Siber Dünyanın Yeni Mimarisi: Türkiye'nin Siber Güvenlik Kanunu Teklifi Analizi

I. GİRİŞ

Türkiye’nin dijital dünyaya açılan kapısı, ne yazık ki giderek daralıyor. 2024’ün son aylarında ortaya çıkan veriler, ülkenin elektronik haberleşme altyapısındaki gerilemeyi gözler önüne seriyor. Mobil internet hızında dünya ortalamasının %20,1 altındayız, sabit internette ise %50,2 gerideyiz. Dünya sıralamasında mobilde 60., sabit internette 103. sıradayız. Bu veriler, Türkiye’nin dijital çağın hızına yetişemediğinin sessiz bir itirafı gibi.

Ancak, bu sadece bir sonuç değil, aynı zamanda 2013’ten bu yana yaşanan düzenleyici eksikliklerin ve yanlış yönlendirilmiş politikaların bir yansıması. Bilgi Teknolojileri ve İletişim Kurumu (BTK), son on yılda rekabet ve serbestleşmeyi ikinci plana iten politikalar izledi. Bu süreçte sektör dinamizmini kaybetti, yatırımlar yavaşladı ve inovasyon geri plana düştü. Bugün geldiğimiz noktada, Türkiye’nin elektronik haberleşme sektörü sadece altyapı eksiklikleriyle değil, aynı zamanda düzenleyici belirsizliklerle de mücadele ediyor.

İşte tam bu noktada, Ocak 2025’de TBMM’ye sunulan Siber Güvenlik Kanunu Teklifi kritik bir dönüm noktası olarak karşımıza çıkıyor. BTK’nın yıllardır üstlenmeye çalıştığı ancak etkin bir şekilde yönetemediği siber güvenlik yetkilerinin yeni bir kuruma devredilmesi, yalnızca siber güvenlik mimarisinin değil, belki de tüm elektronik haberleşme sektörünün yeniden şekillenmesi için bir fırsat yaratabilir. Eğer bu değişim doğru yönetilirse, BTK sektörel düzenleme ve rekabeti geliştirme misyonuna geri dönebilir, böylece hem telekomünikasyon altyapısı güçlenir hem de siber güvenlik daha sağlam temeller üzerine inşa edilir.

Ancak bu noktada kritik bir soru karşımıza çıkıyor: Bu yasa gerçekten siber güvenlik alanında bir dönüşüm yaratabilir mi, yoksa yalnızca merkeziyetçiliği artıran bir düzenleme mi olacak?

Bu sorunun cevabını ararken, önce dijital dünyanın değişen dinamiklerine, ardından Türkiye’nin mevcut siber güvenlik yapısına ve bu yeni teklifin ne gibi yenilikler getirdiğine göz atmamız gerekiyor.

II. DİJİTAL DÜNYADA SİBER TEHDİTLERİN YÜKSELİŞİ

Dijitalleşmenin hız kazanmasıyla birlikte, siber güvenlik artık yalnızca teknoloji şirketlerinin veya devletlerin meselesi değil, bireylerden büyük kurumsal yapılar ve kritik altyapılara kadar uzanan geniş bir güvenlik ağı gerektiriyor. Siber saldırılar artık sadece finansal kazanç amacıyla yapılmıyor; devletler arası rekabetin, ticari casusluğun ve hatta seçimlere müdahale gibi siyasi süreçlerin ayrılmaz bir parçası haline geldi.

1. Küresel Ölçekte Artan Siber Tehditler

Son yıllarda yaşanan siber saldırılar, tehdidin boyutlarını gözler önüne seriyor:

Yıl	Öne Çıkan Siber Saldırılar	Etkilenen Sektörler
2020	SolarWinds saldırısı	Saldırının kurbanları arasında ABD Savunma Bakanlığı, Dışişleri Bakanlığı, Adalet Bakanlığı, Ulusal Güvenlik Ajansı (NSA) ve Hazine Bakanlığı gibi devlet kurumları ile Microsoft, FireEye, Cisco, Intel ve Nvidia gibi büyük şirketler bulunmaktadır.
2021	Colonial Pipeline fidye saldırısı	ABD’nin en büyük akaryakıt boru hattı işletmecisi olan Colonial Pipeline, fidye yazılımı saldırısına uğramış ve operasyonlarını durdurmak zorunda kalmıştır. Bu saldırı, enerji sektörünü ciddi şekilde etkilemiş ve Doğu Yakası’nda yakıt arzında kesintilere yol açmıştır.
2022	Costa Rica hükümetine yönelik saldırı	Kosta Rika hükümeti, kamu altyapısını hedef alan büyük bir siber saldırıya maruz kalmıştır. Bu saldırı, ülkenin çeşitli kamu hizmetlerinde aksamalara neden olmuş ve ulusal acil durum ilan edilmiştir.
2023	MOVEit veri sızıntısı	MOVEit adlı dosya transfer yazılımında tespit edilen bir güvenlik açığı, finans ve teknoloji sektörlerindeki birçok şirketin veri sızıntısı yaşamasına neden olmuştur. Bu olay, hassas verilerin ifşa olmasına yol açmış ve geniş çaplı etkilere neden olmuştur.
2024	Kritik sağlık kuruluşlarına yönelik saldırılar	Sağlık sektöründeki kritik kuruluşlar, özellikle hastaneler ve sağlık hizmeti sağlayıcıları, hedef alınan siber saldırılara maruz kalmıştır. Bu saldırılar, hasta verilerinin çalınması ve sağlık hizmetlerinde kesintilere yol açmıştır.

Bu olaylar gösteriyor ki, siber saldırılar sadece bireysel veya ticari mağduriyetler yaratmıyor, aynı zamanda ulusal güvenlik riskleri oluşturuyor. Fidye yazılımları (ransomware), DDoS saldırıları ve oltalama (phishing) gibi yöntemler, artık sadece bireysel suçluların değil, organize grupların ve hatta devlet destekli hacker ekiplerinin kullandığı araçlara dönüştü.

2. Türkiye’de Artan Siber Güvenlik Tehditleri

Türkiye de bu küresel dalganın dışında değil. Hatta, Türkiye, dünya genelinde en çok siber saldırıya uğrayan ülkeler arasında üst sıralarda yer almaktadır. Farklı kaynaklar ve yıllara göre sıralamalar değişiklik gösterebilir, ancak genel olarak Türkiye’nin siber saldırılara maruz kalma oranı yüksektir. Örneğin, 2023 yılının ikinci çeyreğinde yapılan bir araştırmaya göre, Türkiye en çok siber saldırıya uğrayan beşinci ülke konumundadır. Bu dönemde yaklaşık 2,8 milyon hesabın güvenliği ihlal edilmiştir.

