Teklifle, Türkiye Cumhuriyeti’nin siber uzaydaki ulusal gücünü meydana getiren bütün ögelerine karşı içten ve dıştan yöneltilen mevcut ve beklenen tehditlerin tespit ve bertaraf edilmesi, siber olayların mümkün tesirlerini azaltmaya yönelik temellerin belirlenmesi, kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hukukî bireyler ile hukukî kişiliği bulunmayan kuruluşların siber taarruzlara karşı korunmasına yönelik gerekli düzenlemelerin yapılması, ülkenin siber güvenliğini güçlendirmek için strateji ve siyasetlerin belirlenmesi ile Siber Güvenlik Heyetinin kurulmasına ait asıllar düzenleniyor, kanunun kapsamına ait genel çerçeve belirleniyor.
Buna nazaran, düzenleme siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve hukuksal şahıslar ile hukuksal kişiliği bulunmayan kuruluşları kapsayacak.
Polis Vazife ve Salahiyet Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler ile Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu uyarınca yürütülen faaliyetler kanun kapsamı dışında tutuluyor.
Komisyonda kabul edilen önerge doğrultusunda Türk Silahlı Kuvvetleri İç Hizmet Kanunu ve Sahil Güvenlik Komutanlığı Kanunu uyarınca yürütülen faaliyetler de kapsam dışında tutulacak.
Teklifle, “Barındırma”, “Başkan”, “Başkanlık”, “Bilişim sistemleri”, “Kritik altyapı”, “Kritik kamu hizmeti”, “Siber güvenlik”, “Siber olay”, “Siber saldırı”, “Siber tehdit”, “Siber tehdit istihbaratı”, “Siber uzay”, “SOME”, “Varlık” ve “Zafiyet”in tarifleri yapılıyor, siber güvenliğin sağlanmasındaki temel prensipler de belirleniyor.
Buna nazaran, siber güvenlik, ulusal güvenliğin ayrılmaz bir kesimi olacak. Kritik altyapı ve bilişim sistemlerinin korunması ile inançlı bir siber uzay oluşturulması temel gaye olacak.
Siber güvenlikle ilgili çalışmalar kurumsallık, süreklilik ve sürdürülebilirlik temelli yürütülecek. Siber güvenlik önlemlerinin hizmet ve eserlerin tüm ömür döngüsü boyunca uygulanması temel olacak.
HESAP VERİLEBİLİRLİK TEMEL OLACAK
Siber güvenliğin sağlanmasına yönelik çalışmalarda öncelikle yerli ve ulusal eserler tercih edilecek. Siber güvenlik siyaset ve stratejilerinin yürütülmesi ile siber hücumların önlenmesi yahut tesirinin azaltılmasına yönelik gerekli önlemlerin alınmasından tüm kamu kurum ve kuruluşları ile gerçek ve hukukî bireyler sorumlu tutulacak. Siber güvenlik süreçlerinin yürütülmesinde hesap verebilirlik temel olacak.
Siber güvenlik siyaset ve strateji geliştirme çalışmaları, daima gelişim yaklaşımıyla yürütülecek. Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilecek.
Siber güvenlik kültürünün toplum geneline yaygınlaştırılması hedeflenecek.
Hukukun üstünlüğü, temel insan hak ve hürriyetleri ile mahremiyetin korunması unsurları temel esas kabul edilecek.
SİBER HÜCUMLARA KARŞI KORUMA
Teklifle, Siber Güvenlik Başkanlığının vazifeleri de tanımlanıyor. Buna nazaran, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan vazifelerin yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber akınlara karşı korunmasına, gerçekleştirilen siber atakların tespitine, beklenen taarruzların önlenmesine ve tesirlerinin azaltılmasına yahut ortadan kaldırılmasına yönelik faaliyet yürütecek.
Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk tahlilleri yapma yahut yaptırma, siber tehditlerle çaba etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile ziyanlı yazılım inceleme faaliyetlerini yürütecek.
Kritik altyapılar ile ilişkin oldukları kurumları ve pozisyonları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların bilgi envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk tahlilinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine nazaran güvenlik önlemlerini almak yahut aldırmakla da sorumlu olacak.
