Siber Güvenlik Kanunu tasarısı ve hususları 2025 | TBMM’de kabul edilen Siber Güvenlik Kanunu nedir, içeriğinde neler var, neleri kapsıyor?

Kamuoyunun bir müddettir gündeminde yer alan Siber Güvenlik Kanunu Teklifi, TBMM Genel Şurasında kabul edilerek maddeleşti. Bu hafta Meclis’in çalışmalarında yer alan teklifle Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren bütün ögelerine karşı içten ve dıştan yöneltilen mevcut ve olası tehditlerin tespit ve bertaraf edilmesi, siber olayların mümkün tesirlerini azaltmaya yönelik temellerin belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hükmî bireyler ile hükmî kişiliği bulunmayan kuruluşların siber akınlara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve siyasetlerin belirlenmesi ile Siber Güvenlik Şurasının kurulmasına ait asıllar düzenleniyor, kanunun kapsamına ait genel çerçeve belirleniyor. İşte, ayrıntılar.

SİBER GÜVENLİK KANUNU TASARISI NEDİR?

Kanunla, Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren bütün ögelerine karşı içten ve dıştan yöneltilen mevcut ve olası tehditlerin tespit ve bertaraf edilmesi, siber olayların mümkün tesirlerini azaltmaya yönelik temellerin belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hukuksal bireyler ile hükmî kişiliği bulunmayan kuruluşların siber hücumlara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve siyasetlerin belirlenmesi ile Siber Güvenlik Şurasının kurulmasına ait asıllar düzenleniyor, kanunun kapsamına ait genel çerçeve belirleniyor.

Buna nazaran, düzenleme siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hukukî bireyler ile hükmî kişiliği bulunmayan kuruluşları kapsayacak.

Polis Vazife ve Salahiyet Kanunu, Sahil Güvenlik Komutanlığı Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilat Kanunu ile Türk Silahlı Kuvvetleri İç Hizmet Kanunu uyarınca yürütülen faaliyetler düzenleme kapsamı dışında tutuluyor.

Düzenlemeyle, “Barındırma”, “Başkan”, “Başkanlık”, “Bilişim sistemleri”, “Kritik altyapı”, “Kritik kamu hizmeti”, “Siber güvenlik”, “Siber olay”, “Siber saldırı”, “Siber tehdit”, “Siber tehdit istihbaratı”, “Siber uzay”, “SOME”, “Varlık” ve “Zafiyet”in tarifleri yapılıyor, siber güvenliğin sağlanmasındaki temel unsurlar de belirleniyor. Buna nazaran, siber güvenlik, ulusal güvenliğin ayrılmaz bir modülü olacak. Kritik altyapı ve bilişim sistemlerinin korunması ile inançlı bir siber uzay oluşturulması temel amaç olacak.Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülecek. Siber güvenlik önlemlerinin hizmet ve eserlerin tüm ömür döngüsü boyunca uygulanması temel olacak.

SİBER GÜVENLİK SÜREÇLERİNİN YÜRÜTÜLMESİNDE HESAP VEREBİLİRLİK TEMEL OLACAK

Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve ulusal eserler tercih edilecek. Siber güvenlik siyaset ve stratejilerinin yürütülmesi ile siber hücumların önlenmesi yahut tesirinin azaltılmasına yönelik gerekli önlemlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve hükmî şahıslar sorumlu tutulacak. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik temel olacak.

Siber güvenlik siyaset ve strateji geliştirme çalışmaları, daima gelişim yaklaşımıyla yürütülecek. Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecek.Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenecek. Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması prensipleri temel esas kabul edilecek.

SİBER ATAKLARA KARŞI KORUMA

Kanunla, Siber Güvenlik Başkanlığının misyonları de tanımlanıyor. Buna nazaran, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan misyonların yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber ataklara karşı korunmasına, gerçekleştirilen siber taarruzların tespitine, mümkün hücumların önlenmesine ve tesirlerinin azaltılmasına yahut ortadan kaldırılmasına yönelik faaliyet yürütecek.

Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk tahlilleri yapma yahut yaptırma, siber tehditlerle uğraş etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile ziyanlı yazılım inceleme faaliyetlerini yürütecek.

Kritik altyapılar ile ilişkin oldukları kurumları ve pozisyonları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların data envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk tahlilinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine nazaran güvenlik önlemlerini almak yahut aldırmakla da sorumlu olacak.

