Doç. Dr. Mehmet Bedii Kaya
Bilişim Hukuku

Siber Güvenlik Başkanlığı (SGB)

Siber Güvenlik Başkanlığı nihayet kuruldu!

177 nolu Cumhurbaşkanlığı Kararnamesiyle 8 Ocak 2025 itibarıyla Cumhurbaşkanlığına bağlı Siber Güvenlik Başkanlığı kuruldu. Öncelikle ülkemize hayırlı olsun!

Türkiye’de siber güvenlik alanında bütüncül politikaların oluşturulması ve kurumlar arası koordinasyonun sağlanması için önemli bir gelişme. Bilhassa hem makro hem mikro düzeyde siber istihbarat ve siber caydırıcılık alanında (kararnamedki tercihle siber mukavemet) kapasite geliştirilmesi ve kurumlararası işbirliği için böyle bir kuruma ihtiyaç vardı. Siber Güvenlik Başkanlığının Cumhurbaşkanlığına bağlı kurulması da bu açıdan isabetli bir tercih olmuş.

Avrupa’da yatayda siber olay yeri müdahale merkezleri (CERTler) dikeyde ise ENISA ve en önemlisi de EU-CyCLONe (Avrupa siber kriz irtibat örgütü ağı) ile siber güvenlik alanında uçtan uca koordinasyon ve işbirliği sağlanmaya çalışılmakta. ABD’de siber güvenlik ve siber dayanıklılık alanında CISA öncülük etmekte.

Belirtmek gerekir ki, 2016 yılında Elektronik Haberleşme Kanunu’nun 60. maddesine eklenen 11. fıkrayla BTK’ya siber kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerin siber saldırılara karşı korunması ve bu saldırılara karşı caydırıcılık sağlamak için her türlü tedbiri alma veya aldırma yetkisi tanınmıştı. USOM’un en temel yasal dayanağı bu hüküm olmuştur.

Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliğinde de yapılan değişiklikle siber güvenlik ve siber caydırıcılığa ilişkin BTK tedbirlerini yerine getirmeyen gerçek ve tüzel kişiler için idari para cezası uygulanmasının dayanağı oluşturulmuştur. Yönetmeliğin ‘Şebeke ve bilgi güvenliği ile siber güvenliğe ilişkin ihlaller’ başlıklı 19. maddesinin ikinci fıkrası uyarınca:

Ulusal siber güvenlik faaliyetleri ile siber saldırılara karşı korunma ve caydırıcılığın sağlanmasına yönelik Kurumun görevleri kapsamında belirleyeceği yükümlülükleri yerine getirmeyen veya aldıracağı tedbirleri uygulamayan gerçek kişiler ile işletmeciler dışındaki özel hukuk tüzel kişilerine bin liradan bir milyon liraya kadar idarî para cezası uygulanır.

USOM’un (Ulusal Siber Olaylara Müdahale Merkezi) yeni dönüşümü bu süreçte gerçekleşecektir.

Peki, siber güvenlik regülasyonu alanında başka neler yapılmalıdır?

– Önemli ve kritik kurum ve kuruluşlar ile şirketlerin siber güvenlik gerekliliklerini yerine getirmelerini sağlamak için kapsamlı bir şebeke ve bilgi güvenliği düzenlemesine ihtiyacımız bulunmakta. Bunun için NIS2 güzel bir örnek.
– Ürün güvenliği ekseninde dijital unsurlu ürünlere ilişkin bir siber güvenlik düzenlemesine ihtiyaç duyulmakta. Bunun için Siber Dayanıklılık Yasası – CRA güzel bir örnek.
– Sadece AB değil, bilhassa ABD siber güvenlik yönetişim modeli takip edilmelidir. Çoklu paydaş modelinin benimsenmesi zaruri. Kamu ve özel sektör siber güvenlik olaylarında nihayetinde kader ortaklığı yaşamakta. Tedarik zinciri saldırılarının zirveye çıktığı bir dönemde üst düzey bir yönetişime ve işbirliğine ihtiyaç duyulmakta.
– Siber güvenlik alanında bir piyasa gözetimi ve denetimi makamına ihtiyaç bulunmakta.
– Keza, siber güvenlik standartlarının geliştirilmesi, siber güvenlik ürün ve hizmet sertifikasyonu için de ayrı bir yapıya ihtiyaç bulunmakta.
– Kişisel verilerin korunması alanında GDPR ile uyumlu şekilde risk temelli veri ihlal bildirimi modeline geçilmesi kritik önemi haiz bir konu.
– Sektörel siber güvenlik düzenlemelerinin uyumlaştırılması gerekmekte.

