Siber Güvenlik Kanunu Dijital Güvenlik Sağlayabilecek mi?

Dijital çağın hızla gelişen teknolojisi, veri güvenliği endişelerini de beraberinde getirirken, Türkiye’deki yurttaşların kişisel verilerinin korunması bir süredir kamuoyunda tartışılan önemli konular arasında yer alıyor. 8 Ocak 2025’te yayımlanan Cumhurbaşkanlığı Kararnamesi ile Siber Güvenlik Başkanlığı kuruldu. Başkanlığın kurulmasına paralel olarak yasama sürecinde bulunan Siber Güvenlik Kanunu da 15 Ocak 2025’te TBMM Milli Savunma Komisyonu’nda kabul edildi. 12 Mart 2025'te TBMM Genel Kurulunda da kabul edilen Siber Güvenlik Kanun Teklifi kabul edilerek yasalaştı.

Kanun teklifinde Siber Güvenlik Başkanlığının kurulmasının gerekçesi; dijitalleşmeyle birlikte artan siber tehditlere karşı ulusal ölçekte etkin ve merkezi bir mücadelenin gerekliliği, çatı mevzuat eksikliği nedeniyle yaşanan koordinasyon sorunlarının giderilmesi, kritik altyapı ve kamu kurumlarının siber güvenlik seviyelerinin yükseltilmesi, denetim ve caydırıcı yaptırım mekanizmalarının güçlendirilmesi gibi unsurlara dayandırılıyor. Başkanlığın kurulmasıyla siber güvenlik ekosisteminin güçlendirilmesi ve uluslararası alanda örnek oluşturacak bir yapının oluşturulması hedefleniyor.

Kanun teklifi, kurulacak olan başkanlığın görev ve yetkilerini de içeriyor. Siber Güvenlik Başkanlığı, kritik altyapıların siber dayanıklılığını artırma, siber saldırıları tespit etme ve önleme, zafiyet ve sızma testleri yapma veya yaptırma, Siber Operasyon Müdahale Ekiplerini (SOME) kurma ve denetleme, kamu kurumları ve kritik altyapıların veri envanterini tutma ve güvenlik tedbirlerini aldırma, ayrıca siber güvenlik standartlarını belirleme, ürün ve hizmetleri test edip sertifikalandırma gibi görevleri üstlenecek.

Başkanlık; siber saldırılara karşı koruma tedbirleri almak veya aldırmak, gerektiğinde kurum ve kuruluşlardan veri ve log kayıtlarını talep ederek inceleme yapmak, siber olaylara yerinde veya uzaktan müdahale etmek, yazılım ve donanımların entegrasyonunu sağlamak, denetim süreçlerinde hâkim kararıyla veya acil durumlarda yetkili emirle arama ve el koyma yapmak, uluslararası işbirliği yürütmek ve siber güvenlik alanındaki ürünlerin kullanımını onaylamak veya sınırlamak gibi geniş yetkilere sahip olacak.

Kanun teklifinin Milli Savunma Komisyonunda gündeme gelmesiyle birlikte, Başkanlığın uygulama alanları ve yetkileri konusunda çeşitli tartışmalar ortaya çıkmıştı. Bu tartışmalarda Başkanlığın kurulmasının bireysel veri mahremiyeti ve basın özgürlüğü gibi konularda yaratabileceği risklere dikkat çekiliyor.

Özellikle başkanlığın yetkilerini belirleyen Madde 6’nın (1) numaralı fıkrasının (b), (c), (ç) ve (d) bentlerinde, başkanlığın veri kayıtlarını toplama, saklama ve değerlendirme yetkilerine ilişkin hükümler bulunuyor. Bu ifadelere yönelik yapılan eleştiriler ise siber güvenlik adı altında yurttaşların gözetlenebileceği ve kişisel verilerin izlenebileceği konusuna odaklanıyor.