Siber Olaylara Müdahale Takımı (SOME) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk düzeylerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, öbür ülkelerin siber olaylara müdahale takımlarıyla uyum kurmak, her türlü siber müdahale aracının ve ulusal tahlillerin üretilmesi ve geliştirilmesi hedefiyle çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de başkanlığın vazifeleri ortasında yer alıyor.

KRİTİK KAMU HİZMETLERİNİN SİBER GÜVENLİĞİ SAĞLANACAK

Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken yol ve temelleri da düzenleyecek.

Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak maksadıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına inançlı sistem ve altyapılar üzerinden barındırma hizmeti sunmak yahut sunulmasını sağlamak, bu faaliyetlere yönelik uygulama yordam ve asıllar, Siber Güvenlik Başkanlığı tarafından belirlenecek.

Siber güvenlik alanına ait standartları hazırlamak, başka kişi yahut kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğunda standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek de Siber Güvenlik Başkanlığının vazifeleri ortasında yer alıyor.

Siber Güvenlik Başkanlığı, siber güvenlik alanına ait yazılım, donanım, eser, sistem ve hizmetlere yönelik test ve sertifikasyon süreçlerini yürütme, buna yönelik test altyapıları kurma, kurdurma ve işletme ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini ilgili kurumlarla koordineli yürütecek.

Siber güvenlik kontrolünü gerçekleştirecek ve sonucuna nazaran yaptırım uygulayacak olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların kontrolünü yapmak ya da yaptırmak, kontrolleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi süreksiz olarak durdurmak ya da iptal etmekle misyonlu olacak.

KAYITLAR, EN FAZLA 2 YIL MÜHLETLE ÇALIŞMAYA MEVZU EDİLECEK

Siber Güvenlik Başkanlığının yetkilerinin de belirlendiği yasaya nazaran, Başkanlık, ilgili mevzuatta yer alan yetkilerinin yanı sıra, kanun kapsamındakilerin siber taarruzlara karşı korunması ve bu akınların kaynağına karşı caydırıcılık sağlanması için gerekli önlemi alacak yahut aldıracak.

Bu kapsamda bilişim sistemlerine uygun bulunan yazılım ve donanım eserlerinin heyetim ve entegrasyonunu sağlayabilecek, bu eserler tarafından üretilen yahut toplanan data ve log kayıtlarını Başkanlık idaresinde bulunan bilişim sistemlerine aktarabilecek, siber olayların tespitine yönelik gerekli usulü ve aracı kullanabilecek.

Başkanlık, siber olaya maruz kalanlara yerinde yahut uzaktan siber olay müdahale takviyesi sağlayabilecek, siber uzayda bulunan yahut elde ettiği data, imaj yahut log kayıtları üzerinden hücumlara ilişkin izleri takip edebilecek, bunları inceleyerek delillendirebilecek, kabahat teşkil ettiği bedellendirilen bulguları isimli makamlar ve öteki ilgililer ile paylaşacak, yurt içi ve yurt dışındaki paydaşlar ile uyum sağlayabilecek.

Başkanlık, yürüttüğü faaliyetlerle sonlu olmak üzere bilgi, doküman, bilgi ve kayıtları alabilecek ve değerlendirmesini yapabilecek, bunlara ilişkin arşivlerden, elektronik bilgi süreç merkezlerinden ve bağlantı altyapısından yararlanabilecek ve bunlarla irtibat kurabilecek.

Bu kapsamda elde edilen bilgi, evrak, bilgi ve kayıtlar, en fazla 2 yıl müddetle çalışmaya bahis edilecek ve çalışma müddeti sonrasında imha edilecek. Bu kapsamda talepte bulunulanlar, kendi mevzuatındaki kararları münasebet göstermek suretiyle talebin yerine getirilmesinden kaçınamayacak.

Siber Güvenlik Başkanlığı, bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilecek, saklayabilecek, değerlendirebilecek, bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilecek.

ÜLKELERLE MÜNASEBET YÜRÜTÜP, BİLGİ ALIŞVERİŞİNDE BULUNABİLECEK

Başkanlık, bakanlıklar ve öbür kamu kurum ve kuruluşları ile koordineli olarak siber güvenlik mevzularında gereksinim halinde işçi tefrik edebilecek. Misyon alanına giren hususlarda milletlerarası kuruluşlar ve ülkelerle bağlar yürütebilecek, bilgi alışverişinde bulunabilecek, Türkiye’yi temsil edebilecek ve uyumu sağlayabilecek, memleketler arası kuruluşların çalışmalarına katılabilecek, alınan kararların uygulanmasını takip edebilecek ve gerekli uyumu sağlayabilecek.