Bunlar öne çıkan hususlar tabii ki. Yapılacak iş çok. Türkiye bu konuda gecikti ama epeyce de tecrübe biriktirdi.

Siber güvenlikte yeni paradigma siber olaya (ex-post) müdahaleden öteye geçerek önleyici (ex-ante) siber güvenlik uyumunu sağlamak olacaktır. Bu yüzden hem kapsamlı bir mevzuat değişikliğinin yapılması hem de teşkilat yapısının güncellenmesi gerekmektedir. Önleyici siber güvenlik faaliyetlerinin sağlanması, kurumlar kadar ürünlerin de siber güvenliğinin tasarımsal aşamasında (security by design ilkesine uygun şekilde) sağlanabilmesi için çok boyutlu bir dönüşüm gerekmektedir. Siber Güvenlik Başkanlığının kurulması bu açıdan isabetli bir gelişmedir.

Hayırlı olsun!


SİBER GÜVENLİK BAŞKANLIĞI HAKKINDA CUMHURBAŞKANLIĞI KARARNAMESİ

Cumhurbaşkanlığı Kararnamesinin Sayısı: 177

Yayımlandığı Resmî Gazetenin Tarihi – Sayısı: 8/1/2025 – 32776

BİRİNCİ BÖLÜM

Başlangıç Hükümleri

Amaç

MADDE 1- (1) Bu Cumhurbaşkanlığı Kararnamesinin amacı, Siber Güvenlik Başkanlığının kuruluşu ile teşkilat, görev, yetki ve sorumluluklarına ilişkin usul ve esasları düzenlemektir.

Tanımlar

MADDE 2- (1) Bu Cumhurbaşkanlığı Kararnamesinde geçen;

a) Başkan: Siber Güvenlik Başkanını,

b) Başkanlık: Siber Güvenlik Başkanlığını,

ifade eder.

İKİNCİ BÖLÜM

Kuruluş, Görev ve Yetkiler

Kuruluş

MADDE 3- (1) Bu Cumhurbaşkanlığı Kararnamesi ve ilgili diğer mevzuatla verilen görev ve yetkileri yerine getirmek üzere Cumhurbaşkanlığına bağlı, kamu tüzel kişiliğini haiz, özel bütçeli ve merkezi Ankara’da bulunan Siber Güvenlik Başkanlığı kurulmuştur.

Başkanlığın görev ve yetkileri

MADDE 4- (1) Başkanlığın görev ve yetkileri şunlardır:

a) Siber güvenliğin sağlanması amacıyla politika, strateji ve hedefleri belirlemek, eylem planları hazırlamak, mevzuat çalışmalarını yürütmek, ilgili faaliyetlerin koordinasyonunu sağlamak, bunların etkin şekilde uygulanmasını takip etmek.

b) Siber güvenlik konusunda bilinçlendirme, eğitim ve farkındalığı artırma çalışmaları yürütmek.

c) Siber güvenlik ve bilgi güvenliğini destekleyici projeler yürütmek.

ç) Siber güvenlik alanında kamu, özel sektör ve üniversiteler arasındaki işbirliğinin artırılmasına yönelik çalışmalar yapmak.

d) Siber güvenlik ekosistemi ile yerli ve millî ürün ve teknolojilerin geliştirilmesine ve yerli girişimcilerin dünya pazarında rekabetçi konuma gelmesine yönelik çalışmalar yapmak.

e) Siber güvenliğe ilişkin ihtiyaç duyulan alanlarda Ar-Ge ve teknoloji transferi yapmak.

f) Siber güvenlik ile ilgili yurtiçinde veya yurtdışında düzenlenen tatbikat, etkinlik ve fuarlara katılımın özendirilmesine yönelik çalışmalar yürütmek.

g) Siber güvenlik zafiyetlerinin tespit edilmesi amacıyla çalışmalar yürütmek.

