TBMM’de bu hafta, Siber Güvenlik Kanunu Teklifi’nin görüşmelerine başlanacak
TBMM’de bu hafta, Genel Heyet ve komitelerin gündemi ağır olacak. TBMM Ulusal Savunma Komisyonu’nda 15 Ocak’ta kabul edilen 21 maddelik Siber Güvenlik Kanunu Teklifi’nin görüşmelerine TBMM Genel Kurulu’nda başlanacak.
Teklifle, Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren bütün ögelerine karşı içten ve dıştan yöneltilen mevcut ve olası tehditlerin tespit ve bertaraf edilmesi, siber olayların mümkün tesirlerini azaltmaya yönelik asılların belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hükmî bireyler ile hukukî kişiliği bulunmayan kuruluşların siber hücumlara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve siyasetlerin belirlenmesi ile Siber Güvenlik Şurasının kurulmasına ait asıllar belirleniyor.
Teklif, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hukuksal şahıslar ile hukuksal kişiliği bulunmayan kuruluşları kapsıyor.
Polis Vazife ve Salahiyet Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler, Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu uyarınca yürütülen faaliyetler, Türk Silahlı Kuvvetleri İç Hizmet Kanunu ve Sahil Güvenlik Komutanlığı Kanunu uyarınca yürütülen faaliyetler kapsam dışında tutuluyor.
SİBER GÜVENLİK BAŞKANLIĞININ GÖREVLERİ
Siber Güvenlik Başkanlığının vazifelerinin tanımlandığı teklife nazaran, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan misyonların yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber akınlara karşı korunmasına, gerçekleştirilen siber taarruzların tespitine, beklenen taarruzların önlenmesine ve tesirlerinin azaltılmasına yahut ortadan kaldırılmasına yönelik faaliyet gerçekleştirecek.
Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk tahlilleri yapma yahut yaptırma, siber tehditlerle uğraş etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile ziyanlı yazılım inceleme faaliyetlerinde bulunacak.
Kritik altyapılar ile ilişkin oldukları kurumları ve pozisyonları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların data envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk tahlilinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıklara nazaran güvenlik önlemlerini almak yahut aldırmakla da sorumlu olacak.
Başkanlığın vazifeleri ortasında Siber Olaylara Müdahale Grubu (SOME) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk düzeylerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, başka ülkelerin siber olaylara müdahale gruplarıyla uyum kurmak, her türlü siber müdahale aracının ve ulusal tahlillerin üretilmesi ve geliştirilmesi hedefiyle çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de bulunuyor.
KRİTİK KAMU HİZMETLERİNİN SİBER GÜVENLİĞİ
Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken yol ve temelleri belirleyecek.
Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak gayesiyle gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına inançlı sistem ve altyapılar üzerinden barındırma hizmeti sunmak yahut sunulmasını sağlamak, bu faaliyetlere yönelik uygulama yordam ve asıllar, Siber Güvenlik Başkanlığı tarafından düzenlenecek.
Siber güvenlik kontrolünü gerçekleştirecek ve sonucuna nazaran yaptırım uygulayacak olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların kontrolünü yapmak ya da yaptırmak, kontrolleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi süreksiz olarak durdurmak ya da iptal etmekle vazifeli olacak.
SİBER GÜVENLİK BAŞKANLIĞININ YETKİLERİ
Teklife nazaran, Siber Güvenlik Başkanlığı, kanun kapsamındakilerin siber ataklara karşı korunması ve bu hücumların kaynağına karşı caydırıcılık sağlanması için gerekli önlemi alacak yahut aldıracak.
Bu kapsamda bilişim sistemlerine uygun bulunan yazılım ve donanım eserlerinin heyetim ve entegrasyonunu sağlayabilecek, bu eserler tarafından üretilen yahut toplanan data ve log kayıtlarını Başkanlık idaresinde bulunan bilişim sistemlerine aktarabilecek, siber olayların tespitine yönelik gerekli prosedürü ve aracı kullanabilecek.