Düzenleme kapsamındaki kurum, kuruluş ve ilgili öteki gerçek ve hükmî bireyler ile hukukî kişiliği bulunmayan kuruluşlar sınıflandırabilecek, faaliyetlerini icra ederken gerektiğinde yalnızca muhakkak bir kısmını kapsayan kararlar oluşturabilecek.

Siber Güvenlik Başkanlığı, siber güvenlik kontrolü gerçekleştiren bağımsız denetçiler ve bağımsız kontrol kuruluşlarını yetkilendirebilecek, yetkisini vadeli yahut süresiz iptal edebilecek. Başkanlık, kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe tesiri olan yazılım, donanım, eser ve hizmetlere dair kriterler ile başkanlığa yapılacak bildirimlere ait tarz ve temelleri belirleyecek.

Siber güvenlik yazılım, donanım, eser ve hizmetlerinin minimum güvenlik kriterlerini belirleyecek olan başkanlık, bunları sağlayacak yahut tedarik edecek gerçek ve hukuksal şahıslara yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetecek. Başkanlık, siber güvenlik yazılım, donanım, eser ve hizmetlerinin belirlenecek standartlara uygun hale getirilmesini talep edebilecek. Bu talebe ahenk sağlamayanların kullanılmasını önleyici önlemler alabilecek.

Yürütülen iş ve süreçler kapsamında ferdî datalar, hukuka ve dürüstlük kurallarına uygun biçimde, yanlışsız ve gerektiğinde yeni olmak kaydıyla, belli, açık ve legal maksatlarla, işlendiği emelle ilişkili, hudutlu ve ölçülü olmak kaydıyla ve işlendiği emel için gerekli olan mühlet kadar koruma edilmek üzere işlenecek.

Belirtilen yetkiler çerçevesinde elde edilecek şahsî datalar ve ticari sırlar, bu datalara erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinecek, yok edilecek yahut anonim hale getirilecek. Bu unsurun uygulanmasına ait yol ve asıllar, Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.

SORUMLULUKLAR VE İŞBİRLİĞİ

Kanunla, bilişim sistemleri kullanarak hizmet sunan, data toplayan, işleyen ve gibisi faaliyet yürütenlerin, siber güvenliğe ait vazife ve sorumlulukları da belirleniyor.

Bu kapsamda misyon ve sorumluluklar şöyle tanımlanıyor:

Başkanlığın misyon ve faaliyetleri kapsamında talep ettiği her türlü data, bilgi, evrak, donanım, yazılım ve başka her türlü katkıyı öncelikle ve vaktinde Başkanlığa iletmek, siber güvenliğe yönelik olarak ulusal güvenlik, kamu sistemi yahut kamu hizmetinin gereği üzere yürütülmesi maksadıyla mevzuatın öngördüğü önlemleri almak, hizmet sundukları alanda tespit ettikleri zafiyet yahut siber olayları gecikmeksizin Başkanlığa bildirmek. Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerinden yahut şirketlerden tedarik etmek. Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan evvel mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak. Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen siyaset, strateji, hareket planı ile yayımlanan başka düzenleyici süreçlerde yer alan konuları yerine getirmek ve gerekli önlemleri almak.

DENETİM FAALİYETİNE AİT ESASLAR

Siber Güvenlik Başkanlığı, düzenlemede belirtilen misyonları ile ilgili olarak gerekli gördüğü hallerde düzenlemenin kapsamına giren her türlü fiil ve süreci denetleyebilecek, bu hedefle mahallinde inceleme yapabilecek yahut yaptırabilecek. Kontrol, bu düzenleme kapsamındaki kurum, kuruluş ve ilgili öteki gerçek ve hukukî şahısların bu düzenleme kararlarıyla ilgili faaliyet ve süreçlerini kapsayacak.

Denetime, Başkanlık çalışanı, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız kontrol kuruluşları yetkili olacak. Bu yetki, lider tarafından görevlendirilenler tarafından kullanılacak.

