TBMM’de bu hafta, Genel Kurul ve komisyonların gündemi yoğun olacak.
TBMM Milli Savunma Komisyonu’nda 15 Ocak’ta kabul edilen 21 maddelik Siber Güvenlik Kanunu Teklifi’nin görüşmelerine TBMM Genel Kurulu’nda başlanacak.
Kişisel verilerin korunması, özel hayatın gizliliği ve ifade özgürlüğü konularında ciddi kısıtlamalara ve keyfi uygulamalara yol açabileceği gerekçesiyle eleştirilen 'Siber Güvenlik Kanunu' teklifi, siber uzayda varlık gösteren, faaliyet yürüten, hizmet sunan kamu kurum ve kuruluşları, kamu kurumu niteliğinde meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları kapsıyor.
Polis Vazife ve Salahiyet Kanunu, Jandarma Teşkilat, Görev ve Yetkileri Kanunu uyarınca yürütülen istihbari faaliyetler, Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu uyarınca yürütülen faaliyetler, Türk Silahlı Kuvvetleri İç Hizmet Kanunu ve Sahil Güvenlik Komutanlığı Kanunu uyarınca yürütülen faaliyetler kapsam dışında tutuluyor.
SİBER GÜVENLİK BAŞKANLIĞININ GÖREVLERİ
Siber Güvenlik Başkanlığı'nın görevlerinin tanımlandığı teklife göre, "Siber Güvenlik Başkanlığı, ilgili mevzuatta yer alan görevlerin yanı sıra kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber saldırılara karşı korunmasına, gerçekleştirilen siber saldırıların tespitine, muhtemel saldırıların önlenmesine ve etkilerinin azaltılmasına veya ortadan kaldırılmasına yönelik faaliyet gerçekleştirecek.
Başkanlık, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri yapma veya yaptırma, siber tehditlerle mücadele etme, siber tehdit istihbaratı elde etme, oluşturma ve paylaşma ile zararlı yazılım inceleme faaliyetlerinde bulunacak.
Kritik altyapılar ile ait oldukları kurumları ve konumları belirleyecek olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapıların veri envanteri dahil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk analizinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıklara göre güvenlik tedbirlerini almak veya aldırmakla da sorumlu olacak.
Başkanlığın görevleri arasında Siber Olaylara Müdahale Ekibi (SOME) kurmak, kurdurmak ve denetlemek, SOME'lerin olgunluk seviyelerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME'lerin siber olay müdahale kabiliyetlerini ölçmek, diğer ülkelerin siber olaylara müdahale ekipleriyle koordinasyon kurmak, her türlü siber müdahale aracının ve milli çözümlerin üretilmesi ve geliştirilmesi amacıyla çalışmalar yapmak, yaptırmak ve bunları teşvik etmek de bulunuyor.
KRİTİK KAMU HİZMETLERİNİN SİBER GÜVENLİĞİ
Siber Güvenlik Başkanlığı, siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları belirleyecek.
Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak amacıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına güvenli sistem ve altyapılar üzerinden barındırma hizmeti sunmak veya sunulmasını sağlamak, bu faaliyetlere yönelik uygulama usul ve esaslar, Siber Güvenlik Başkanlığı tarafından düzenlenecek.
Siber güvenlik denetimini gerçekleştirecek ve sonucuna göre yaptırım uygulayacak olan Siber Güvenlik Başkanlığı, kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların denetimini yapmak ya da yaptırmak, denetimleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi geçici olarak durdurmak ya da iptal etmekle görevli olacak.
SİBER GÜVENLİK BAŞKANLIĞININ YETKİLERİ
Teklife göre, Siber Güvenlik Başkanlığı, kanun kapsamındakilerin siber saldırılara karşı korunması ve bu saldırıların kaynağına karşı caydırıcılık sağlanması için gerekli tedbiri alacak veya aldıracak.
Bu kapsamda bilişim sistemlerine uygun bulunan yazılım ve donanım ürünlerinin kurulum ve entegrasyonunu sağlayabilecek, bu ürünler tarafından üretilen veya toplanan veri ve log kayıtlarını Başkanlık yönetiminde bulunan bilişim sistemlerine aktarabilecek, siber olayların tespitine yönelik gerekli yöntemi ve aracı kullanabilecek.
