İSTANBUL-NURULLAH SARI(YSM) - Genel çerçevesine bakacak olursak Siber Güvenlik Kanunu, Türkiye’nin si­ber uzaydaki milli gücünü koru­mak için tasarlanmış kapsamlı bir yasal çerçeve oluşturmayı hedef­lemektedir.

Amaç, iç ve dış tehdit­leri tespit etmek, siber saldırıla­rın etkisini azaltmak ve hem kamu hem de özel sektörün dijital dün­yada güvenliğini sağlamaktır.

Ka­nun, siber uzayda varlık gösteren herkesi kapsamına almaktadır.

Kamu kurumları, özel sektör şir­ketleri, meslek kuruluşları, hatta tüzel kişiliği olmayan organizas­yonlar dahi kanunun düzenledi­ği hak ve yükümlülüklerin muha­tabı olacaktır. Yani, bir e-ticaret platformundan tutun, bulut bili­şim sağlayıcısına kadar herkes bu kanunun radarına girebilir.

Ancak bazı istisnalar da yok değil elbette. Örneğin, Milli İstihbarat Teşkila­tı (MİT), Türk Silahlı Kuvvetleri, Jandarma ve Emniyet’in istihbari faaliyetleri kanun kapsamı dışın­da bırakılmıştır.

Kanun ile Siber Güvenlik Baş­kanlığı ve Siber Güvenlik Kuru­lu kurulmuştur.

Başkanlık, siber güvenlik politikalarını uygulayan ve denetleyen dijital güvenlikten sorumlu otorite olarak konum­landırılmıştır.

Kurul ise Cum­hurbaşkanı veya yardımcısının liderliğinde, ilgili bakanlar ve üst düzey yetkililerden oluşan bir karar alma mekanizması olarak oluşturulmuştur. Artık ülkemi­zin siber güvenlik stratejilerini belirlemek, kritik altyapıları ta­nımlamak ve teşvik alanlarını ka­rarlaştırmak bu ekibin yetki ala­nına girmektedir.

Yeni hak ve hükümlülükler

Kanun, şirketleri doğrudan et­kileyen yeni bir takım hak ve yü­kümlülükler düzenlemektedir. Şirket yöneticilerinin kendile­rini hazırlaması gereken bu yeni yükümlülüklere ve fırsatlara kı­saca göz atalım.

● Sertifikasyon ve yetkilen­dirme: Kanun, siber güvenlik ala­nında faaliyet gösteren dernek, vakıf, federasyon ve ticaret şirket­lerine, yasanın ilgili düzenleme­leri yürürlüğe girdikten sonra bir yıl içinde Siber Güvenlik Başkan­lığı’nın belirlediği standartlara uygun sertifikasyon, yetkilendir­me ve belgelendirme işlemlerini tamamlama zorunluluğu getir­mektedir. Diyelim ki siber güven­lik yazılımı geliştiren bir teknolo­ji şirketisiniz. Artık ürünlerinizi piyasaya sürmeden önce Başkan­lık’tan onay almanız gerekmekte­dir. Bu, ilk bakışta biraz bürokra­si ve iş yükü gibi görünebilir, ama aynı zamanda ürünlerinizin gü­venilirliğini artırarak müşterile­rinizin gözünde bir ‘güvenilir sa­tıcı’ damgası kazanmanızı da sağ­layacaktır. Bununla birlikte bu yükümlülüğü yerine getirmeyen şirketler ise siber güvenlik ala­nında faaliyet gösteremeyecekler. Dahası, ticaret şirketleri unvan­larındaki ‘siber güvenlik’ ibarele­rini dahi çıkarmak zorunda kala­caklar.

● Denetim ve iş birliği: Si­ber Güvenlik Başkanlığı, şirket­lerden her türlü bilgi, belge, ya­zılım ve donanımı talep edebilir ve denetim yapabilir. Şirketlerin bu denetimlere açık olması, ge­rekli altyapıyı sağlaması ve siber olayları (örneğin, bir veri sızıntı­sı) derhal bildirmesi gerekmek­tedir. Tabi bu noktada benzer bir yükümlülük kişisel veriler ile ilgi­li olarak KVKK’da da bulunmak­tadır. KVKK veri ihlali halinde 72 saat içinde durumun Kuruma bil­dirilmesini ararken Siber Güven­lik Kanunu kapsamındaki ihlal­lerde bildirimin derhal yapılması beklenmektedir. Bu detayı akıl­da tutmakta fayda var. Aksi halde ciddi para cezaları ile karşı kar­şıya kalabilirsiniz. Örneğin; bir e-ticaret platformusunuz ve sis­teminize bir siber saldırı düzen­lendi. Derhal bu durumu Başkan­lık’a bildirmeniz gerekmektedir. Eğer bu bildirimi derhal yapmaz­sanız, 100 bin TL’den 1 milyon TL’ye kadar idari para cezası ve­ya bu bildirimi yapmayanın ticari bir şirket olması durumunda brüt satış hasılatınızın yüzde 5’ine ka­dar bir idari para cezası ile karşı­laşabilirsiniz.

● Yerli ve milli ürünler: Ka­nun, özellikle kritik altyapılarda kullanılan siber güvenlik ürünle­rinin yerli ve milli olmasını teş­vik ediyor. Bu düzenleme ile hem dışa bağımlılığın azaltılması hem de yerel teknoloji sektörünün güç­lendirilmesi hedefleniyor.