Siber Olaylara Müdahale Grubu (SOME) kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk düzeylerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, öteki ülkelerin siber olaylara müdahale takımlarıyla uyum kurmak, her türlü siber müdahale aracının ve ulusal tahlillerin üretilmesi ve geliştirilmesi hedefiyle çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de başkanlığın misyonları ortasında yer alıyor.
USUL VE ESASLAR
Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken yordam ve temelleri da düzenleyecek.
Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak maksadıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına inançlı sistem ve altyapılar üzerinden barındırma hizmeti sunmak yahut sunulmasını sağlamak, bu faaliyetlere yönelik uygulama yöntem ve asıllar, Siber Güvenlik Başkanlığı tarafından belirlenecek.
Siber güvenlik alanına ait standartları hazırlamak, öteki kişi yahut kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğunda standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek de Siber Güvenlik Başkanlığının misyonları ortasında yer alıyor.
Siber Güvenlik Başkanlığı, siber güvenlik alanına ait yazılım, donanım, eser, sistem ve hizmetlere yönelik test ve sertifikasyon süreçlerini yürütme, buna yönelik test altyapıları kurma, kurdurma ve işletme ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini ilgili kurumlarla koordineli yürütecek.
Siber güvenlik kontrolünü gerçekleştirecek ve sonucuna nazaran yaptırım uygulayacak olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların kontrolünü yapmak ya da yaptırmak, kontrolleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi süreksiz olarak durdurmak ya da iptal etmekle misyonlu olacak.
KAITLAR NASIL OLACAK?
Teklifle, Siber Güvenlik Başkanlığının yetkileri de belirleniyor.
Buna nazaran, Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan yetkilerinin yanı sıra Siber Güvenlik Başkanlığı, kanun kapsamındakilerin siber hücumlara karşı korunması ve bu atakların kaynağına karşı caydırıcılık sağlanması için gerekli önlemi alacak yahut aldıracak.
Bu kapsamda bilişim sistemlerine uygun bulunan yazılım ve donanım eserlerinin suram ve entegrasyonunu sağlayabilecek, bu eserler tarafından üretilen yahut toplanan bilgi ve log kayıtlarını Başkanlık idaresinde bulunan bilişim sistemlerine aktarabilecek, siber olayların tespitine yönelik gerekli yolu ve aracı kullanabilecek.
Başkanlık, siber olaya maruz kalanlara yerinde yahut uzaktan siber olay müdahale dayanağı sağlayabilecek, siber uzayda bulunan yahut elde ettiği data, imaj yahut log kayıtları üzerinden hücumlara ilişkin izleri takip edebilecek, bunları inceleyerek delillendirebilecek, kabahat teşkil ettiği bedellendirilen bulguları isimli makamlar ve öbür ilgililer ile paylaşacak, yurt içi ve yurt dışındaki paydaşlar ile uyum sağlayabilecek.
Başkanlık, yürüttüğü faaliyetlerle hudutlu olmak üzere bilgi, evrak, bilgi ve kayıtları alabilecek ve değerlendirmesini yapabilecek, bunlara ilişkin arşivlerden, elektronik bilgi süreç merkezlerinden ve bağlantı alt yapısından yararlanabilecek ve bunlarla irtibat kurabilecek.
Bu kapsamda elde edilen bilgi, evrak, bilgi ve kayıtlar, en fazla iki yıl müddetle çalışmaya husus edilecek ve çalışma müddeti sonrasında imha edilecek. Bu kapsamda talepte bulunulanlar, kendi mevzuatındaki kararları münasebet göstermek suretiyle talebin yerine getirilmesinden kaçınamayacak.
Siber Güvenlik Başkanlığı, bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilecek, saklayabilecek, değerlendirebilecek, bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilecek.
GEREKLİ UYUM SAĞLANABİLECEK
Başkanlık, bakanlıklar ve öbür kamu kurum ve kuruluşları ile koordineli olarak siber güvenlik bahislerinde muhtaçlık halinde işçi tefrik edebilecek. Vazife alanına giren hususlarda memleketler arası kuruluşlar ve ülkelerle ilgiler yürütebilecek, bilgi alışverişinde bulunabilecek, Türkiye’yi temsil edebilecek ve uyumu sağlayabilecek, memleketler arası kuruluşların çalışmalarına katılabilecek, alınan kararların uygulanmasını takip edebilecek ve gerekli uyumu sağlayabilecek.