ğ) Siber güvenlik alanındaki kapasitenin kritik alanlara yönlendirilmesi ve mükerrer yatırımların önlenmesi için öncelikli siber güvenlik alanlarını belirlemek.

h) Siber güvenlik acil durum ve kriz yönetim planları oluşturmak, bu planlar çerçevesinde ortak operasyon merkezleri kurmak.

ı) Siber güvenlik alanında kamu kurum ve kuruluşları tarafından verilecek teşviklere ilişkin görüş bildirmek.

i) Mevzuatla verilen diğer görevleri yapmak.

ÜÇÜNCÜ BÖLÜM

Başkanlık Teşkilatı

Başkanlık

MADDE 5- (1) Başkanlık; Başkan ve hizmet birimlerinden meydana gelir.

(2) Yurtiçinde Başkan tarafından, yurtdışında Başkanın teklifi üzerine Cumhurbaşkanı kararıyla temsilcilik kurulabilir.

Başkan

MADDE 6- (1) Başkan, Başkanlığın en üst amiridir.

(2) Başkan, mevzuatla Başkanlığa verilen görevlerin yürütülmesinden Cumhurbaşkanına karşı sorumludur.

Hizmet birimleri

MADDE 7- (1) Başkanlığın hizmet birimleri şunlardır:

a) Siber Savunma Genel Müdürlüğü.

b) Siber Mukavemet Genel Müdürlüğü.

c) Ekosistem Geliştirme Genel Müdürlüğü.

ç) Dış İlişkiler Dairesi Başkanlığı.

d) Yönetim Hizmetleri Dairesi Başkanlığı.

e) Hukuk Müşavirliği.

f) Basın ve Halkla İlişkiler Müşavirliği.

(2) Başkanlığın hizmet birimlerinin görev ve yetkileri, Başkanlığın faaliyet alanına uygun olarak Başkanlık tarafından çıkarılan yönetmelikle düzenlenir.

DÖRDÜNCÜ BÖLÜM

Çeşitli ve Son Hükümler

Çalışma grupları

MADDE 8- (1) Başkanlık, görev alanına giren konularla ilgili olarak bakanlıklar, kamu kurum ve kuruluşları, meslek odaları, sivil toplum kuruluşları, özel sektör temsilcileri ve konu ile ilgili uzmanların katılımı ile çalışma grupları oluşturabilir.

Düzenleme görev ve yetkisi

MADDE 9- (1) Başkanlık; görev, yetki ve sorumluluk alanına giren konularda idari düzenlemeler yapabilir.

Yetki devri

MADDE 10- (1) Başkan ve her kademedeki Başkanlık yöneticisi sınırlarını açıkça belirtmek ve yazılı olmak şartıyla yetkilerinden bir kısmını alt kademelere devredebilir. Yetki devri, uygun araçlarla ilgililere duyurulur. Ancak yetki devri, yetki devreden amirin sorumluluğunu kaldırmaz.

Kadro ihdası

MADDE 11- (1) Ekli listede yer alan kadrolar ihdas edilerek 2 sayılı Genel Kadro ve Usulü Hakkında Cumhurbaşkanlığı Kararnamesinin eki (I) sayılı Cetvele Siber Güvenlik Başkanlığı bölümü olarak eklenmiştir.[1]

Değiştirilen ve yürürlükten kaldırılan hükümler

MADDE 12- (1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında Cumhurbaşkanlığı Kararnamesi ile ilgili olup yerine işlenmiştir.)

Geçiş hükümleri

GEÇİCİ MADDE 1- (1) Başkanlıkça yürütülmesi gereken görevler, Başkanlıkta ilgili birimler oluşturulup faaliyete geçene kadar ilgili kamu kurum ve kuruluşları tarafından yerine getirilmeye devam edilir.

Yürürlük

MADDE 13- (1) Bu Cumhurbaşkanlığı Kararnamesi yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 14- (1) Bu Cumhurbaşkanlığı Kararnamesi hükümlerini Cumhurbaşkanı yürütür.

[1] Bu maddede belirtilen ekli listeyi görmek için bu Cumhurbaşkanlığı Kararnamesinin yayımlandığı Resmî Gazete’ye bakınız.