Başkanlık, suç teşkil ettiği değerlendirilen bulguları adli makamlar ve diğer ilgililer ile paylaşacak
Başkanlık, siber olaya maruz kalanlara yerinde veya uzaktan siber olay müdahale desteği sağlayabilecek, siber uzayda bulunan veya elde ettiği veri, imaj veya log kayıtları üzerinden saldırılara ait izleri takip edebilecek, bunları inceleyerek delillendirebilecek, suç teşkil ettiği değerlendirilen bulguları adli makamlar ve diğer ilgililer ile paylaşacak, yurt içi ve yurt dışındaki paydaşlar ile koordinasyon sağlayabilecek.
Başkanlık, yürüttüğü faaliyetlerle sınırlı olmak üzere bilgi, belge, veri ve kayıtları alabilecek ve değerlendirmesini yapabilecek, bunlara ait arşivlerden, elektronik bilgi işlem merkezlerinden ve iletişim alt yapısından yararlanabilecek ve bunlarla irtibat kurabilecek.
Bu kapsamda elde edilen bilgi, belge, veri ve kayıtlar, en fazla iki yıl süreyle çalışmaya konu edilecek ve çalışma süresi sonrasında imha edilecek. Bu kapsamda talepte bulunulanlar, kendi mevzuatındaki hükümleri gerekçe göstermek suretiyle talebin yerine getirilmesinden kaçınamayacak.
Siber Güvenlik Başkanlığı, bilişim sistemlerindeki log kayıtlarını bünyesinde toplayabilecek, saklayabilecek, değerlendirebilecek, bunlar hakkında rapor hazırlayarak ilgili kurum ve kuruluşlar ile paylaşabilecek.
Başkanlık, görev alanına giren konularda uluslararası kuruluşlar ve ülkelerle ilişkiler yürütebilecek, bilgi alışverişinde bulunabilecek, Türkiye'yi temsil edebilecek ve koordinasyonu sağlayabilecek, uluslararası kuruluşların çalışmalarına katılabilecek, alınan kararların uygulanmasını takip edebilecek ve gerekli koordinasyonu sağlayabilecek.
Siber Güvenlik Başkanlığı, siber güvenlik denetimi gerçekleştiren bağımsız denetçiler ve bağımsız denetim kuruluşlarını yetkilendirebilecek, yetkisini süreli veya süresiz iptal edebilecek. Başkanlık, kamu kurum ve kuruluşları ile kritik altyapıların bilişim sistemlerinde kullanılacak ve siber güvenliğe etkisi olan yazılım, donanım, ürün ve hizmetlere kullanım öncesinde uygunluk verecek.
Yürütülen iş ve işlemler kapsamında kişisel veriler, hukuka ve dürüstlük kurallarına uygun şekilde, doğru ve gerektiğinde güncel olmak kaydıyla, belirli, açık ve meşru amaçlarla, işlendiği amaçla bağlantılı, sınırlı ve ölçülü olmak kaydıyla ve işlendiği amaç için gerekli olan süre kadar muhafaza edilmek üzere işlenecek.
Belirtilen yetkiler çerçevesinde elde edilecek kişisel veriler ve ticari sırlar, bu verilere erişilmesini gerektiren sebeplerin ortadan kalkması halinde resen silinecek, yok edilecek veya anonim hale getirilecek. Bu maddenin uygulanmasına ilişkin usul ve esaslar, Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.
SİBER GÜVENLİK BAŞKANLIĞININ DENETİM YETKİSİ
Bilişim sistemleri kullanarak hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin, siber güvenliğe ilişkin görev ve sorumluluklarının da belirlendiği kanun teklifinde, Siber Güvenlik Başkanlığının kanunda belirtilen görevleri ile ilgili olarak gerekli gördüğü hallerde kanunun kapsamına giren her türlü fiil ve işlemi denetleyebilmesi öngörülüyor. Siber Güvenlik Başkanlığı bu amaçla mahallinde inceleme yapabilecek veya yaptırabilecek. Denetim, bu kanun kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişilerin bu Kanun hükümleriyle ilgili faaliyet ve işlemlerini kapsayacak.