Düzenleme kapsamındaki kurum, kuruluş ve ilgili başka gerçek ve hukukî bireyler ile hükmî kişiliği bulunmayan kuruluşlar sınıflandırabilecek, faaliyetlerini icra ederken gerektiğinde yalnızca muhakkak bir kısmını kapsayan kararlar oluşturabilecek.
Siber Güvenlik Başkanlığı, siber güvenlik kontrolü gerçekleştiren bağımsız denetçiler ve bağımsız kontrol kuruluşlarını yetkilendirebilecek, yetkisini müddetli yahut süresiz iptal edebilecek. Başkanlık, kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe tesiri olan yazılım, donanım, eser ve hizmetlere kullanım öncesinde uygunluk verecek.
Siber güvenlik yazılım, donanım, eser ve hizmetlerinin minimum güvenlik kriterlerini belirleyecek olan başkanlık, bunları sağlayacak yahut tedarik edecek gerçek ve hukukî şahıslara yönelik sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetecek. Başkanlık, siber güvenlik yazılım, donanım, eser ve hizmetlerinin belirlenecek standartlara uygun hale getirilmesini talep edebilecek. Bu talebe ahenk sağlamayanların kullanılmasını önleyici önlemler alabilecek.
Yürütülen iş ve süreçler kapsamında şahsî datalar, hukuka ve dürüstlük kurallarına uygun halde, yanlışsız ve gerektiğinde şimdiki olmak kaydıyla, muhakkak, açık ve yasal emellerle, işlendiği hedefle kontaklı, hudutlu ve ölçülü olmak kaydıyla ve işlendiği emel için gerekli olan mühlet kadar koruma edilmek üzere işlenecek.
Belirtilen yetkiler çerçevesinde elde edilecek ferdî datalar ve ticari sırlar, bu datalara erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinecek, yok edilecek yahut anonim hale getirilecek. Bu hususun uygulanmasına ait yol ve asıllar, Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.
SORUMLULUIKLAR VE İŞ BİRLİĞİ
Teklifle, bilişim sistemleri kullanarak hizmet sunan, bilgi toplayan, işleyen ve gibisi faaliyet yürütenlerin, siber güvenliğe ait vazife ve sorumlulukları da belirleniyor. Bu kapsamda vazife ve sorumluluklar şöyle tanımlanıyor:
Başkanlığın misyon ve faaliyetleri kapsamında talep ettiği her türlü bilgi, bilgi, doküman, donanım, yazılım ve başka her türlü katkıyı öncelikle ve vaktinde Başkanlığa iletmek, siber güvenliğe yönelik olarak ulusal güvenlik, kamu tertibi yahut kamu hizmetinin gereği üzere yürütülmesi maksadıyla mevzuatın öngördüğü önlemleri almak, hizmet sundukları alanda tespit ettikleri zafiyet yahut siber olayları gecikmeksizin Başkanlığa bildirmek. Kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik eser, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanları ve şirketlerden tedarik etmek. Sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan evvel mevcut düzenlemeler çerçevesinde Başkanlığın onayını almak. Siber olgunluğun artırılmasına yönelik Başkanlık tarafından geliştirilen siyaset, strateji, hareket planı ile yayımlanan tavsiye ve gibisi evraklarda yer alan konuları yerine getirmek ve gerekli önlemleri almak.
Siber Güvenlik Başkanlığı, kanunda belirtilen misyonları ile ilgili olarak gerekli gördüğü hallerde kanunun kapsamına giren her türlü fiil ve süreci denetleyebilecek, bu emelle mahallinde inceleme yapabilecek yahut yaptırabilecek. Kontrol, bu kanun kapsamındaki kurum, kuruluş ve ilgili öbür gerçek ve hukuksal şahısların bu Kanun kararlarıyla ilgili faaliyet ve süreçlerini kapsayacak.
Denetime, Başkanlık çalışanı, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız kontrol kuruluşları yetkili olacak, bu yetki, Lider tarafından görevlendirilenler tarafından kullanılacak.
Kamu kurum ve kuruluşları ile kritik altyapılarda kontroller, Başkanlık çalışanınca yahut refakatinde yapılacak. Başkanlık, kontrol faaliyetlerine ait değerlilik ve öncelik unsurları ile risk değerlendirmelerinde dikkate alınacak ölçütleri ve uygulama temellerini belirleyecek.