Son yıllarda Türkiye’de gerçekleşen önemli siber saldırılar şunlardır:

Yıl	Öne Çıkan Siber Saldırı	Etkilenen Sektörler
2020	E-Devlet ve Kamu Kurumlarına Yönelik DDoS Saldırıları Türkiye’deki kamu kurumlarının dijital hizmetlerine yönelik DDoS saldırıları, hizmetlerin durmasına ve kritik altyapıya zarar verilmesine neden oldu.	Kamu sektörü
2021	Sağlık Sektörüne Yönelik Siber Casusluk Saldırıları COVID-19 pandemisi sırasında, aşı geliştiren kurumlar ve sağlık araştırma merkezleri siber casusluk saldırılarına maruz kaldı.	Sağlık sektörü
2022	Enerji Şirketlerine Yönelik Siber Saldırılar Türkiye’deki enerji şirketleri, enerji altyapısına zarar vermeyi amaçlayan siber saldırılara maruz kaldı.	Enerji sektörü
2023	E-Ticaret ve Perakende Sektörüne Yönelik Veri İhlalleri Büyük e-ticaret platformları ve perakende şirketleri, kullanıcı verilerinin çalındığı ve hizmet kesintilerine neden olan saldırılarla karşılaştı.	E-ticaret ve perakende sektörü

3. Bankalar, E-Ticaret, Kolluk ve Hukuk Sistemi: Koordinasyon Eksikliği

Siber saldırıların etkisini azaltmak için sadece teknoloji odaklı çözümler yetmez. Bankalar, e-ticaret platformları, kolluk kuvvetleri ve hukuk sistemi arasındaki iş birliği yetersiz olduğunda, saldırıların etkisi büyüyor.

Örneğin, bankalardan müşterilerin hesaplarından izinsiz para çekilmesi gibi olaylar yaşandığında, vatandaş bankaya gidiyor, banka sorumluluğu kabul etmiyor, polis ise “teknik” bir mesele olduğu için süreci yavaşlatıyor. E-ticaret siteleri dolandırıcılık olaylarında sorumluluk almıyor. Siber suçların mağdurları, şirketler, kolluk ve hukukun birbirine top atması sonucu çözüm bulamıyor.

Yeni Siber Güvenlik Kanunu Teklifi, bu kaosu çözebilir mi?

Bu soruya cevap aramak için, öncelikle Türkiye’nin mevcut siber güvenlik altyapısının nasıl şekillendiğine ve bu yasa teklifinin neleri değiştireceğine bakmamız gerekiyor.

III. TÜRKİYE’NİN MEVCUT SİBER GÜVENLİK ALTYAPISI

Türkiye’nin siber güvenlik altyapısı, yıllar içinde çeşitli düzenlemeler ve yapılarla şekillenmiş olsa da, halen büyük eksiklikler barındırmaktadır. Mevcut sistemde yetki karmaşası, koordinasyon eksikliği ve güncel tehditlere karşı yetersizlik en önemli sorunlar arasında yer alıyor.

1. Mevcut Düzenleyici Yapılar

Türkiye’de siber güvenlik alanında farklı kurumların yetkileri şu şekilde dağılmış durumda:

Ulaştırma ve Altyapı Bakanlığı (2012’de kurulan Siber Güvenlik İnisiyatifi),
BTK (2020’de kurulan Siber Güvenlik Merkezi ve USOM),
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi,
Sanayi ve Teknoloji Bakanlığı,
Milli Savunma Bakanlığı ve MİT (kritik altyapılar ve askeri sistemler için).

Kurum	Görev ve Yetkileri
Bilgi Teknolojileri ve İletişim Kurumu (BTK)	Elektronik haberleşme altyapısının güvenliği, SOME koordinasyonu.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi	Kamu kurumlarının dijital dönüşümü ve siber güvenlik stratejileri.
Ulaştırma ve Altyapı Bakanlığı	Telekomünikasyon altyapısının güvenliği ve siber tehditlere karşı politika geliştirme.
Milli İstihbarat Teşkilatı (MİT)	Devlet güvenliğini ilgilendiren siber tehditlerle mücadele.
Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Dairesi	Siber suçlarla ilgili adli soruşturma yürütme.
Jandarma Genel Komutanlığı Siber Suçlar Birimi	Kırsal alanlarda siber suçlarla mücadele.

2. Koordinasyon Sorunu

Mevcut sistemde kurumlar arasında net bir görev dağılımı olmadığı için etkili koordinasyon sağlanamıyor. Örneğin, BTK’nın 2020’de kurduğu Ulusal Siber Olaylara Müdahale Merkezi (USOM) siber tehditleri takip etme ve önleme konusunda önemli bir adım olsa da, özel sektörle iş birliği konusunda yetersiz kaldı.

3. Siber Suçlarla Mücadelede Hukuki Boşluklar

Türkiye’de siber suçlarla ilgili yasal çerçeve şu ana yasalarla şekilleniyor:

5651 Sayılı İnternet Kanunu (Daha çok içerik düzenlemeleri odaklı)
5809 Sayılı Elektronik Haberleşme Kanunu (BTK’nın yetkilerini tanımlıyor)
TCK 243-246 Maddeleri (Bilişim suçlarını düzenliyor)

Mevzuat	Kapsamı
5809 Sayılı Elektronik Haberleşme Kanunu (2008)	Bilgi ve iletişim sektörünü düzenler, BTK’nın yetkilerini belirler.
5651 Sayılı İnternet Kanunu (2007)	İnternet ortamında işlenen suçlarla mücadeleyi ve erişim engellemeyi düzenler.
5237 Sayılı Türk Ceza Kanunu (TCK) – Bilişim Suçları	Bilişim sistemlerine yetkisiz erişim, veri hırsızlığı gibi suçları tanımlar ve cezai yaptırımlar içerir.
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) (2016)	Kişisel verilerin korunması ve işlenmesi için hukuki çerçeve oluşturur.
4703 Sayılı Ürün Güvenliği ve Teknik Düzenlemeler Kanunu	Siber güvenlik standartlarının belirlenmesine yönelik düzenlemeler içerir.

Bunların yanı sıra; BTK web sayfasında Ocak 2025’de yayınlanan “Ulusal Siber Güvenliğin Sağlanmasına ve Siber Caydırıcılığın Artırılmasına Yönelik Yönetmelik Taslağı” vardı. Söz konusu yönetmelik taslağı, mevcut yasal çerçeve içinde BTK’nın siber güvenlik yetkilerini detaylandırmayı amaçlıyordu. TELKODER’in endişeleri temel olarak BTK’nın düzenleyici ve denetleyici rollerinin genişlemesi ve bunun sektöre getireceği yükler üzerine odaklanmıştı.