Denetime, Başkanlık personeli, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız denetim kuruluşları yetkili olacak. Yetki, Başkan tarafından görevlendirilenler tarafından kullanılacak.
Kamu kurum ve kuruluşları ile kritik altyapılarda denetimler, Başkanlık personelince veya refakatinde yapılacak. Başkanlık, denetim faaliyetlerine ilişkin önemlilik ve öncelik ilkeleri ile risk değerlendirmelerinde dikkate alınacak ölçütleri ve uygulama esaslarını belirleyecek.
Denetim faaliyeti, önemlilik ve öncelik ilkeleri ile risk değerlendirmeleri kapsamında oluşturulacak program uyarınca yürütülecek. Başkan, oluşturulan program dışında incelenmesi gerekli görüldüğü hususlarda program dışı denetim yaptırabilecek.
Mülki amirler, kolluk kuvvetleri ve diğer kamu kurumlarının amir ve memurları inceleme veya denetimle görevlendirilenlere her türlü kolaylığı göstermek ve yardımda bulunmakla yükümlü olacak.
Denetimle görevlendirilenler, yürüttükleri denetim faaliyetleriyle sınırlı olarak elektronik ortamdaki verinin, belgelerin, elektronik altyapının, cihaz, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret veya örnek alınması, konuyla ilgili yazılı veya sözlü açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi konularında yetkili olacak.
Denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almak zorunda olacak.
HAKİM KARARI İLE ARAMA YAPILABİLECEK, KOPYA ÇIKARILABİLECEK VE EL KONULABİLECEK
Milli güvenlik; kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hakim kararı üzerine veya gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının veya Başkanın yazılı emri ile konutta, iş yerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilecek ve kopya çıkarma ve el koyma işlemi gerçekleştirilebilecek. Bu işlemlerin yapılabilmesi için makul sebeplerin oluştuğunun gerekçeleriyle birlikte gösterilmesi gerekecek.
Hakim kararı olmaksızın yapılan arama ve gerçekleştirilen kopya çıkarma ve el koyma işlemleri 24 saat içinde görevli hakimin onayına sunulacak. Hakim, kararını 48 saat içinde açıklayacak, aksi halde çıkarılan kopyalar ve çözümü yapılan metinler derhal imha edilecek ve el koyma kendiliğinden kalkacak. Bu fıkra kapsamına giren talepler bakımından Ankara Sulh Ceza Hakimliği yetkili ve görevli olacak, ancak kamu kurum ve kuruluşları bakımından hakimlik kararı aranmayacak.
SİBER GÜVENLİK KURULU ÜYELERİ
Teklife göre Siber Güvenlik Kurulu Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, Milli Güvenlik Kurulu Genel Sekreteri, Milli İstihbarat Teşkilatı Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanından oluşacak.
Teklifte Kurulun görevleri "Siber güvenlikle ilgili politika, strateji, eylem planı ve diğer düzenleyici işlemlere yönelik kararları almak, alınan kararların tamamından veya bir kısmından istisna tutulacak kurum ve kuruluşları belirlemek. Başkanlık tarafından hazırlanan siber güvenlik alanına ilişkin teknoloji yol haritasının ülke çapında uygulanmasına yönelik kararlar almak. Siber güvenlik alanında teşvik verilecek öncelikli alanları belirlemek, siber güvenlik alanındaki insan kaynağının geliştirilmesine yönelik karar almak. Kritik altyapı sektörlerini belirlemek. Başkanlık ile kamu kurum ve kuruluşları arasında meydana gelebilecek ihtilaflar hakkında karar almak" olarak sıralandı.
Kurul, komisyon ve çalışma gruplarının çalışma usul ve esasları Cumhurbaşkanı tarafından çıkarılacak yönetmelikle belirlenecek.
Türkiye Cumhuriyeti'nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik siber saldırı gerçekleştiren veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara 8 yıldan 12 yıla kadar hapis cezası verilecek.
Yetkili mercilerin ve denetim görevlilerinin istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar 1 yıldan 3 yıla kadar hapis ve 500 günden bin 500 güne kadar adli para cezası ile cezalandırılacak.