● İhracat ve pay değişiklik­leri: Siber güvenlik ürünlerinin yurtdışına satışı veya bir siber gü­venlik şirketinin pay sahipliğinde gerçekleşecek değişiklikler, Siber Güvenlik Başkanlığı’nın onayına tabi. Bu, özellikle birleşme ve dev­ralmalar için önemli bir detay. Bir siber güvenlik şirketiniz var ve bir yatırımcıyla ortaklık yapmak is­tiyorsunuz. Hisse satışını yapma­dan önce Başkanlık’tan izin alma­nız artık yeni bir yükümlülük ola­rak düzenlenmiştir.

İş dünyasına etkileri: Fırsatlar ve zorluklar

Peki, bu kanun iş dünyası için ne anlama geliyor? Hem fırsatlar hem de zorluklar var. Hadi, biraz SWOT analizi yapalım:

Fırsatlar:

● Rekabet avantajı: Sertifi­kasyon ve yerli ürün kullanımı, şirketlere müşteri nezdinde güve­nilirlik kazandırabilir. Önümüz­deki dönemde Siber Güvenlik Ka­nunu’na uygunluk sertifikası, bir nevi kalite belgesi gibi algılanma­ya başlayacaktır.

● Yerli teknolojiye destek: Yerli siber güvenlik ürünlerine ve­rilen öncelik, yerel teknoloji fir­maları için yeni pazarlar açılması­na neden olabilir.

● Kriz yönetimi: Düzenli risk analizleri ve siber olaylara müda­hale ekipleri, şirketlerin siber sal­dırılara karşı daha hazırlıklı olma­sını sağlayacaktır. Bu durum, şir­ketlere hem itibar kazandıracak hem de maddi kayıpların önlen­mesi veya azaltılmasına yardımcı olacaktır.

Zorluklar:

● Maliyetler: Sertifikasyon süreçleri, denetimlere hazırlık ve yerli ürün kullanımı, özellikle KOBİ’ler için ek maliyet oluştu­racağı için önemli bir dezavanta­ja dönüşebilir.

● Bürokrasi: Başkanlık’tan onay alma süreçleri, özellikle ih­racat veya birleşme-devralma iş­lemlerinde zaman kaybına neden olabilir.

● Cezalar: Kanuna uyum sağ­lamayan şirketler, ciddi idari pa­ra cezalarıyla karşılaşabilir. Ör­neğin, yükümlülüklerini yerine getirmeyen bir şirket, brüt satış hasılatının %5’ine kadar ceza öde­mek durumunda kalabilir.

Son söz: Dijital dünyada güçlü kalmak

7545 Sayılı Siber Güvenlik Ka­nunu, Türkiye’nin dijital dünya­da daha güvenli bir yer edinmesi için atılmış önemli bir adımdır. Evet, yeni yükümlülükler biraz göz korkutucu olabilir, ama bu kurallar aynı zamanda şirketini­zin dijital duyarlılığını artıracak birer fırsattır.

Eğer kanunla ilgili daha faz­la detay veya şirketinize özel bir yol haritası isterseniz, Siber Gü­venlik Başkanlığı’nın yayımlaya­cağı ikincil düzenlemeleri takip etmeyi unutmayın. Zira ikincil düzenlemeler ile birlikte kanun­la getirilen hak ve yükümlülükle­rin uygulamasına ilişkin detaylar konusunda daha fazla bilgi sahibi olacağız. İmkân oldukça sizleri de bilgilendirmeye çalışacağız.

Unutmayın, siber güvenlik bir tercih değil, artık bir zorunluluktur!

Pratik öneriler: Kanuna uyum sağlamak için ne yapmalı?

Kanun, biraz ‘dijital disiplin’ gerektiriyor ama telaşa kapılmaya da gerek yok! Şirketinizin bu yeni dünyaya uyum sağlaması için aşağıdaki pratik önerileri dikkate alabilirsiniz.

1- Siber güvenlik ekibi kurun: Şirketiniz içinde bir siber olaylara müdahale ekibi oluşturun. Bu ekip, siber tehditlerin izlenmesi ve kriz anında hızlıca aksiyon alınmasını sağlayacaktır.

2- Yerli çözümlere yönelin: Güvenlik yazılımlarınızda yerli alternatifleri değerlendirmeniz hem kanuna uyum sağlamanızı hem de yerel ekonomiye katkı sunmanıza olanak sağlayacaktır.

3- Düzenli testler yapın: Penetrasyon testleri ve risk analizleri, sistemlerinizdeki zayıf noktaları tespit etmenin en iyi yolu olacaktır.

4- Eğitim yatırımı yapın: Çalışanlarınızı siber güvenlik konusunda eğitmeniz bu süreçteki en önemli tedbirlerden biri belki de birincisidir. Unutmayın, bir çalışanın yanlış tıkladığı bir e-posta bile büyük bir veri sızıntısına yol açabilir! Bu da şirketiniz için önemli bir inceleme ve belki de ceza sürecinin başlangıcı olabilir. Eğitim şart!

5- Profesyonel destek alın: Siber güvenlik uzmanları ve hukuk danışmanlarıyla çalışarak kanuna uyum sürecinizi hızlandırabilirsiniz.

YSM HABER MERKEZİ