Yeni kanun teklifi, bu yönetmelik taslağını otomatik olarak geçersiz kılacaktır;

Birincisi, kanun teklifi BTK’nın siber güvenlik yetkilerini yeni kurulacak Siber Güvenlik Başkanlığı’na devretmektedir. Teklifin 19. maddesinde, 5809 sayılı Elektronik Haberleşme Kanunu’ndaki BTK’ya siber güvenlik yetkileri veren hükümler kaldırılmaktadır. Bu durumda, BTK’nın siber güvenlik yetkileri üzerine inşa edilmiş bir yönetmelik taslağının geçerliliği kalmayacaktır.

İkincisi, USOM ve Sektörel SOME yapılanması da yeni kanun teklifiyle BTK’dan Siber Güvenlik Başkanlığı’na geçmektedir. Kanun tesiklifinin 5. maddesinde Başkanlığa “SOME’ler kurmak, kurdurmak ve denetlemek” yetkisi verilmektedir.

Bu yasal çerçeve modern siber tehditlere tam anlamıyla cevap veremiyor. Siber güvenlik olaylarında sorumluluk kimin üzerine düşüyor, şirketler hangi yaptırımlara tabi olacak gibi kritik sorular netlik kazanmamış durumda.

IV. SİBER GÜVENLİK KANUNU TEKLİFİ: NE GETİRİYOR?

Yeni Siber Güvenlik Kanunu Teklifi, Türkiye’nin mevcut dağınık siber güvenlik yapısını yeniden organize etmeyi amaçlayan kapsamlı bir düzenleme olarak öne çıkıyor. Bu teklif, kurumsal yeniden yapılanma, yaptırımlar, veri güvenliği, uluslararası işbirliği ve sertifikasyon süreçleri açısından radikal değişiklikler içeriyor.

Teklifin gerekçesinde öne çıkan temel noktaları inceleyelim:

a) Artan Dijitalleşme ve İhtiyaç

Gerekçede, Türkiye’nin dijitalleşme verileri dikkat çekici. İnternet kullanıcıları günde ortalama 7.5 saat internette zaman geçiriyor, 93.3 milyon mobil abone bulunuyor. Bu yaygın dijital kullanım, güvenlik ihtiyacını artırıyor.

b) Değişen Tehdit Ortamı

Kanun gerekçesinde, konvansiyonel savaşların yerini hibrit ve asimetrik savaşlara bıraktığı, devlet destekli siber saldırıların arttığı vurgulanıyor. 2024 verilerine göre, kurumlar haftalık ortalama 1,876 siber saldırıya maruz kalıyor ki bu bir önceki yıla göre %75’lik bir artışı gösteriyor.

c) Merkezi Yapılanma İhtiyacı

Mevcut durumda siber güvenlik yetkileri farklı kurumlar arasında dağılmış durumda (Ulaştırma Bakanlığı, BTK, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi gibi). Kanun, bu dağınık yapıyı merkezi bir otorite altında toplamayı hedefliyor.

Ayrıca yine gerekçede belirtildiği gibi, Türkiye’nin “Rol Model Ülke” kategorisinde yer almasına rağmen gerçek anlamda çatı mevzuat özelliği taşıyan bir siber güvenlik kanununa sahip olmaması da bu düzenlemenin önemli gerekçelerinden biri olarak karşımıza çıkıyor.

Konu	Teklif Öncesi Durum	Yeni Kanun Teklifi ile Gelen Değişiklik
Merkezi Yönetim	BTK, Dijital Dönüşüm Ofisi, MİT gibi kurumlara dağılmış sorumluluklar.	Siber Güvenlik Başkanlığı adıyla merkezi bir yapı kuruluyor.
Yetkili Kurumlar	Farklı bakanlıklar ve kurumlar arasında koordinasyon eksikliği.	Siber Güvenlik Kurulu oluşturularak politika belirleme yetkisi veriliyor.
Kritik Altyapılar	Siber güvenlik gereksinimleri net değil, yaptırımlar sınırlı.	Kritik altyapıların belirlenmesi ve korunmasına yönelik bağlayıcı düzenlemeler getiriliyor.
Özel Sektör	Özel sektör için zorunlu sertifikasyon yok, güvenlik yükümlülükleri net değil.	Özel sektör siber güvenlik standartlarına uymak zorunda kalıyor, ürün satışları kontrol altına alınıyor.
Veri Güvenliği	KVKK kapsamında düzenlemeler var ancak siber güvenlik açısından yeterli değil.	Başkanlığa log kayıtlarını toplama ve inceleme yetkisi tanınıyor.
Cezai Yaptırımlar	TCK ve 5651 sayılı Kanun kapsamında cezalar var, ancak sınırlı.	Siber suçlara yönelik cezalar sertleştiriliyor, hapis ve para cezaları artırılıyor.

1. Yeni Kurumsal Yapı

Kanun teklifiyle birlikte, Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu gibi iki yeni yapı devreye giriyor:

Siber Güvenlik Başkanlığı, Cumhurbaşkanlığı’na bağlı olarak çalışacak ve Türkiye’de siber güvenlik politikalarını şekillendirecek.
Siber Güvenlik Kurulu, ulusal güvenlik çerçevesinde üst düzey yöneticilerin katılımıyla kararlar alacak.
BTK’nın mevcut siber güvenlik yetkileri kaldırılacak ve Başkanlığa devredilecek.

Teklif ile oluşturulan Siber Güvenlik Başkanlığı geniş yetkilere sahip olacak gibi görünüyor:

•Denetim Yetkisi: Kamu ve özel sektör dahil, tüm kritik altyapıları denetleme yetkisi.

•Veri Toplama Yetkisi: Log kayıtları dahil, siber güvenlik için gerekli gördüğü verileri alabilme hakkı.

•Müdahale Yetkisi: Siber saldırılara karşı yerinde veya uzaktan müdahale yetkisi.

•Zorunlu Standartlar: Siber güvenlik ürün ve hizmetlerinde yerli ve milli çözümlerin teşvik edilmesi.

Kritik nokta: Başkanlık, kamu ve özel sektörden bilgi ve belge talep edebilecek ve bunları en fazla iki yıl süreyle saklayabilecek. Bu düzenleme, kişisel verilerin korunması açısından tartışmalı olabilir. Avrupa’da benzer yetkilere sahip kurumlar var, ancak bağımsız denetim mekanizmalarıyla sınırlandırılmış durumda.