BAŞKANLIK, KABAHAT TEŞKİL ETTİĞİ BEDELLENDİRİLEN BULGULARI İSİMLİ MAKAMLAR VE ÖTEKİ İLGİLİLER İLE PAYLAŞACAK
Başkanlık, siber olaya maruz kalanlara yerinde yahut uzaktan siber olay müdahale dayanağı sağlayabilecek, siber uzayda bulunan yahut elde ettiği bilgi, imaj yahut log kayıtları üzerinden ataklara ilişkin izleri takip edebilecek, bunları inceleyerek delillendirebilecek, hata teşkil ettiği bedellendirilen bulguları isimli makamlar ve öbür ilgililer ile paylaşacak, yurt içi ve yurt dışındaki paydaşlar ile uyum sağlayabilecek.
Başkanlık, yürüttüğü faaliyetlerle hudutlu olmak üzere bilgi, doküman, data ve kayıtları alabilecek ve değerlendirmesini yapabilecek, bunlara ilişkin arşivlerden, elektronik bilgi süreç merkezlerinden ve bağlantı alt yapısından yararlanabilecek ve bunlarla irtibat kurabilecek.
Bu kapsamda elde edilen bilgi, evrak, bilgi ve kayıtlar, en fazla iki yıl mühletle çalışmaya mevzu edilecek ve çalışma müddeti sonrasında imha edilecek. Bu kapsamda talepte bulunulanlar, kendi mevzuatındaki kararları münasebet göstermek suretiyle talebin yerine getirilmesinden kaçınamayacak.
Siber Güvenlik Başkanlığı, bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilecek, saklayabilecek, değerlendirebilecek, bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilecek.
Başkanlık, vazife alanına giren mevzularda milletlerarası kuruluşlar ve ülkelerle bağlantılar yürütebilecek, bilgi alışverişinde bulunabilecek, Türkiye’yi temsil edebilecek ve uyumu sağlayabilecek, milletlerarası kuruluşların çalışmalarına katılabilecek, alınan kararların uygulanmasını takip edebilecek ve gerekli uyumu sağlayabilecek.
Siber Güvenlik Başkanlığı, siber güvenlik kontrolü gerçekleştiren bağımsız denetçiler ve bağımsız kontrol kuruluşlarını yetkilendirebilecek, yetkisini vadeli yahut süresiz iptal edebilecek. Başkanlık, kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe tesiri olan yazılım, donanım, eser ve hizmetlere kullanım öncesinde uygunluk verecek.
Yürütülen iş ve süreçler kapsamında ferdî bilgiler, hukuka ve dürüstlük kurallarına uygun formda, gerçek ve gerektiğinde şimdiki olmak kaydıyla, belli, açık ve legal gayelerle, işlendiği maksatla irtibatlı, sonlu ve ölçülü olmak kaydıyla ve işlendiği gaye için gerekli olan müddet kadar koruma edilmek üzere işlenecek.
Belirtilen yetkiler çerçevesinde elde edilecek ferdî bilgiler ve ticari sırlar, bu bilgilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinecek, yok edilecek yahut anonim hale getirilecek. Bu hususun uygulanmasına ait yöntem ve temeller, Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.
SİBER GÜVENLİK BAŞKANLIĞININ KONTROL YETKİSİ
Bilişim sistemleri kullanarak hizmet sunan, bilgi toplayan, işleyen ve gibisi faaliyet yürütenlerin, siber güvenliğe ait vazife ve sorumluluklarının da belirlendiği kanun teklifinde, Siber Güvenlik Başkanlığının kanunda belirtilen misyonları ile ilgili olarak gerekli gördüğü hallerde kanunun kapsamına giren her türlü fiil ve süreci denetleyebilmesi öngörülüyor. Siber Güvenlik Başkanlığı bu hedefle mahallinde inceleme yapabilecek yahut yaptırabilecek. Kontrol, bu kanun kapsamındaki kurum, kuruluş ve ilgili başka gerçek ve hükmî şahısların bu Kanun kararlarıyla ilgili faaliyet ve süreçlerini kapsayacak.
Denetime, Başkanlık çalışanı, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız kontrol kuruluşları yetkili olacak. Yetki, Lider tarafından görevlendirilenler tarafından kullanılacak.