Denetim faaliyeti, değerlilik ve öncelik prensipleri ile risk değerlendirmeleri kapsamında oluşturulacak program uyarınca yürütülecek. Lider, oluşturulan program dışında incelenmesi gerekli görüldüğü konularda program dışı kontrol yaptırabilecek.
Mülki amirler, kolluk kuvvetleri ve öteki kamu kurumlarının amir ve memurları inceleme yahut kontrolle görevlendirilenlere her türlü kolaylığı göstermek ve yardımda bulunmakla yükümlü olacak.
Denetimle görevlendirilenler, yürüttükleri kontrol faaliyetleriyle sonlu olarak elektronik ortamdaki datanın, dokümanların, elektronik altyapının, aygıt, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret yahut örnek alınması, mevzuyla ilgili yazılı yahut kelamlı açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi bahislerinde yetkili olacak.
Denetime tabi tutulanlar, ilgili aygıt, sistem, yazılım ve donanımları verilen müddetlerde denetlemeye açık tutmak, kontrol için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli tedbirleri almak zorunda olacak.
Komisyonda kabul edilen önerge doğrultusunda yapılan değişiklikle arama, kopya çıkarma ve el koyma süreci için Cumhuriyet savcısına da yetki tanınıyor.
Buna nazaran, ulusal güvenlik; kamu nizamı, cürüm işlenmesinin yahut siber akınların önlenmesi maksadıyla hakim kararı üzerine yahut gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının yahut Liderin yazılı buyruğu ile konutta, iş yerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilecek ve kopya çıkarma ve el koyma süreci gerçekleştirilebilecek. Bu süreçlerin yapılabilmesi için makul sebeplerin oluştuğunun münasebetleriyle birlikte gösterilmesi gerekecek.
Hakim kararı olmaksızın yapılan arama ve gerçekleştirilen kopya çıkarma ve el koyma süreçleri 24 saat içinde misyonlu hakimin onayına sunulacak. Hakim, kararını 48 saat içinde açıklayacak, aksi halde çıkarılan kopyalar ve tahlili yapılan metinler derhal imha edilecek ve el koyma tabiatıyla kalkacak. Bu fıkra kapsamına giren talepler bakımından Ankara sulh ceza hakimliği yetkili ve vazifeli olacak fakat kamu kurum ve kuruluşları bakımından hakimlik kararı aranmayacak.
KURUL
Teklifle, Siber Güvenlik Heyeti’nin kimlerden oluşacağı da düzenleniyor. Buna göre Siber Güvenlik Kurulu, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Liderinden oluşacak.
Cumhurbaşkanının katılmadığı hallerde Heyete, Cumhurbaşkanı Yardımcısı başkanlık edecek. Heyet toplantılarına üyeler dışında, gündemin özelliğine nazaran ilgili bakan ve kişiler de çağrılarak bilgi ve görüş alınabilecek. Konsey, vazifeleri kapsamında gerekli görmesi halinde kurul ve çalışma kümeleri oluşturabilecek. Komite ve çalışma kümeleri, Heyetin vazife alanına giren konularda teknik seviyede çalışmalar yapacak ve karar teklifleri oluşturacak.
Komisyon ve çalışma kümesi toplantılarına, görüşlerinden faydalanmak üzere alanında uzman bireyler davet edilebilecek. Konseyin misyonları ise şöyle:
“Siber güvenlikle ilgili siyaset, strateji, aksiyon planı ve öteki düzenleyici süreçlere yönelik kararları almak, alınan kararların tamamından yahut bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek. Başkanlık tarafından hazırlanan siber güvenlik alanına ait teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararlar almak. Siber güvenlik alanında teşvik verilecek öncelikli alanları belirlemek, siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar almak. Kritik altyapı bölümlerini belirlemek. Başkanlık ile kamu kurum ve kuruluşları ortasında meydana gelebilecek ihtilaflar hakkında karar almak.”
Öte yandan Konseyin sekretarya hizmetleri, Siber Güvenlik Başkanlığı tarafından yürütülecek. Heyet, kurul ve çalışma kümelerinin çalışma yol ve temelleri Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.
Teklifle, Siber Güvenlik Başkanlığında kontratlı uzman işçi istihdam tekniği ile fiyatlarına ait temeller da belirleniyor.