Kamu kurum ve kuruluşları ile kritik altyapılarda kontroller, başkanlık işçisince yahut refakatinde yapılacak. Başkanlık, kontrol faaliyetlerine ait değerlilik ve öncelik prensipleri ile risk değerlendirmelerinde dikkate alınacak ölçütleri ve uygulama temellerini belirleyecek.

Denetim faaliyeti, değerlilik ve öncelik prensipleri ile risk değerlendirmeleri kapsamında oluşturulacak program uyarınca yürütülecek. Lider, oluşturulan program dışında incelenmesi gerekli görüldüğü konularda program dışı kontrol yaptırabilecek.

Mülki amirler, kolluk kuvvetleri ve öbür kamu kurumlarının amir ve memurları inceleme yahut kontrolle görevlendirilenlere her türlü kolaylığı göstermek ve yardımda bulunmakla yükümlü olacak.

ARAMA, KOPYA ÇIKARMA VE EL KOYMA

Denetimle görevlendirilenler, yürüttükleri kontrol faaliyetleriyle sonlu olarak elektronik ortamdaki datanın, evrakların, elektronik altyapının, aygıt, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret yahut örnek alınması, bahisle ilgili yazılı yahut kelamlı açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi mevzularında yetkili olacak.

Denetime tabi tutulanlar, ilgili aygıt, sistem, yazılım ve donanımları verilen müddetlerde denetlemeye açık tutmak, kontrol için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli tedbirleri almak zorunda olacak.

Kanuna nazaran, ulusal güvenlik, kamu tertibi, cürüm işlenmesinin yahut siber taarruzların önlenmesi emeliyle hakim kararı üzerine yahut gecikmesinde sakınca bulunan hallerde cumhuriyet savcısının yazılı buyruğu ile konutta, iş yerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilecek, uzun periyodik hizmet aksamasına yol açmayacak ve kesintisiz formda kopya çıkarma ve el koyma süreci gerçekleştirilebilecek. Çıkarılan kopyanın bir nüshası ilgilisine teslim edilecek ve bu konu tutanağa geçirilerek imza altına alınacak.

Bu süreçlerin yapılabilmesi için makul sebeplerin oluştuğunun münasebetleriyle birlikte gösterilmesi gerekecek.

Hakim kararı olmaksızın yapılan arama ve gerçekleştirilen kopya çıkarma ve el koyma süreçleri, 24 saat içinde misyonlu hakimin onayına sunulacak.

Yetkilendirilmiş bilgi merkezi işletmecilerinin data merkezlerinde yalnızca hakim kararıyla arama, kopya çıkarma ve el koyma süreci yapılabilecek.

Hakim, kararını 48 saat içinde açıklayacak, aksi halde çıkarılan kopyalar ve tahlili yapılan metinler derhal imha edilecek ve el koyma bizatihi kalkacak. Bu fıkra kapsamına giren talepler bakımından Ankara Sulh Ceza Hakimliği yetkili ve misyonlu olacak lakin kamu kurum ve kuruluşları bakımından hakimlik kararı aranmayacak.

SİBER GÜVENLİK KURULU

Kanunla, Siber Güvenlik Konseyi’nin kimlerden oluşacağı da düzenleniyor.

Buna göre Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Liderinden oluşacak.

Cumhurbaşkanının katılmadığı hallerde şuraya, Cumhurbaşkanı Yardımcısı başkanlık edecek. Konsey toplantılarına üyeler dışında, gündemin özelliğine nazaran ilgili bakan ve kişiler de çağrılarak bilgi ve görüş alınabilecek. Heyet, misyonları kapsamında gerekli görmesi halinde kurul ve çalışma kümeleri oluşturabilecek. Kurul ve çalışma kümeleri, konseyin vazife alanına giren konularda teknik seviyede çalışmalar yapacak ve karar teklifleri oluşturacak.

Komisyon ve çalışma kümesi toplantılarına, görüşlerinden faydalanmak üzere alanında uzman bireyler davet edilebilecek.

KURULUN GÖREVLERİ

Kurulun misyonları ise şöyle:

Siber güvenlikle ilgili siyaset, strateji, hareket planı ve öteki düzenleyici süreçlere yönelik kararları almak, alınan kararların tamamından yahut bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek. Başkanlık tarafından hazırlanan siber güvenlik alanına ait teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararlar almak. Siber güvenlik alanında teşvik verilecek öncelikli alanları belirlemek, siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar almak. Kritik altyapı kesimlerini belirlemek. Başkanlık ile kamu kurum ve kuruluşları ortasında meydana gelebilecek ihtilaflar hakkında karar almak.

