü bir çerçeve oluşturma hedefini ortaya koymaktadır. Bu kapsamda, ilgililerin bu Yasa’da belirtilen yükümlülükleri yerine getirmek adına gerekli uyum faaliyetlerini yürütmesi önem taşımaktadır.

[ * ] Bu yazıda yer alan görüşler yazarına ait olup çalıştığı kurumu bağlamaz, yazarın çalıştığı kurum veya göreviyle ilişki kurulmak suretiyle kullanılamaz. Yazıdaki tüm hatalar, kusurlar, noksanlıklar ve eksiklikler yazarına aittir.

[1]<https://cdn.tbmm.gov.tr/KKBSPublicFile/D28/Y3/T2/WebOnergeMetni/6d9ba10d-9be6-4838-b58f-5d9d06080ff9.pdf>.

[2]<https://cdn.tbmm.gov.tr/KKBSPublicFile/D28/Y3/T2/DosyaKomisyonRaporunuVerdi/0a552c17-b237-40a6-bca9-369ce58c50ee.pdf>.

[3]<https://cdn.tbmm.gov.tr/KKBSPublicFile/D28/Y3/KanunMetni/9ac32dc5-35ee-46a8-8c47-7a16ec35d36f.htm>.

[4]<https://www.resmigazete.gov.tr/eskiler/2025/03/20250319-1.htm>.