2. Yaptırımlar ve Denetimler

Kanun, ciddi idari ve cezai yaptırımlar öngörüyor:

Kritik altyapılara yapılan siber saldırılar için 8 ila 12 yıl arasında hapis cezası.
İdari para cezaları 1 milyon TL’den 100 milyon TL’ye kadar değişebilecek.
Siber güvenlik denetimleri sıkılaştırılacak, işletmeler düzenli raporlama yapmak zorunda kalacak.

3. Siber Güvenlik Kurulu Üzerinden Yeniden Yapılanma

Aslında, mevcut düzenlemeler kapsamında kurulu bir Siber Güvenlik Kurulu halihazırda var. Ancak, yeni kanun teklifindeki yapı ile arasında önemli farklılıklar bulunuyor. Bu farklılıkları detaylı olarak inceleyelim:

a) Kurulun Yapısı ve Üyelik

Mevcut durumda Siber Güvenlik Kurulu, 2012 yılında Bakanlar Kurulu kararıyla kurulmuş ve 2014’te yasal statüsü 5809 sayılı kanuna eklenen madde ile güncellenmiştir. Yeni teklifte ise Kurul çok daha üst düzey bir yapıya kavuşturuluyor.

Yeni teklifte Kurul’un üyeleri açıkça belirtiliyor: Cumhurbaşkanı (başkan), Cumhurbaşkanı Yardımcısı, Adalet Bakanı, Dışişleri Bakanı, İçişleri Bakanı, Milli Savunma Bakanı, Sanayi ve Teknoloji Bakanı, Ulaştırma ve Altyapı Bakanı, MGK Genel Sekreteri, MİT Başkanı, Savunma Sanayii Başkanı ve Siber Güvenlik Başkanı. Bu yapı, siber güvenliğin ulusal güvenliğin ayrılmaz bir parçası olarak görüldüğünü gösteriyor.

b) Yetki ve Sorumluluklar

Mevcut durumda Kurul’un görevi daha çok koordinasyon ve onay makamı olarak tanımlanmış: “kamu kurum ve kuruluşları ile gerçek ve tüzel kişiler tarafından alınacak önlemleri belirlemek, hazırlanan plan, program, rapor, usul, esas ve standartları onaylamak”

Yeni teklifte Kurul’un yetkileri genişletiliyor ve netleştiriliyor:

Siber güvenlikle ilgili politika, strateji ve eylem planlarını belirlemek,
Teknoloji yol haritasını onaylamak,
Kritik altyapı sektörlerini belirlemek,
Teşvik verilecek öncelikli alanları belirlemek,
Kurumlar arası ihtilafları çözmek.

c) Kurumsal Yapılanma

En önemli fark, yeni teklifin Siber Güvenlik Başkanlığı adında yeni bir kurum oluşturması. Mevcut yapıda BTK ve USOM üzerinden yürütülen operasyonel faaliyetler, yeni yapıda bu Başkanlık altında toplanıyor.

d) USOM ve SOME Yapılanması

Mevcut durumda USOM (Ulusal Siber Olaylara Müdahale Merkezi) ve SOME’ler (Sektörel/Kurumsal Siber Olaylara Müdahale Ekipleri) BTK koordinasyonunda çalışıyor. Yeni teklifte bu yapı Siber Güvenlik Başkanlığı’na bağlanıyor ve yetkileri genişletiliyor.

e) Yaptırım Gücü

Mevcut yapıda doğrudan bir yaptırım mekanizması bulunmuyor. Yeni teklifte ise ciddi idari ve cezai yaptırımlar getiriliyor. Örneğin, siber saldırılara 8-12 yıl hapis cezası, yükümlülüklerin yerine getirilmemesi durumunda 100 milyon TL’ye varan idari para cezaları öngörülüyor. Türk Ceza Kanunu’na (TCK) ek olarak siber suçlarla ilgili yeni getirilen maddeler;

•Veri sızıntısı veya siber saldırı gerçekleştirenlere 3-15 yıl arasında hapis cezası.

•Denetimi engelleyenlere 1-3 yıl hapis cezası.

•Siber güvenlik düzenlemelerine uymayan kurumlara 1-100 milyon TL arasında idari para cezası.

Dikkat çeken bir nokta, “veri sızıntısı olmadığı halde sızıntı varmış gibi algı oluşturma” suçu eklenmiş. Bu ifade muğlak ve medya özgürlüğü açısından risk taşıyor. Örneğin, bir gazetecinin veri güvenliği konusunda eleştirel bir haber yapması bu maddeye göre suç sayılabilir.

Özellik	Mevcut Siber Güvenlik Kurulu (2012-2024)	Yeni Siber Güvenlik Kurulu ve Başkanlık (Teklif)
Bağlı Olduğu Makam	Ulaştırma ve Altyapı Bakanlığı	Cumhurbaşkanlığı
Yetkileri	Tavsiye niteliğinde kararlar alır, bağlayıcılığı yoktur.	Bağlayıcı karar alma yetkisi var, zorunlu politikalar belirliyor.
Denetim Yetkisi	BTK üzerinden denetim yapabiliyordu, kapsam sınırlıydı.	Siber Güvenlik Başkanlığı denetim yapacak, siber güvenlik ürünleri ve altyapılar kontrol altında olacak.
Özel Sektör Etkisi	Özel sektör için zorlayıcı düzenleme yoktu.	Siber güvenlik şirketlerine sertifikasyon zorunluluğu getiriliyor, ürün satışları Başkanlık onayına tabi olacak.
Kritik Altyapılar	Tanımlama ve koruma mekanizması zayıftı.	Kritik altyapılar tanımlanacak ve zorunlu güvenlik önlemleri uygulanacak.
Cezai Yaptırımlar	TCK ve 5651 çerçevesinde kısıtlıydı.	Siber suçlara yönelik cezalar ağırlaştırılıyor (3-15 yıl hapis, yüksek para cezaları).

Değişimin özünde yetkilerin bir “üst kurula devri” değil, aslında tüm siber güvenlik ekosisteminin yeniden yapılandırılması var:

Yeni Siber Güvenlik Kurulu müsteşar seviyesinden Cumhurbaşkanı başkanlığında bakan seviyesine yükseltiliyor. Bu, siber güvenliğin devlet yönetiminde çok daha üst düzeyde ele alınacağını gösteriyor.
Yeni oluşturulacak Siber Güvenlik Başkanlığı, şu anda BTK ve Bakanlık arasında dağılmış olan operasyonel yetkileri tek çatı altında topluyor. Bu kurum, USOM ve SOME yapılanmalarını, denetim yetkilerini, standart belirleme görevlerini üstleniyor.
BTK’nın siber güvenlikle ilgili mevcut yetkileri (örneğin 5809 sayılı Kanun’un 6. maddesindeki yetkiler) yeni Başkanlığa devrediliyor. Ancak bu basit bir yetki devri değil – yeni Başkanlık çok daha geniş yetkilerle donatılıyor.

