Doç. Dr. Mehmet Bedii Kaya
Bilişim Hukuku

Siber Güvenlik Başkanlığı

Siber Güvenlik Başkanlığı kurulması haberi kamuya duyruldu. Düzenleyici bir otorite olarak hem süreçleri düzenleyecek hem de ürün ve şirketleri akredite edecek bir kurumdan bahsedilmekte. Peki, Siber Güvenlik Başkanlığı nedir? Neden Siber Güvenlik Başkanlığı kurulması ihtiyacı doğmuştur?

Siber Güvenlik Başkanlığı’nın Avrupa Birliği’nin Şebeke ve Bilgi Güvenliği Direktifi (NIS 2) ile Siber Dayanıklılık Yasası (Cyber Resillience Act – CRA) yetkileriyle donatılacağı anlaşılmaktadır.

Avrupa siber kriz irtibat örgütü ağı (EU-CyCLONe) ve CERT’lerin yatay ve dikey düzlemde hareket edecek şekilde geniş yetkilerle donatıldığı bir dönemdeyiz. Siber Güvenlik Başkanlığı’nın da benzer yetkileri haiz olması beklenmektedir.

Belirtmek gerekir ki, 2016 yılında Elektronik Haberleşme Kanunu’nun 60. maddesine eklenen 11. fıkrayla BTK’ya siber kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin siber saldırılara karşı korunması ve bu saldırılara karşı caydırıcılık sağlamak için her türlü tedbiri alma veya aldırma yetkisi tanınmıştı. Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliğinde de yapılan değişiklikle siber güvenlik ve siber caydırıcılığa ilişkin BTK tedbirlerini yerine getirmeyen gerçek ve tüzel kişiler için idari para cezası uygulanmasının dayanağı oluşturulmuştur. Yönetmeliğin ‘Şebeke ve bilgi güvenliği ile siber güvenliğe ilişkin ihlaller’ başlıklı 19. maddesinin ikinci fıkrası uyarınca:

Ulusal siber güvenlik faaliyetleri ile siber saldırılara karşı korunma ve caydırıcılığın sağlanmasına yönelik Kurumun görevleri kapsamında belirleyeceği yükümlülükleri yerine getirmeyen veya aldıracağı tedbirleri uygulamayan gerçek kişiler ile işletmeciler dışındaki özel hukuk tüzel kişilerine bin liradan bir milyon liraya kadar idarî para cezası uygulanır.

USOM’un (Ulusal Siber Olaylara Müdahale Merkezi) Siber Güvenlik Başkanlığına dönüşümü bu süreçte gerçekleşecektir. Yeni paradigma siber olaya (ex-post) müdahaleden öteye geçerek önleyici (ex-ante) siber güvenlik uyumunu sağlamak olacaktır. Bu yüzden hem kapsamlı bir mevzuat değişikliğinin yapılması hem de teşkilat yapısının güncellenmesi gerekmektedir. Önleyici siber güvenlik faaliyetlerinin sağlanması, kurumlar kadar ürünlerin de siber güvenliğinin tasarımsal aşamasında (security by design ilkesine uygun şekilde) sağlanabilmesi için çok boyutlu bir dönüşüm gerekmektedir. Siber Güvenlik Başkanlığının açılması bu açıdan isabetli bir gelişmedir.