Başkanlığın denetim alanlarının belirlendiği Madde 8’de ise (4) ve (5) numaralı fıkralar dikkat çekiyor. (4) numaralı fıkrada, denetimle görevli kişilerin denetim faaliyetiyle sınırlı olarak elektronik ortamdaki veri, belge, elektronik altyapı, cihaz, sistem, yazılım ve donanımları inceleyebileceği; bunlardan kopya veya dijital suret ya da örnek alabileceği belirtiliyor. (5) numaralı fıkrada ise hâkim kararı üzerine veya gecikmesinde sakınca bulunan hâllerde Siber Güvenlik Başkanının yazılı emriyle konut ve işyerlerinde arama yapılabilmesi ve el koyma yetkisi tanınıyor. “Gecikmesinde sakınca görülen hâller” ifadesi ise, normalde bir mahkeme kararı veya daha uzun bir prosedür gerektiren arama ve el koyma gibi adli tedbirlerin, acil bir durumdan dolayı bekletilmesinin telafisi mümkün olmayan bir zarara yol açabileceği durumlar için kullanılıyor.

Kanun teklifinin 16. maddesinin (5) numaralı bendinde yer alan “Siber uzayda veri sızıntısı olmadığı hâlde, veri sızıntısı yapılmış gibi bu yönde algı oluşturmak suretiyle kurumları veya şahısları hedef almaya yönelik faaliyet yürütenlere iki yıldan beş yıla kadar hapis cezası verilir.” ifadesi de basın özgürlüğü bağlamında tepki çekiyor. Söz konusu maddedeki algı oluşturmak ifadesi, muğlaklığı gidermek amacıyla Milli Savunma Komisyonunda “veri sızıntısı yapılmış gibi içerik oluşturma” şeklinde değiştirilmesi ise eleştirileri gittikçe artırdı.

Komisyonda madde “Siber uzayda veri sızıntısı olmadığı halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef almak amacıyla veri sızıntısı yapılmış gibi içerik oluşturanlara veya bu içerikleri yayanlara 2 yıldan 5 yıla kadar hapis cezası verilecek.” olarak değiştirildi.

Bu değişikliğin ardından, Türkiye Gazeteciler Sendikası (TGS) söz konusu düzenlemenin gazetecileri susturmak için muğlak bir suç tanımı içerdiğini ve gerçek veri sızıntılarının kamuoyuyla paylaşılmasını engelleyebileceğini belirtti. TGS ayrıca, kanun teklifinin 8. maddesiyle gecikmesinde sakınca görülen hâllerde Siber Güvenlik Başkanının yazılı emriyle konut ve işyerlerinde arama ve el koyma yapılabilmesinin gazetecilerin haber kaynaklarına ve veri güvenliğine doğrudan bir tehdit oluşturabileceğini savunuyor.

İfade Özgürlüğü Derneği, teklifi ifade özgürlüğü, kişisel verilerin korunması ve özel hayatın gizliliği gibi temel insan haklarını tehlikeye attığı gerekçesiyle eleştiriyor. Dernek, belirsiz kavramların ve denetimsiz geniş yetkilerin keyfi uygulamalara zemin hazırladığını, bu durumun bireylerin temel hak ve özgürlüklerini tehdit ettiğini vurguluyor. Derneğin açıklamasında yasanın kapsamlı bir şekilde gözden geçirilmesi ve daha şeffaf mekanizmaların gerekliliğine dikkat çekiliyor.

Kanun teklifinin özellikle Madde 6’nın (b), (c), (ç) ve (d) bentleri ile (2) numaralı fıkrası ve Madde 8’in (4) ve (5) numaralı fıkraları, kişisel verilerin toplanması, saklanması ve incelenmesi bakımlarından bireysel veri ihlali olasılığını artırabilecek ifadelere sahip. İlgili yönetmelik ve alt düzenlemelerin bu konuyu nasıl sınırlandırıp denetleyeceği, kişisel verilerin korunması ve özel hayatın gizliliği açısından büyük önem taşıyor.

Siber Güvenlik Başkanlığı’nın kurulması, yetkilerin kullanımıyla ilgili şeffaflık sağlandığı, bireysel hak ve özgürlüklerin korunmasının teminat altına alındığı koşullarda; dijital dünyada artan tehditlere karşı ulusal bir savunma mekanizması oluşturma yolunda büyük bir adım olabilir. Kamuoyunda oluşan endişelerin giderilmesi adına eleştirilerin şeffaf bir diyalog ortamında ele alınması ve yasal düzenlemelerin gözden geçirilmesi, ülkenin dijital güvenlik ihtiyacını karşılamak adına önem taşıyor.