Dolayısıyla yeni teklifle yapılan değişiklik, basit bir “yetki devri” değil, siber güvenlik yönetişiminin tamamen yeniden tasarlanmasıdır. Bu yeni tasarımda BTK’nın mevcut yetkileri daha güçlü bir kuruma devrediliyor, ancak bu yeni kurum sadece BTK’nın yetkilerini değil, şu anda farklı kurumlara dağılmış tüm siber güvenlik yetkilerini tek çatı altında topluyor.

Yeni Siber Güvenlik Kanunu Teklifi, Türkiye’nin 2024-2028 Ulusal Siber Güvenlik Stratejisi ve Eylem Planı ile büyük ölçüde örtüşüyor. Ancak bazı alanlarda farklılaşmalar ve odak kaymaları da mevcut;

Konu	Ulusal Strateji Belgesi (2024-2028)	Siber Güvenlik Kanun Teklifi	Uyum Durumu
Merkezi Yapı	Koordinasyon artırılmalı	Siber Güvenlik Başkanlığı kuruluyor	✅ Uyumlu
Kritik Altyapı Güvenliği	Kritik altyapı güvenliği artırılmalı	Kritik altyapılar tanımlanıyor ve korunuyor	✅ Uyumlu
Caydırıcılık ve Yaptırımlar	Siber suçlar için caydırıcılık artırılmalı	Hapis ve para cezaları artırılıyor	✅ Uyumlu
Yerli ve Milli Teknolojiler	Yerli ürünler teşvik edilmeli	Siber güvenlik ürünlerinin ihracatı kontrol ediliyor	✅ Uyumlu
Proaktif Savunma	Tehdit izleme ve erken uyarı sistemleri geliştirilmeli	Başkanlığa geniş denetim ve izleme yetkisi veriliyor	✅ Uyumlu
Denetim ve Şeffaflık	Denetimler şeffaf olmalı	Denetim süreçleri belirsiz	❌ Eksik
Uluslararası İş Birliği	Türkiye küresel marka olmalı	Uluslararası iş birlikleri net değil	❌ Eksik
Siber Güvenlik Eğitimi	İnsan kaynağı artırılmalı	Eğitim teşvikleri net değil	❌ Eksik

V. AB VE DİĞER ÜLKELERLE KARŞILAŞTIRMA

Yeni Siber Güvenlik Kanunu Teklifi, Türkiye’nin siber güvenlik ekosistemini yeniden şekillendirirken uluslararası modellerle kıyaslandığında belirgin farklılıklar ve benzerlikler taşıyor. Ancak, AB’nin ENISA modeli doğrudan ulusal bir yapıya tekabül etmediği için, mukayeseyi AB üye ülkelerindeki ulusal siber güvenlik otoriteleriyle yapmak daha doğru olacaktır. Bu nedenle, Fransa, Almanya ve İngiltere gibi ülkelerin siber güvenlik organizasyonları ile Türkiye’nin yeni düzenlemeleri karşılaştırıldığında dikkat çekici farklılıklar ortaya çıkmaktadır.

1. Avrupa Ülkeleri Modeli: Fransa, Almanya ve İngiltere

Avrupa Birliği’ne üye ülkeler, siber güvenlik alanında genellikle merkezi bir ulusal otorite üzerinden hareket etmektedir. Ancak, bu otoriteler genellikle diğer devlet kurumları ve özel sektör ile iş birliği içinde çalışan, düzenleyici ve yönlendirici bir rol üstlenmektedir. Öne çıkan bazı örnekler şunlardır:

Fransa: Ulusal Siber Güvenlik Ajansı – ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), ulusal düzeyde siber güvenliği sağlayan temel kuruluştur. Ancak, yaptırım yetkisi sınırlıdır ve özel sektörle iş birliği odaklıdır.
Almanya: Federal Bilgi Güvenliği Ofisi – BSI (Bundesamt für Sicherheit in der Informationstechnik), siber güvenlik düzenlemelerini belirleyen bir devlet ajansıdır, ancak uygulama ve yaptırım konusunda geniş yetkilere sahip değildir.
İngiltere: Ulusal Siber Güvenlik Merkezi – NCSC (National Cyber Security Centre), hem kamu hem de özel sektörle yakın iş birliği içinde çalışarak rehberlik sağlarken, doğrudan bir yaptırım gücü yerine koordinasyon ve destek mekanizmaları sunmaktadır.

Türkiye’nin Siber Güvenlik Kanunu Teklifi ile Avrupa’daki ulusal otoriteler arasındaki farklar şu şekildedir:

Özellik	Fransa (ANSSI)	Almanya (BSI)	İngiltere (NCSC)	Türkiye Siber Güvenlik Kanunu Teklifi
Kurumsal Yetki	Yönlendirici ve destekleyici	Düzenleyici ama yaptırım yetkisi sınırlı	Özel sektörle iş birlikçi, rehberlik sunuyor	Tek bir otorite altında toplanan merkezi bir sistem
Özel Sektör İş Birliği	Yüksek	Orta	Çok yüksek	Sınırlı, işletmelere yükümlülük odaklı
Denetim ve Yaptırımlar	Yaptırımlar sınırlı	Düzenleyici ancak doğrudan yaptırım gücü yok	Daha çok teşvik edici mekanizmalar sunuyor	Ağır idari yaptırımlar ve cezalar öngörülüyor
Uluslararası İş Birliği	AB ile tam uyumlu	AB ile tam uyumlu	NATO ve Five Eyes entegrasyonu	AB ve NATO ile entegrasyon konusunda belirsizlikler var

Bu karşılaştırma gösteriyor ki, Türkiye’nin yeni siber güvenlik modeli, Avrupa’daki ülkelere kıyasla daha merkeziyetçi ve devlet kontrolü ağırlıklı bir yapıyı öngörmektedir. Avrupa ülkelerinde siber güvenlik, genellikle özel sektörle ortak yürütülen, teşvik edici ve yönlendirici mekanizmalarla şekillendirilirken, Türkiye’de ağır yaptırımlara ve doğrudan devlet kontrolüne dayalı bir model tercih edilmiştir.

2. ABD Modeli: NSA ve Siber Güvenlik Stratejisi

ABD’de siber güvenlik politikaları genellikle Ulusal Güvenlik Ajansı (NSA), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Federal Soruşturma Bürosu (FBI) gibi kurumlar tarafından yürütülüyor. Ana özellikler şunlardır:

Savunma ve saldırı odaklı yaklaşım: NSA, sadece siber güvenliği sağlamakla kalmıyor, aynı zamanda siber saldırılar düzenleyerek istihbarat toplama görevini de yürütüyor.
Özel sektör ile yakın iş birliği: ABD’de büyük teknoloji firmaları, finans sektörü ve hükümet arasında sıkı bir koordinasyon bulunuyor.
Kritik altyapılara özel düzenlemeler: ABD, enerji, sağlık, finans gibi kritik sektörlere yönelik ayrı ayrı siber güvenlik standartları belirliyor.