Kurulun sekretarya hizmetleri, Siber Güvenlik Başkanlığı tarafından yürütülecek. Şura, komite ve çalışma kümelerinin çalışma tarz ve temelleri Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.

Kanunla Siber Güvenlik Başkanlığında kontratlı uzman işçi istihdam yolu ile fiyatlarına ait asıllar da belirleniyor.

Siber Güvenlik Başkanlığında istihdam edilen çalışandan ilgili mevzuatı kapsamında öbür kamu kurum ve kuruluşlarına karşı mecburî hizmet yükümlülüğü bulunanların başkanlıkta geçen hizmet müddetleri, ilgili kamu kurum ve kuruluşunun da muvafakati alınmak kaydıyla kelam konusu yükümlülük müddetlerinden düşülecek.

Siber Güvenlik Kanunu’na nazaran, Siber Güvenlik Başkanlığında takımlı yahut kontratlı statüde misyon yaparken rastgele bir nedenle ilişiği kesilenler, başkanlıktan muvafakat almadan 2 yıl müddetle yurt içi yahut yurt dışında siber güvenlik alanında resmi yahut özel öbür hiçbir misyon alamayacak, bu alanda ticaretle uğraşamayacak, özgür meslek faaliyetinde bulunamayacak ve bilhassa bu kesimde faaliyet gösteren bir şirkette hissedar yahut yönetici olamayacak.

Başkanlıktaki misyon ve faaliyetler kapsamında edinilen bilgi, evrak ve gibisi her türlü bilginin, Siber Güvenlik Başkanlığınca yetki verilen durumlar hariç, radyo, televizyon, internet, toplumsal medya, gazete, mecmua, kitap ve öteki tüm medya araçlarıyla her türlü yazılı, görsel, işitsel ve elektronik kitle bağlantı araçları vasıtasıyla yayımlanması yahut açıklanması yasak olacak.

Başkanlık tarafından yürütülen vazife ve faaliyetler kapsamında edinilen kamuya, ilgililere ve üçüncü bireylere ilişkin saklılık taşıyan bilgi, şahsî bilgi, ticari sır ve bunlara ilişkin dokümanlar mevzuat gereği yetkili kılınan mercilerden diğerine açıklanamayacak, gerçek ve hukuksal şahısların menfaatine kullanılamayacak.

Başkanlığın gelirleri, genel bütçeden yapılacak hazine yardımlarından, Başkanlığın faaliyetlerinden elde edilen gelirlerden, Başkanlık tarafından verilen idari para cezalarından elde edilen gelirlerden, kanun ve kararnamelerle kurulu bulunan ve kurulacak olan fonların gelirlerinden Cumhurbaşkanı kararıyla yüzde 10’una kadar aktarılacak meblağlardan ve başka gelirlerden oluşacak.

Başkanlığın gereksinimleri kapsamında yurt dışından ithalat yahut hibe yoluyla sağlanacak her türlü materyal yahut hizmet alımı ile bedelsiz olarak dış kaynaklardan alınan yardım gereçleri nedeniyle yapılacak süreçler gümrük vergisinden, fon ve fotoğraflardan, harçlardan, bu süreçler nedeniyle düzenlenen kağıtlar damga vergisinden istisna olacak.

Kamu kurum ve kuruluşları ile öteki kurum ve kuruluşlar, Kanunda yazılı misyonların yerine getirilmesi sırasında gereksinim duyulan hallerde, kullanımlarında bulunan ve müsadere edilen her türlü materyal, ekipman, teçhizat ve aygıtı, başka kanunların bu husustaki düzenlemelerine bakılmaksızın Başkanlığa süreksiz olarak tahsis edilebilecek yahut bedelsiz devredebilecek.

CEZAİ KARARLAR VE İDARİ PARA CEZALARININ UYGULANMASI

Kamu kurum ve kuruluşları hariç olmak üzere Kanunla yetkilendirilen mercilerin ve kontrol vazifelilerinin görev ve yetkileri kapsamında istedikleri bilgi, evrak, yazılım, data ve donanımı vermeyenler yahut bunların alınmasına mahzur olanlar 1 yıldan 3 yıla kadar mahpus ve 500 günden 1500 güne kadar isimli para cezası ile cezalandırılacak.

