Siber Güvenlik Kanunu, Türkiye’nin siber uzaydaki milli gücünü korumak için tasarlanmış kapsamlı bir yasal çerçeve oluşturmayı hedeflemektedir. Amaç, iç ve dış tehditleri tespit etmek, siber saldırıların etkisini azaltmak ve hem kamu hem de özel sektörün dijital dünyada güvenliğini sağlamaktır.
Kanun, siber uzayda varlık gösteren herkesi kapsamına almaktadır. Kamu kurumları, özel sektör şirketleri, meslek kuruluşları, hatta tüzel kişiliği olmayan organizasyonlar dahi kanunun düzenlediği hak ve yükümlülüklerin muhatabı olacaktır. Yani, bir e-ticaret platformundan tutun, bulut bilişim sağlayıcısına kadar herkes bu kanunun radarına girebilir. Ancak bazı istisnalar da yok değil elbette.
Örneğin, Milli İstihbarat Teşkilatı (MİT), Türk Silahlı Kuvvetleri, Jandarma ve Emniyet’in istihbari faaliyetleri kanun kapsamı dışında bırakılmıştır.
Kanun ile Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu kurulmuştur. Başkanlık, siber güvenlik politikalarını uygulayan ve denetleyen dijital güvenlikten sorumlu otorite olarak konumlandırılmıştır. Kurul ise Cumhurbaşkanı veya yardımcısının liderliğinde, ilgili bakanlar ve üst düzey yetkililerden oluşan bir karar alma mekanizması olarak oluşturulmuştur. Artık ülkemizin siber güvenlik stratejilerini belirlemek, kritik altyapıları tanımlamak ve teşvik alanlarını kararlaştırmak bu ekibin yetki alanına girmektedir.
Yeni hak ve hükümlülükler
Kanun, şirketleri doğrudan etkileyen yeni bir takım hak ve yükümlülükler düzenlemektedir. Şirket yöneticilerinin kendilerini hazırlaması gereken bu yeni yükümlülüklere ve fırsatlara kısaca göz atalım.
● Sertifikasyon ve yetkilendirme: Kanun, siber güvenlik alanında faaliyet gösteren dernek, vakıf, federasyon ve ticaret şirketlerine, yasanın ilgili düzenlemeleri yürürlüğe girdikten sonra bir yıl içinde Siber Güvenlik Başkanlığı’nın belirlediği standartlara uygun sertifikasyon, yetkilendirme ve belgelendirme işlemlerini tamamlama zorunluluğu getirmektedir. Diyelim ki siber güvenlik yazılımı geliştiren bir teknoloji şirketisiniz. Artık ürünlerinizi piyasaya sürmeden önce Başkanlık’tan onay almanız gerekmektedir. Bu, ilk bakışta biraz bürokrasi ve iş yükü gibi görünebilir, ama aynı zamanda ürünlerinizin güvenilirliğini artırarak müşterilerinizin gözünde bir ‘güvenilir satıcı’ damgası kazanmanızı da sağlayacaktır. Bununla birlikte bu yükümlülüğü yerine getirmeyen şirketler ise siber güvenlik alanında faaliyet gösteremeyecekler. Dahası, ticaret şirketleri unvanlarındaki ‘siber güvenlik’ ibarelerini dahi çıkarmak zorunda kalacaklar.
● Denetim ve iş birliği: Siber Güvenlik Başkanlığı, şirketlerden her türlü bilgi, belge, yazılım ve donanımı talep edebilir ve denetim yapabilir. Şirketlerin bu denetimlere açık olması, gerekli altyapıyı sağlaması ve siber olayları (örneğin, bir veri sızıntısı) derhal bildirmesi gerekmektedir. Tabi bu noktada benzer bir yükümlülük kişisel veriler ile ilgili olarak KVKK’da da bulunmaktadır. KVKK veri ihlali halinde 72 saat içinde durumun Kuruma bildirilmesini ararken Siber Güvenlik Kanunu kapsamındaki ihlallerde bildirimin derhal yapılması beklenmektedir. Bu detayı akılda tutmakta fayda var. Aksi halde ciddi para cezaları ile karşı karşıya kalabilirsiniz. Örneğin; bir e-ticaret platformusunuz ve sisteminize bir siber saldırı düzenlendi. Derhal bu durumu Başkanlık’a bildirmeniz gerekmektedir. Eğer bu bildirimi derhal yapmazsanız, 100 bin TL’den 1 milyon TL’ye kadar idari para cezası veya bu bildirimi yapmayanın ticari bir şirket olması durumunda brüt satış hasılatınızın yüzde 5’ine kadar bir idari para cezası ile karşılaşabilirsiniz.
● Yerli ve milli ürünler: Kanun, özellikle kritik altyapılarda kullanılan siber güvenlik ürünlerinin yerli ve milli olmasını teşvik ediyor. Bu düzenleme ile hem dışa bağımlılığın azaltılması hem de yerel teknoloji sektörünün güçlendirilmesi hedefleniyor.