Türkiye’nin teklifi ile ABD modeli kıyaslandığında bazı benzerlikler ve farklılıklar şunlardır:

Özellik	ABD Modeli (NSA & CISA)	Türkiye Siber Güvenlik Kanunu Teklifi
Kurumsal Yetki	NSA/CISA düzenleyici, operasyonel roller farklı kurumlarda	Tüm yetkiler Siber Güvenlik Başkanlığı’nda toplanıyor
Özel Sektör İş Birliği	Büyük teknoloji firmaları ile doğrudan koordinasyon	Özel sektör üzerindeki yükümlülükler katı, iş birliği mekanizması belirsiz
Uluslararası Etkileşim	NATO ve Five Eyes iş birliği ağı	Türkiye’nin uluslararası iş birlikleri sınırlı

Bu kıyaslamalara göre, Türkiye’nin modelinin daha merkeziyetçi ve devlet kontrolü ağırlıklı olduğu görülmektedir. Avrupa’daki modeller iş birlikçi ve teşvik edici, ABD modeli ise güvenlik ve istihbarat odaklı iken, Türkiye’nin teklifi ağır yaptırımlar ve merkezi denetim mekanizmaları içermektedi.

Özellikle Avrupa’daki ulusal siber güvenlik otoritelerinin rehberlik ve koordinasyon rolüne odaklanırken, Türkiye’nin modelinin ağır yaptırımlara ve sıkı devlet kontrolüne dayanması, özel sektörle iş birliği konusunda zorluklar yaratabilir. Daha dengeli ve uygulanabilir bir çerçeve için uluslararası iyi uygulamalardan ilham alınarak kanun teklifinde bazı revizyonlara gidilmesi önem taşımaktadır.

VI. DEMOKRATİK HUKUK DEVLETİ PERSPEKTİFİNDEN DEĞERLENDİRME

Siber güvenlik, devletlerin ulusal güvenlik politikalarının merkezine yerleşirken, bireysel hak ve özgürlükler ile devletin güvenlik politikaları arasındaki dengeyi korumak giderek daha karmaşık hale geliyor. Türkiye’nin Siber Güvenlik Kanunu Teklifi, güvenliği güçlendirme iddiası taşırken, bazı yönleriyle demokratik denetim mekanizmaları, kişisel verilerin korunması ve özel sektör üzerindeki etkileri açısından eleştiriye açık bir yapı sunuyor. Bu bölümde, teklifin potansiyel riskleri ve eksik yönleri ele alınarak demokratik hukuk devleti ilkeleri ışığında bir değerlendirme yapılacaktır.

1. Yetki Yoğunlaşması ve Demokratik Denetim Eksikliği

Kanun teklifi, Siber Güvenlik Başkanlığı’na geniş ve güçlü yetkiler tanıyor. Başkanlık, kritik altyapıları denetleme, yaptırım uygulama, veri toplama ve inceleme yetkisine sahip olacak. Ancak, bu yetkilerin denetimi ve hesap verilebilirliği konusunda belirgin mekanizmalar öngörülmemiş durumda. Demokratik hukuk devletlerinde, böylesine güçlü yetkilere sahip bir kurumun bağımsız denetim organları tarafından izlenmesi gerekmektedir.

Sorun: Başkanlık doğrudan Cumhurbaşkanlığı’na bağlı olacak ve yargı denetimi dışında kalan işlemler yapabilecek mi?
Öneri: TBMM veya bağımsız bir siber güvenlik denetleme kurulu oluşturularak hesap verilebilirlik mekanizmalarının güçlendirilmesi sağlanmalı.

2. Kişisel Verilerin Korunması ve Gözetim Endişesi

Teklifin 6. ve 7. maddeleri, başkanlığa geniş çapta veri toplama ve inceleme yetkileri veriyor. Bu durum, kişisel verilerin korunması açısından büyük soru işaretleri doğuruyor. AB’de, GDPR gibi sıkı veri koruma düzenlemeleri bulunurken, Türkiye’deki kanun teklifinde veri güvenliğini sağlayacak mekanizmalar yetersiz.

Sorun: Başkanlık, veri saklama süreleri, hangi kurumlarla paylaşılacağı ve hangi durumlarda kullanılacağı konusunda şeffaf olmayan yetkilere sahip.
Öneri: Kişisel Verileri Koruma Kurumu’nun (KVKK) rolü güçlendirilmeli, Başkanlığın veri erişim yetkileri sınırlandırılmalı ve bağımsız bir gözetim mekanizması oluşturulmalıdır.

3. Özel Sektör Üzerindeki Yük ve Rekabet Endişesi

Teklif, siber güvenlik önlemlerini sıkılaştırırken, özellikle özel sektör üzerindeki yükleri artırıyor. Küçük ve orta ölçekli işletmeler için yeni yükümlülükler getiriliyor:

Zorunlu siber güvenlik sertifikaları
Sürekli denetimler ve yaptırım tehdidi
Uluslararası siber güvenlik standartlarıyla uyum konusundaki belirsizlikler

Bu durum, özellikle küçük işletmelerin rekabet gücünü zayıflatabilir ve büyük şirketlere daha fazla avantaj sağlayabilir. Özel sektörle daha fazla iş birliği yapılmadan düzenleyici baskının artırılması, ekonomik sürdürülebilirlik açısından risk oluşturabilir.

Sorun: Özellikle küçük işletmeler için denetim süreçleri ve sertifikasyon maliyetleri büyük bir yük haline gelebilir.
Öneri: İşletme büyüklüğüne göre kademeli uyum süreçleri oluşturulmalı ve özel sektörle daha fazla diyalog sağlanmalıdır.

4. İdari Para Cezalarının Baskı Unsuru Haline Gelme Riski

Teklif, siber güvenlik kurallarına uymayan işletmelere yönelik idari para cezalarını önemli ölçüde artırıyor. Mevcut düzenlemede 1 milyon TL ile 100 milyon TL arasında değişen idari para cezaları öngörülüyor. Bu cezaların hangi kriterlere göre belirleneceği konusunda belirsizlikler bulunuyor.

Sorun: Aşırı yüksek cezalar, belirsiz düzenlemeler nedeniyle şirketler üzerinde keyfi baskı unsuru haline gelebilir.
Öneri: Cezai yaptırımların net kriterlere bağlanması ve hukuk devleti ilkeleri çerçevesinde orantılı olması sağlanmalıdır.