Sır saklama yükümlülüğünü yerine getirmeyenlere veya görev ve yetkilerini kötüye kullananlara 4 yıldan 8 yıla kadar hapis cezası verilecek.
SİBER GÜVENLİK KANUNU TEKLİFİ’NE ELEŞTİRİLER
Siber Güvenlik Kanunu Teklifi’ne muhalefet partileri ve sivil toplum kuruluşları, “ifade özgürlüğü, kişisel verilerin korunması ve özel hayatın gizliliği gibi demokratik değerleri tehlikeye atacağı, bağımsız denetim mekanizmalarının eksikliğinin bireylerin haklarını derinden zedeleyebileceği eleştirileri yöneltiliyor.
Teklifin, belirsiz kavramlarla kurulacak Siber Güvenlik Başkanlığı’na aşırı, geniş ve denetimsiz yetkiler tanıdığı, bu yetkilerin kullanımı kapsamında kişi ve kuruluşlara orantısız adli ve idari yaptırımlar getirildiği belirtiliyor.
Siber Güvenlik Başkanlığı’nın istediği her yerde 'hakim onayı olmaksızın' arama yapabileceği, dijital materyallere el koyup kopyalayabileceğine işaret edilerek, bunun kişisel verilerin güvencesinin ortadan kalkacağı eleştirisi yapılıyor.
Siber Güvenlik Başkanlığının, Türkiye Büyük Millet Meclisi’nde Güvenlik ve İstihbarat Komisyonunda denetlenebilir bir başkanlık olması gerektiği vurgulanıyor.
Siber Güvenlik Başkanlığının, “her türlü bilgi, belge, veri ve log kayıtlarını Başkanlık sistemlerine aktarabileceği, elektronik bilgi işlem merkezlerinden, iletişim altyapılarından ve arşivlerden sınırsız şekilde faydalanabileceği”ne işaret edilerek, bunun, bireylerin özel hayatına keyfi müdahale riski taşıdığı belirtiliyor.
“Siber uzayda veri sızıntısı olmadığı halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef almak amacıyla veri sızıntısı yapılmış gibi içerik oluşturanlara veya bu içerikleri yayanlara 2 yıldan 5 yıla kadar hapis cezası verilecek” şeklindeki hükmün daha önce tepkilere yol açan Türk Ceza Kanunu’nun 217/A maddesindeki “Halkı yanıltıcı bilgiyi alenen yayma suçu” ve muhalefetin tepkisi üzerine kanun teklifinden çıkarılan “etki ajanlığı” suçuyla ilgili sorunları yeniden gündeme getireceği ifade ediliyor.
KOMİSYONLARIN GÜNDEMİ
Kartalkaya’da Bir Otelde Meydana Gelen Yangını Araştırma Komisyonu bu hafta hem salı hem çarşamba günü toplanacak. Grand Kartal Otel’de 78 kişinin yaşamını yitirdiği yangınla ilgili AFAD yetkilileri salı günü, Kültür ve Turizm Bakanlığı yetkilileri ise çarşamba günü sunum yapacak.
Yapay Zeka Araştırma Komisyonu, salı günü Sağlık Bakanlığı yetkililerini, Prof. Dr. Şeref Sağıroğlu’nu ve HEVI AI yetkililerini dinleyecek.
Kadına Karşı Şiddet ve Ayrımcılığı Araştırma Komisyonu da bu hafta iki kez toplantı yapacak. Komisyonda salı günü BM Kadın Birimi, BM Kalkınma Programı ve BM Nüfus Fonu sunum yapacak. Perşembe günü ise Çalışma ve Sosyal Güvenlik Bakanlığı yetkilileri dinlenecek.
Dilekçe Komisyonu, Türkiye’de Finansal Okuryazarlığın Yaygınlaştırılması ve Düzeyinin Artırılması Alt Komisyonu’nda Sermaye Piyasası Kurulu yetkilileri sunum yapacak.
AK Parti tarafından geçen hafta TBMM Başkanlığı’na sunulan İklim Kanunu Teklifi de bu hafta komisyonda görüşülecek.
Öte yandan, salı ve çarşamba günleri partilerin grup toplantıları gerçekleştirilecek.