Kanunla, Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren bütün ögelerine karşı içten ve dıştan yöneltilen mevcut ve olası tehditlerin tespit ve bertaraf edilmesi, siber olayların olası tesirlerini azaltmaya yönelik asılların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hükmî bireyler ile hukukî kişiliği bulunmayan kuruluşların siber hücumlara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve siyasetlerin belirlenmesi ile Siber Güvenlik Konseyinin kurulmasına ait temeller düzenleniyor, kanunun kapsamına ait genel çerçeve belirleniyor.
Buna nazaran, düzenleme siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hukukî şahıslar ile hükmî kişiliği bulunmayan kuruluşları kapsayacak.
Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilat Kanunu ile Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen faaliyetler düzenleme kapsamı dışında tutuluyor.
Düzenlemeyle, “Barındırma”, “Başkan”, “Başkanlık”, “Bilişim sistemleri”, “Kritik altyapı”, “Kritik kamu hizmeti”, “Siber güvenlik”, “Siber olay”, “Siber saldırı”, “Siber tehdit”, “Siber tehdit istihbaratı”, “Siber uzay”, “SOME”, “Varlık” ve “Zafiyet”in tarifleri yapılıyor, siber güvenliğin sağlanmasındaki temel unsurlar de belirleniyor. Buna nazaran, siber güvenlik, ulusal güvenliğin ayrılmaz bir kesimi olacak. Kritik altyapı ve bilişim sistemlerinin korunması ile inançlı bir siber uzay oluşturulması temel gaye olacak.
Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülecek. Siber güvenlik önlemlerinin hizmet ve eserlerin tüm hayat döngüsü boyunca uygulanması temel olacak.
Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik temel olacak
Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve ulusal eserler tercih edilecek. Siber güvenlik siyaset ve stratejilerinin yürütülmesi ile siber taarruzların önlenmesi yahut tesirinin azaltılmasına yönelik gerekli önlemlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve hukukî şahıslar sorumlu tutulacak. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik temel olacak.
Siber güvenlik siyaset ve strateji geliştirme çalışmaları, daima gelişim yaklaşımıyla yürütülecek. Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecek.
Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenecek. Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması prensipleri temel esas kabul edilecek.
Siber taarruzlara karşı müdafaa
Kanunla, Siber Güvenlik Başkanlığının misyonları de tanımlanıyor. Buna nazaran, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan misyonların yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber hücumlara karşı korunmasına, gerçekleştirilen siber hücumların tespitine, mümkün hücumların önlenmesine ve tesirlerinin azaltılmasına yahut ortadan kaldırılmasına yönelik faaliyet yürütecek.
Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk tahlilleri yapma yahut yaptırma, siber tehditlerle uğraş etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile ziyanlı yazılım inceleme faaliyetlerini yürütecek.
Kritik altyapılar ile ilişkin oldukları kurumları ve pozisyonları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların bilgi envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk tahlilinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine nazaran güvenlik önlemlerini almak yahut aldırmakla da sorumlu olacak.
Siber Olaylara Müdahale Takımı (SOME) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk düzeylerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, öteki ülkelerin siber olaylara müdahale takımlarıyla uyum kurmak, her türlü siber müdahale aracının ve ulusal tahlillerin üretilmesi ve geliştirilmesi maksadıyla çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de başkanlığın misyonları ortasında yer alıyor.
Kritik kamu hizmetlerinin siber güvenliği sağlanacak
Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken yöntem ve temelleri da düzenleyecek.
Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak gayesiyle gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına inançlı sistem ve altyapılar üzerinden barındırma hizmeti sunmak yahut sunulmasını sağlamak, bu faaliyetlere yönelik uygulama metot ve temeller, Siber Güvenlik Başkanlığı tarafından belirlenecek.
Siber güvenlik alanına ait standartları hazırlamak, başka kişi yahut kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğunda standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek de Siber Güvenlik Başkanlığının misyonları ortasında yer alıyor.
Siber Güvenlik Başkanlığı, siber güvenlik alanına ait yazılım, donanım, eser, sistem ve hizmetlere yönelik test ve sertifikasyon süreçlerini yürütme, buna yönelik test altyapıları kurma, kurdurma ve işletme ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini ilgili kurumlarla koordineli yürütecek.
Siber güvenlik kontrolünü gerçekleştirecek ve sonucuna nazaran yaptırım uygulayacak olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların kontrolünü yapmak ya da yaptırmak, kontrolleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi süreksiz olarak durdurmak ya da iptal etmekle misyonlu olacak.