5. Yargısal Denetim ve Hukuki Güvenceler

Teklifin en büyük eksiklerinden biri, yargısal denetimin sınırlarının belirsiz olmasıdır. Örneğin, Siber Güvenlik Başkanlığı’nın vereceği kararların idari yargı tarafından ne ölçüde denetlenebileceği net değildir.

Sorun: Başkanlık yetkileri konusunda bireysel başvurular ve hak arama yolları belirsiz bırakılmış.
Öneri: Başkanlık kararlarının yargısal denetime açık olması sağlanmalı ve bireylerin itiraz mekanizmaları güçlendirilmelidir.

Sonuç olarak, Siber Güvenlik Kanunu Teklifi, güvenliği sağlamak adına geniş yetkiler ve ağır yaptırımlar getirirken, bireysel hak ve özgürlükler ile özel sektör üzerindeki etkileri açısından bazı riskler barındırıyor. Demokratik hukuk devleti ilkeleri çerçevesinde yetkilerin sınırlandırılması, denetim mekanizmalarının güçlendirilmesi ve özel sektör üzerindeki yüklerin azaltılması için revizyonlar yapılmalıdır.

VII. SEKTÖR VE UYGULAMA BOYUTU

Siber güvenlik alanında çıkarılan yasaların sadece teorik bir çerçeve sunması yeterli değildir. Gerçek dünya uygulamaları ve sektör üzerindeki etkileri, yasanın başarısını belirleyen en önemli unsurlardan biridir. Türkiye’nin yeni Siber Güvenlik Kanunu Teklifi, özel sektör, kamu kurumları ve bireyler açısından önemli yükümlülükler ve dönüşümler getirmektedir. Bu bölümde, teklifin uygulama süreci, sektörel etkileri ve uygulanabilirlik açısından karşılaşılabilecek zorluklar değerlendirilecektir.

1. Telekomünikasyon ve İnternet Servis Sağlayıcıları (İSS’ler) Üzerindeki Etkiler

Siber güvenlik düzenlemeleri, doğrudan telekomünikasyon ve internet servis sağlayıcılarını (İSS) ilgilendiren hükümler içermektedir. Teklif, İSS’lere yeni yükümlülükler getirirken, bazı konularda uygulama belirsizlikleri barındırmaktadır:

Zorunlu siber güvenlik önlemleri: Teklif, tüm İSS’lerin belirli siber güvenlik standartlarına uymasını zorunlu kılıyor. Ancak bu standartların hangi kriterlere dayanacağı net değil.
Log kaydı saklama yükümlülüğü: İSS’ler, belirli bir süre boyunca internet kullanıcılarının verilerini saklamakla yükümlü olacak. Bu, hem kişisel veri mahremiyeti açısından tartışmalı hem de operasyonel maliyetleri artırıcı bir düzenleme.
Denetimler ve yaptırımlar: BTK’nın yetkilerinin devredildiği Siber Güvenlik Başkanlığı, İSS’ler üzerinde sıkı denetimler yapabilecek. Ancak denetim kriterleri belirsiz olduğu için sektörde belirsizlik yaratabilir.

Öneri: Yasa metnine, İSS’ler için uygulanabilir ve net uyumluluk kriterleri eklenmeli, özel sektörle istişare süreçleri oluşturulmalıdır.

2. Kritik Altyapı İşletmeleri ve Kamu Kurumları

Yeni yasa, kritik altyapıları işleten kamu ve özel sektör kurumlarına da yeni yükümlülükler getirmektedir:

Enerji, finans, sağlık, ulaşım gibi sektörlerde faaliyet gösteren kuruluşlar, siber güvenlik risk analizleri yapmak ve belirlenen güvenlik önlemlerini uygulamak zorunda kalacak.
Bu sektörlerde meydana gelen siber saldırılar, Başkanlık’a bildirilmek zorunda olacak.
Kritik altyapılarda kullanılan siber güvenlik ekipmanlarının yerli ve milli olmasına yönelik teşvikler getiriliyor.

Ancak, bu süreçlerin nasıl yürütüleceği, ne tür sertifikasyonlar gerekeceği ve kurumların finansal destek alıp almayacağı netleştirilmemiş durumda.

Öneri: Özellikle kritik altyapılar konusunda, sektör temsilcileri ile iş birliği içinde sektörel bazda yol haritaları oluşturulmalı ve altyapı güvenliğini artırıcı teşvik mekanizmaları geliştirilmelidir.

3. Özel Sektör ve KOBİ’ler Üzerindeki Etkiler

Yasanın en büyük etkilerinden biri, KOBİ’ler ve özel sektör şirketleri üzerinde olacaktır. Siber güvenlik, büyük şirketler için yönetilebilir bir operasyon olsa da, küçük ve orta ölçekli işletmeler için büyük bir mali yük haline gelebilir:

Zorunlu SOME (Siber Olaylara Müdahale Ekibi) kurma gerekliliği: Küçük işletmelerin böyle bir yapıyı sürdürebilmesi maliyetli olabilir.
Siber güvenlik sertifikasyon süreçleri: Küçük işletmelerin, siber güvenlik gerekliliklerine uyum sağlaması için ek yatırımlar yapması gerekecek.
Denetim ve yaptırımlar: Küçük ölçekli işletmelere yönelik ağır idari para cezaları, iş yapmayı zorlaştırabilir.

Öneri: Küçük ölçekli işletmelere kademeli geçiş süreci tanınmalı, ortak SOME kurulmasına olanak tanıyan esnek düzenlemeler getirilmelidir.

4. Siber Güvenlik Eğitim ve İnsan Kaynağı Boyutu

Türkiye’de nitelikli siber güvenlik uzmanı açığı, yıllardır dile getirilen bir sorundur. Yeni yasa, insan kaynağı oluşturma hedefi taşısa da, bunu nasıl sağlayacağı konusunda detaylar belirsizdir.

Yeni Siber Güvenlik Başkanlığı, uzman personel yetiştirme sorumluluğu üstlenecek ancak bunun hangi mekanizmalarla yapılacağı belirtilmemiş.
Üniversitelerde siber güvenlik bölümlerinin teşvik edilmesi gibi politikalar içermiyor.
Özel sektörle iş birliği içinde eğitim programlarının geliştirilmesi teşvik edilmemiş.

Öneri: İnsan kaynağı eksikliğini gidermek için üniversiteler, özel sektör ve kamu iş birliği ile siber güvenlik eğitimleri artırılmalı, staj ve istihdam destek mekanizmaları oluşturulmalıdır.