Kamu kurum ve kuruluşları ile kritik altyapılarda kontroller, Başkanlık işçisince yahut refakatinde yapılacak. Başkanlık, kontrol faaliyetlerine ait değerlilik ve öncelik unsurları ile risk değerlendirmelerinde dikkate alınacak ölçütleri ve uygulama temellerini belirleyecek.
Denetim faaliyeti, değerlilik ve öncelik prensipleri ile risk değerlendirmeleri kapsamında oluşturulacak program uyarınca yürütülecek. Lider, oluşturulan program dışında incelenmesi gerekli görüldüğü konularda program dışı kontrol yaptırabilecek.
Mülki amirler, kolluk kuvvetleri ve öteki kamu kurumlarının amir ve memurları inceleme yahut kontrolle görevlendirilenlere her türlü kolaylığı göstermek ve yardımda bulunmakla yükümlü olacak.
Denetimle görevlendirilenler, yürüttükleri kontrol faaliyetleriyle sonlu olarak elektronik ortamdaki datanın, dokümanların, elektronik altyapının, aygıt, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret yahut örnek alınması, bahisle ilgili yazılı yahut kelamlı açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi mevzularında yetkili olacak.
Denetime tabi tutulanlar, ilgili aygıt, sistem, yazılım ve donanımları verilen müddetlerde denetlemeye açık tutmak, kontrol için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli tedbirleri almak zorunda olacak.
HAKİM KARARI İLE ARAMA YAPILABİLECEK, KOPYA ÇIKARILABİLECEK VE EL KONULABİLECEK
Milli güvenlik; kamu sistemi, hata işlenmesinin yahut siber atakların önlenmesi emeliyle hakim kararı üzerine yahut gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının yahut Liderin yazılı buyruğu ile konutta, iş yerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilecek ve kopya çıkarma ve el koyma süreci gerçekleştirilebilecek. Bu süreçlerin yapılabilmesi için makul sebeplerin oluştuğunun münasebetleriyle birlikte gösterilmesi gerekecek.
Hakim kararı olmaksızın yapılan arama ve gerçekleştirilen kopya çıkarma ve el koyma süreçleri 24 saat içinde misyonlu hakimin onayına sunulacak. Hakim, kararını 48 saat içinde açıklayacak, aksi halde çıkarılan kopyalar ve tahlili yapılan metinler derhal imha edilecek ve el koyma resen kalkacak. Bu fıkra kapsamına giren talepler bakımından Ankara Sulh Ceza Hakimliği yetkili ve misyonlu olacak, fakat kamu kurum ve kuruluşları bakımından hakimlik kararı aranmayacak.
SİBER GÜVENLİK KURULU ÜYELERİ
Teklife göre Siber Güvenlik Kurulu Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Liderinden oluşacak.
Teklifte Şuranın misyonları “Siber güvenlikle ilgili siyaset, strateji, aksiyon planı ve öteki düzenleyici süreçlere yönelik kararları almak, alınan kararların tamamından yahut bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek. Başkanlık tarafından hazırlanan siber güvenlik alanına ait teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararlar almak. Siber güvenlik alanında teşvik verilecek öncelikli alanları belirlemek, siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar almak. Kritik altyapı dallarını belirlemek. Başkanlık ile kamu kurum ve kuruluşları ortasında meydana gelebilecek ihtilaflar hakkında karar almak” olarak sıralandı.
Kurul, kurul ve çalışma kümelerinin çalışma yöntem ve temelleri Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.
Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren ögelerine yönelik siber atak gerçekleştiren yahut bu akın sonucunda elde ettiği her türlü datayı siber uzayda bulunduranlara 8 yıldan 12 yıla kadar mahpus cezası verilecek.
Yetkili mercilerin ve kontrol vazifelilerinin istedikleri bilgi, doküman, yazılım, data ve donanımı vermeyenler yahut bunların alınmasına pürüz olanlar 1 yıldan 3 yıla kadar mahpus ve 500 günden bin 500 güne kadar isimli para cezası ile cezalandırılacak.
Sır saklama yükümlülüğünü yerine getirmeyenlere yahut vazife ve yetkilerini berbata kullananlara 4 yıldan 8 yıla kadar mahpus cezası verilecek.