Cezai kararlar ve idari para cezalarının uygulanması
Kamu kurum ve kuruluşları hariç olmak üzere Kanunla yetkilendirilen mercilerin ve kontrol vazifelilerinin misyon ve yetkileri kapsamında istedikleri bilgi, doküman, yazılım, data ve donanımı vermeyenler yahut bunların alınmasına mahzur olanlar 1 yıldan 3 yıla kadar mahpus ve 500 günden 1500 güne kadar isimli para cezası ile cezalandırılacak.
Kanun uyarınca alınması gerekli onay, yetki yahut müsaadeleri almaksızın faaliyet yürütenler 2 yıldan 4 yıla kadar mahpus ve 1000 günden 2 bin güne kadar isimli para cezası ile cezalandırılacak.
Sır saklama yükümlülüğünü yerine getirmeyenlere 4 yıldan 8 yıla kadar mahpus cezası verilecek.
Siber uzayda bilgi sızıntısı nedeniyle daha evvel yer alan şahsî yahut kritik kamu hizmeti kapsamına giren kurumsal dataları, bireylerin yahut kurumların müsaadesi olmaksızın fiyatlı yahut fiyatsız formda erişime açan, paylaşan yahut satışa çıkaranlara 3 yıldan 5 yıla kadar mahpus cezası verilecek.
Siber uzayda data sızıntısı olmadığını bildiği halde halk ortasında kaygı, dehşet ve panik yaratmak ya da kurumları yahut şahısları amaç göstermek gayesiyle siber güvenlikle ilgili data sızıntısı olduğuna yönelik gerçeğe muhalif içerik oluşturanlara yahut bu amaçla bu içerikleri yayanlara 2 yıldan 5 yıla kadar mahpus cezası verilecek.
Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren ögelerine yönelik siber akın gerçekleştiren yahut bu taarruz sonucunda elde ettiği her türlü bilgiyi siber uzayda bulunduranlara, daha ağır bir cezayı gerektiren öbür bir hata oluşturmadığı takdirde 8 yıldan 12 yıla kadar mahpus cezası verilecek. Bu atak sonucunda elde ettiği her türlü datayı siber uzayda yayan, diğer bir yere gönderen yahut satışa çıkaranlara 10 yıldan 15 yıla kadar mahpus cezası verilecek.
Bu cezalar, hatanın kamu vazifelisi tarafından işlenmesi halinde 3’te bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından 2 katına kadar artırılacak.
Başkanlıkta vazife yapanlara ait yasak kararlarına ters davrananlara 3 yıldan 5 yıla kadar mahpus cezası verilecek.
Kanundan kaynaklanan vazife ve yetkilerini berbata kullanan yahut kritik altyapıların siber taarruzlara karşı korunması kapsamında misyonunun gereklerine ters hareket etmek suretiyle data ihlali yaşanmasına sebebiyet verenlere 1 yıldan 3 yıla kadar mahpus cezası verilecek.
Bilişim sistemleri kullanmak suretiyle hizmet sunan, data toplayan, işleyen ve gibisi faaliyet yürütenlerin, siber güvenliğe yönelik olarak ulusal güvenlik, kamu nizamı yahut kamu hizmetinin gereği üzere yürütülmesi emeliyle mevzuatın öngördüğü önlemleri almak, hizmet sundukları alanda tespit ettikleri zafiyet yahut siber olayları gecikmeksizin Başkanlığa bildirmeyenler ile kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser, sistem ve hizmetleri Başkanlık tarafından yetkilendirilen ve belgelendirilen siber güvenlik uzmanları ve şirketlerden tedarik etmeyenlere 1 milyon liradan 10 milyon liraya kadar para cezası verilecek.
Milli güvenlik ve kamu kaynaklarının verimli kullanımı maksadıyla kamu kurum ve kuruluşları ve kritik altyapıların bilişim sistemlerinde, yeni tedarik mukaveleleri kapsamında kullanılacak siber güvenlik eser, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı yahut bunları üreten şirketlerin bölünme, birleşme, hisse dönemi yahut satış süreçlerinin onayına ait adap ve asıllar ait misyon ve sorumluluklarını yerine getirmeyenlere 10 milyon liradan 100 milyon liraya kadar idari para cezası verilecek.
Denetime tabi tutulanların, ilgili aygıt, sistem, yazılım ve donanımları verilen müddetlerde denetlemeye açık tutmak, kontrol için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli tedbirleri almalarına ait yükümlülüklerini yerine getirmeyenlere, 100 bin liradan 1 milyon liraya kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde 100 bin liradan az olmamak üzere bağımsız kontrolden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası verilecek.