Kanun uyarınca alınması gerekli onay, yetki yahut müsaadeleri almaksızın faaliyet yürütenler 2 yıldan 4 yıla kadar mahpus ve 1000 günden 2 bin güne kadar isimli para cezası ile cezalandırılacak.

Sır saklama yükümlülüğünü yerine getirmeyenlere 4 yıldan 8 yıla kadar mahpus cezası verilecek.

Siber uzayda bilgi sızıntısı nedeniyle daha evvel yer alan ferdî yahut kritik kamu hizmeti kapsamına giren kurumsal bilgileri, bireylerin yahut kurumların müsaadesi olmaksızın fiyatlı yahut fiyatsız biçimde erişime açan, paylaşan yahut satışa çıkaranlara 3 yıldan 5 yıla kadar mahpus cezası verilecek.

Siber uzayda bilgi sızıntısı olmadığını bildiği halde halk ortasında kaygı, kaygı ve panik yaratmak ya da kurumları yahut şahısları amaç göstermek maksadıyla siber güvenlikle ilgili data sızıntısı olduğuna yönelik gerçeğe ters içerik oluşturanlara yahut bu amaçla bu içerikleri yayanlara 2 yıldan 5 yıla kadar mahpus cezası verilecek.

Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren ögelerine yönelik siber hücum gerçekleştiren yahut bu hücum sonucunda elde ettiği her türlü bilgiyi siber uzayda bulunduranlara, daha ağır bir cezayı gerektiren diğer bir cürüm oluşturmadığı takdirde 8 yıldan 12 yıla kadar mahpus cezası verilecek. Bu hücum sonucunda elde ettiği her türlü datayı siber uzayda yayan, diğer bir yere gönderen yahut satışa çıkaranlara 10 yıldan 15 yıla kadar mahpus cezası verilecek.

Bu cezalar, kabahatin kamu vazifelisi tarafından işlenmesi halinde 3’te bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından 2 katına kadar artırılacak.

Başkanlıkta misyon yapanlara ait yasak kararlarına alışılmamış davrananlara 3 yıldan 5 yıla kadar mahpus cezası verilecek.

Kanundan kaynaklanan misyon ve yetkilerini berbata kullanan yahut kritik altyapıların siber taarruzlara karşı korunması kapsamında vazifesinin gereklerine alışılmamış hareket etmek suretiyle data ihlali yaşanmasına sebebiyet verenlere 1 yıldan 3 yıla kadar mahpus cezası verilecek.

Bilişim sistemleri kullanmak suretiyle hizmet sunan, data toplayan, işleyen ve gibisi faaliyet yürütenlerin, siber güvenliğe yönelik olarak ulusal güvenlik, kamu sistemi yahut kamu hizmetinin gereği üzere yürütülmesi gayesiyle mevzuatın öngördüğü önlemleri almak, hizmet sundukları alanda tespit ettikleri zafiyet yahut siber olayları gecikmeksizin Başkanlığa bildirmeyenler ile kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser, sistem ve hizmetleri Başkanlık tarafından yetkilendirilen ve belgelendirilen siber güvenlik uzmanları ve şirketlerden tedarik etmeyenlere 1 milyon liradan 10 milyon liraya kadar para cezası verilecek.

Milli güvenlik ve kamu kaynaklarının verimli kullanımı gayesiyle kamu kurum ve kuruluşları ve kritik altyapıların bilişim sistemlerinde, yeni tedarik kontratları kapsamında kullanılacak siber güvenlik eser, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı yahut bunları üreten şirketlerin bölünme, birleşme, hisse periyodu yahut satış süreçlerinin onayına ait tarz ve temeller ait vazife ve sorumluluklarını yerine getirmeyenlere 10 milyon liradan 100 milyon liraya kadar idari para cezası verilecek.

Denetime tabi tutulanların, ilgili aygıt, sistem, yazılım ve donanımları verilen müddetlerde denetlemeye açık tutmak, kontrol için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli tedbirleri almalarına ait yükümlülüklerini yerine getirmeyenlere, 100 bin liradan 1 milyon liraya kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde 100 bin liradan az olmamak üzere bağımsız kontrolden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 5’ine kadar idari para cezası verilecek.

İDARİ PARA CEZALARININ UYGULANMASI

İdari para cezalarının uygulanmasından evvel ilgilinin savunması alınacak. Savunma istendiğine ait yazının bildirim tarihinden itibaren 30 gün içinde savunma verilmemesi halinde, ilgilinin savunma hakkından feragat ettiği kabul edilecek.