● İhracat ve pay değişiklikleri: Siber güvenlik ürünlerinin yurtdışına satışı veya bir siber güvenlik şirketinin pay sahipliğinde gerçekleşecek değişiklikler, Siber Güvenlik Başkanlığı’nın onayına tabi. Bu, özellikle birleşme ve devralmalar için önemli bir detay. Bir siber güvenlik şirketiniz var ve bir yatırımcıyla ortaklık yapmak istiyorsunuz. Hisse satışını yapmadan önce Başkanlık’tan izin almanız artık yeni bir yükümlülük olarak düzenlenmiştir.
İş dünyasına etkileri: Fırsatlar ve zorluklar
Peki, bu kanun iş dünyası için ne anlama geliyor? Hem fırsatlar hem de zorluklar var. Hadi, biraz SWOT analizi yapalım:
Fırsatlar:
● Rekabet avantajı: Sertifikasyon ve yerli ürün kullanımı, şirketlere müşteri nezdinde güvenilirlik kazandırabilir. Önümüzdeki dönemde Siber Güvenlik Kanunu’na uygunluk sertifikası, bir nevi kalite belgesi gibi algılanmaya başlayacaktır.
● Yerli teknolojiye destek: Yerli siber güvenlik ürünlerine verilen öncelik, yerel teknoloji firmaları için yeni pazarlar açılmasına neden olabilir.
● Kriz yönetimi: Düzenli risk analizleri ve siber olaylara müdahale ekipleri, şirketlerin siber saldırılara karşı daha hazırlıklı olmasını sağlayacaktır. Bu durum, şirketlere hem itibar kazandıracak hem de maddi kayıpların önlenmesi veya azaltılmasına yardımcı olacaktır.
Zorluklar:
● Maliyetler: Sertifikasyon süreçleri, denetimlere hazırlık ve yerli ürün kullanımı, özellikle KOBİ’ler için ek maliyet oluşturacağı için önemli bir dezavantaja dönüşebilir.
● Bürokrasi: Başkanlık’tan onay alma süreçleri, özellikle ihracat veya birleşme-devralma işlemlerinde zaman kaybına neden olabilir.
● Cezalar: Kanuna uyum sağlamayan şirketler, ciddi idari para cezalarıyla karşılaşabilir. Örneğin, yükümlülüklerini yerine getirmeyen bir şirket, brüt satış hasılatının %5’ine kadar ceza ödemek durumunda kalabilir.
Son söz: Dijital dünyada güçlü kalmak
7545 Sayılı Siber Güvenlik Kanunu, Türkiye’nin dijital dünyada daha güvenli bir yer edinmesi için atılmış önemli bir adımdır. Evet, yeni yükümlülükler biraz göz korkutucu olabilir, ama bu kurallar aynı zamanda şirketinizin dijital duyarlılığını artıracak birer fırsattır.
Eğer kanunla ilgili daha fazla detay veya şirketinize özel bir yol haritası isterseniz, Siber Güvenlik Başkanlığı’nın yayımlayacağı ikincil düzenlemeleri takip etmeyi unutmayın. Zira ikincil düzenlemeler ile birlikte kanunla getirilen hak ve yükümlülüklerin uygulamasına ilişkin detaylar konusunda daha fazla bilgi sahibi olacağız. İmkân oldukça sizleri de bilgilendirmeye çalışacağız.
Unutmayın, siber güvenlik bir tercih değil, artık bir zorunluluktur!
Pratik öneriler: Kanuna uyum sağlamak için ne yapmalı?
Kanun, biraz ‘dijital disiplin’ gerektiriyor ama telaşa kapılmaya da gerek yok! Şirketinizin bu yeni dünyaya uyum sağlaması için aşağıdaki pratik önerileri dikkate alabilirsiniz.
1- Siber güvenlik ekibi kurun: Şirketiniz içinde bir siber olaylara müdahale ekibi oluşturun. Bu ekip, siber tehditlerin izlenmesi ve kriz anında hızlıca aksiyon alınmasını sağlayacaktır.
2- Yerli çözümlere yönelin: Güvenlik yazılımlarınızda yerli alternatifleri değerlendirmeniz hem kanuna uyum sağlamanızı hem de yerel ekonomiye katkı sunmanıza olanak sağlayacaktır.
3- Düzenli testler yapın: Penetrasyon testleri ve risk analizleri, sistemlerinizdeki zayıf noktaları tespit etmenin en iyi yolu olacaktır.
4- Eğitim yatırımı yapın: Çalışanlarınızı siber güvenlik konusunda eğitmeniz bu süreçteki en önemli tedbirlerden biri belki de birincisidir. Unutmayın, bir çalışanın yanlış tıkladığı bir e-posta bile büyük bir veri sızıntısına yol açabilir! Bu da şirketiniz için önemli bir inceleme ve belki de ceza sürecinin başlangıcı olabilir. Eğitim şart!
5- Profesyonel destek alın: Siber güvenlik uzmanları ve hukuk danışmanlarıyla çalışarak kanuna uyum sürecinizi hızlandırabilirsiniz.