SİBER GÜVENLİK KANUNU TEKLİFİ’NE ELEŞTİRİLER
Siber Güvenlik Kanunu Teklifi’ne muhalefet partileri ve sivil toplum kuruluşları, “ifade özgürlüğü, ferdî dataların korunması ve özel hayatın saklılığı üzere demokratik bedelleri tehlikeye atacağı, bağımsız kontrol düzeneklerinin eksikliğinin bireylerin haklarını derinden zedeleyebileceği tenkitleri yöneltiliyor.
Teklifin, belgisiz kavramlarla kurulacak Siber Güvenlik Başkanlığı’na çok, geniş ve kontrolsüz yetkiler tanıdığı, bu yetkilerin kullanımı kapsamında kişi ve kuruluşlara orantısız isimli ve idari yaptırımlar getirildiği belirtiliyor.
Siber Güvenlik Başkanlığı’nın istediği her yerde “hakim onayı olmaksızın” arama yapabileceği, dijital gereçlere el koyup kopyalayabileceğine işaret edilerek, bunun şahsî dataların garantisinin ortadan kalkacağı eleştirisi yapılıyor.
Siber Güvenlik Başkanlığının, Türkiye Büyük Millet Meclisi’nde Güvenlik ve İstihbarat Komitesinde denetlenebilir bir başkanlık olması gerektiği vurgulanıyor.
Siber Güvenlik Başkanlığının, “her türlü bilgi, doküman, data ve log kayıtlarını Başkanlık sistemlerine aktarabileceği, elektronik bilgi süreç merkezlerinden, bağlantı altyapılarından ve arşivlerden sınırsız formda faydalanabileceği”ne işaret edilerek, bunun, bireylerin özel hayatına keyfi müdahale riski taşıdığı belirtiliyor.
“Siber uzayda bilgi sızıntısı olmadığı halde halk ortasında kaygı, endişe ve panik yaratmak ya da kurumları yahut şahısları amaç almak emeliyle data sızıntısı yapılmış üzere içerik oluşturanlara yahut bu içerikleri yayanlara 2 yıldan 5 yıla kadar mahpus cezası verilecek” formundaki kararın daha evvel yansılara yol açan Türk Ceza Kanunu’nun 217/A unsurundaki “Halkı aldatıcı bilgiyi alenen yayma suçu” ve muhalefetin yansısı üzerine kanun teklifinden çıkarılan “etki ajanlığı” cürmüyle ilgili meseleleri yine gündeme getireceği söz ediliyor.
KOMİSYONLARIN GÜNDEMİ
Kartalkaya’da Bir Otelde Meydana Gelen Yangını Araştırma Kurulu bu hafta hem salı hem çarşamba günü toplanacak. Grand Kartal Otel’de 78 kişinin ömrünü yitirdiği yangınla ilgili AFAD yetkilileri salı günü, Kültür ve Turizm Bakanlığı yetkilileri ise çarşamba günü sunum yapacak.
Yapay Zeka Araştırma Kurulu, salı günü Sıhhat Bakanlığı yetkililerini, Prof. Dr. Şeref Sağıroğlu’nu ve HEVI AI yetkililerini dinleyecek.
Kadına Karşı Şiddet ve Ayrımcılığı Araştırma Komitesi da bu hafta iki defa toplantı yapacak. Komitede salı günü BM Bayan Ünitesi, BM Kalkınma Programı ve BM Nüfus Fonu sunum yapacak. Perşembe günü ise Çalışma ve Sosyal Güvenlik Bakanlığı yetkilileri dinlenecek.
Dilekçe Komisyonu, Türkiye’de Finansal Okuryazarlığın Yaygınlaştırılması ve Seviyesinin Artırılması Alt Komisyonu’nda Sermaye Piyasası Kurulu yetkilileri sunum yapacak.
AK Parti tarafından geçen hafta TBMM Başkanlığı’na sunulan İklim Kanunu Teklifi de bu hafta komitede görüşülecek.
Öte yandan, salı ve çarşamba günleri partilerin küme toplantıları gerçekleştirilecek.