Kanunda tanımlanan kabahatlerden birinin idari yaptırım kararı verilinceye kadar birden çok işlendiğinin tespit edilmesi halinde ilgili gerçek yahut hukukî bireye tek idari para cezası verilecek ve verilecek ceza 2 katını aşmayacak halde artırılarak uygulanacak. Kabahatin işlenmesi nedeniyle bir menfaat temin edilmesi yahut ziyana sebebiyet verilmesi halinde verilecek idari para cezasının ölçüsü bu menfaat yahut zararın 3 katından az, 5 katından fazla olamayacak.

Başkanlık tarafından verilen idari para cezaları, bildirim tarihinden itibaren 1 ay içinde ödenecek. Bu müddet içinde ödenmeyen ve mutlaklaşan idari para cezaları, Kurumun bildirimi üzerine Amme Alacaklarının Tahsil Tarzı Hakkında Kanun kararlarına nazaran vergi dairelerince tahsil edilecek. Tahsil edilen idari para cezalarının yüzde 50’si Başkanlık bütçesine, yüzde 50’si genel bütçeye gelir kaydedilecek.

Başkanlığın tahsil ettiği idari para cezalarından ayrılan genel bütçe hissesi; vergi dairesince tahsil edilen idari para cezalarından ayrılan Başkanlık hissesi, tahsilatı takip eden ay sonuna kadar aktarılacak.

Siber güvenlik eser, sistem, yazılım, donanım ve hizmetlerinin yurt dışına satışı Başkanlıkça belirlenecek adap ve temellere uygun olarak yapılacak. Bu metot ve temellerde yer alacak izine tabi eserlerin yurt dışına satışında Başkanlık onayı alınacak. Siber güvenlik eser, sistem, yazılım, donanım ve hizmetleri üreten şirketlerin birleşme, bölünme, hisse bölümü yahut satış süreçleri Başkanlığa bildirilecek. Bu süreçler kapsamında gerçek yahut hukukî bireylerin münferiden yahut birlikte şirket üzerinde direkt yahut dolaylı denetim hakkı yahut karar alma yetkisi sağlayan süreçler Başkanlık onayına tabi olacak. Başkanlık onayı alınmadan gerçekleştirilen süreçlerin tüzel geçerliliği olmayacak. Başkanlık, yapılacak süreçlerle ilgili kurum ve kuruluşlardan bilgi ve doküman talep edebilecek. Uygulamaya ait konular Başkanlık tarafından yayınlanacak adap ve esaslarla belirlenecek.

Siber Güvenlik Başkanı, mali ve sosyal hak ve yardımlar ile emeklilik hakları bakımından bakanlık müsteşarına denk kabul edilecek.

UYUM, GEÇİŞ DÜZENLEMELERİ VE KURULUŞ İŞLEMLERİ

Yasayla, Bilgi Teknolojileri ve İletişim Kurumu (BTK) Başkanlığına ve Dijital Dönüşüm Ofisine ilişkin ve münhasıran ulusal siber güvenlik faaliyetleri kapsamında kullanılan her türlü taşınır, bilgi süreç altyapısı ve sistemler, taşıt, araç, gereç ve gereç, fiziki ve elektronik ortamdaki her türlü kayıt ve doküman ile öbür her türlü varlık envanteri ile mezkur Başkanlık ve Ofis tarafından kelam konusu faaliyetlerin yürütülmesinden doğan her türlü borç ve alacaklar, hak ve yükümlülükler, Siber Güvenlik Başkanlığına düzenlemenin yayımından itibaren 6 ay içerisinde devredilecek.

BTK Başkanlığının ve Dijital Dönüşüm Ofisinin takım ve durumlarında bulunan işçiden ulusal siber güvenlik faaliyetleri kapsamında çalışanlar, taleplerinin bulunması ve uygun görülmesi halinde Siber Güvenlik Başkanlığınca görevlendirilebilecek.

Siber güvenlik alanında faaliyet icra eden dernek, derneklerden oluşan federasyon ve vakıflar ile ticaret şirketleri, Başkanlığın belirlediği prensip ve asıllar çerçevesinde sertifikasyon, yetkilendirme ve belgelendirme süreçlerini tamamlamakla yükümlü olacak. Yükümlülüğün yerine getirilmemesi halinde siber güvenlik alanında faaliyette bulunulamayacak.