5. Uluslararası Uygulama ile Uyumluluk Sorunu

Türkiye’nin siber güvenlik düzenlemelerinin AB ve diğer uluslararası standartlarla ne kadar uyumlu olduğu, yasaların uygulanabilirliği açısından büyük önem taşımaktadır. Yeni teklif, uluslararası iş birlikleri ve standartlarla entegrasyon konusunda eksiklikler barındırıyor:

AB’nin Siber Güvenlik Yasası (Cybersecurity Act) ve NIS Direktifi ile doğrudan bir uyumluluk hedeflenmemiş.
Türkiye’nin NATO ve diğer siber güvenlik iş birliklerine nasıl entegre olacağı konusunda net bir çerçeve yok.
Özellikle veri transferleri ve küresel siber güvenlik standartlarına uyum açısından belirsizlikler mevcut.

Öneri: Yasa, AB’nin ve diğer uluslararası kurumların standartları ile uyumlu hale getirilmeli ve uluslararası iş birlikleri konusunda detaylı stratejiler geliştirilmelidir.

Sonuç olarak, Siber Güvenlik Kanunu Teklifi’nin sektöre olan etkileri kapsamlı ve çok boyutludur. Ancak, uygulama süreçleri, özel sektör üzerindeki etkileri ve uluslararası entegrasyon eksiklikleri dikkate alındığında, bazı revizyonlara ihtiyaç duyulmaktadır.

VIII. SONUÇ VE ÖNERİLER

Türkiye’nin Siber Güvenlik Kanunu Teklifi, dijital çağın en büyük güvenlik risklerinden biri olan siber saldırılara karşı bütüncül bir yasal çerçeve oluşturmayı amaçlıyor. Ancak, yapılan analizler, teklifin bazı kritik eksiklikler ve riskler barındırdığını gösteriyor. Bu nedenle, teklifin uygulanabilirliği, etkisi ve sürdürülebilirliği açısından belirli revizyonlara ihtiyaç duyulmaktadır.

1. Güçlü Yönler

Teklifin getirdiği bazı olumlu yönler şunlardır:

Merkezi bir siber güvenlik yönetimi sağlanıyor: Siber Güvenlik Başkanlığı ve Siber Güvenlik Kurulu’nun oluşturulmasıyla kurumsal yetki karmaşasının önüne geçilmesi hedefleniyor.
Kritik altyapılar korunuyor:Enerji, sağlık, finans gibi kritik sektörlerde siber güvenlik önlemleri sıkılaştırılarak ulusal güvenlik açısından önemli adımlar atılıyor.
Sertifikasyon ve standartlar getiriliyor: Siber güvenlik ürünlerinin sertifikalandırılması ve belirli güvenlik kriterlerine bağlanması sektörde kalite standartlarını artırabilir.
Siber suçlara karşı caydırıcı yaptırımlar geliyor: 8-12 yıl hapis cezaları ve 100 milyon TL’ye varan para cezaları, saldırganlar üzerinde caydırıcı bir etki yaratabilir.

2. Zayıf Yönler ve Riskler

Ancak teklifin uygulanabilirliği açısından bazı zayıf yönler ve riskler de bulunmaktadır:

Yetki yoğunlaşması ve demokratik denetim eksikliği: Başkanlık’a verilen geniş yetkiler, bağımsız bir denetim mekanizması olmadan uygulandığında keyfi karar alma riskini artırabilir.
Özel sektör üzerindeki ağır yükler:Küçük ve orta ölçekli işletmeler için getirilen zorunlu SOME kurma, yüksek maliyetli denetimler ve sertifikasyon süreçleri, işletmelerin rekabet gücünü düşürebilir.
Kişisel verilerin korunması konusundaki belirsizlikler: Kanun teklifi, kişisel veri güvenliği ve mahremiyetle ilgili yeterli güvenceleri sağlamıyor. Veri toplama yetkilerinin genişletilmesi, bireysel hak ihlalleri riskini doğurabilir.
Uluslararası uyumluluk eksikliği: Türkiye’nin siber güvenlik çerçevesi, AB ve diğer uluslararası standartlarla yeterince entegre değil. Bu durum, küresel iş birliklerini ve ticareti olumsuz etkileyebilir.
İdari para cezalarının keyfi uygulanma riski: Şirketler üzerinde ağır para cezaları bir baskı unsuru haline gelebilir, hukuk devleti ilkelerine uygun olmayan bir denetim rejimi oluşturabilir.

3. Öneriler

Yasanın daha dengeli, uygulanabilir ve sürdürülebilir olması için aşağıdaki öneriler dikkate alınmalıdır:

Yetki ve denetim mekanizmaları güçlendirilmelidir: Siber Güvenlik Başkanlığı’nın yetkileri TBMM veya bağımsız bir denetim kurumu tarafından izlenmelidir.
Özel sektör üzerindeki yükler azaltılmalıdır: Küçük ve orta ölçekli işletmeler için daha kademeli ve esnek yükümlülükler getirilmelidir.
Kişisel verilerin korunması güvence altına alınmalıdır: KVKK ile koordinasyon sağlanmalı ve veri erişimi şeffaf mekanizmalara bağlanmalıdır.
Uluslararası standartlarla uyumluluk sağlanmalıdır: AB’nin NIS Direktifi ve Siber Güvenlik Yasası ile daha fazla entegrasyon sağlanmalıdır.
İdari cezalar adil ve ölçülü hale getirilmelidir: Ceza mekanizmaları orantılı ve hukuk devleti ilkelerine uygun hale getirilmelidir.
İnsan kaynağı ve eğitim süreçleri güçlendirilmelidir:Üniversitelerde siber güvenlik bölümlerinin teşvik edilmesi ve kamu-özel sektör iş birliğiyle nitelikli uzman yetiştirilmesi sağlanmalıdır.

4. Son Söz: Yasa Ne Kadar Başarılı Olabilir?

Yeni Siber Güvenlik Kanunu Teklifi, Türkiye’nin siber güvenlik altyapısını güçlendirmek için önemli bir fırsat sunuyor. Ancak, hızlı ve sert düzenlemeler yerine, sektörle birlikte kademeli olarak uygulanabilir reformlar yapılması gerekmektedir.

Eğer yukarıda belirtilen eksiklikler giderilirse, yasa Türkiye’nin dijital geleceğini güvence altına alabilir ve uluslararası rekabet gücünü artırabilir. Ancak, eğer revize edilmeden uygulanırsa, Türkiye’nin dijital geleceğini güçlendirmek yerine merkeziyetçi bir gözetim mekanizması yaratma riski taşıyor. Bu nedenle, denetim mekanizmalarının bağımsız hale getirilmesi, özel sektörle daha fazla iş birliği sağlanması ve kişisel verilerin korunması için şeffaf bir çerçevenin oluşturulması zorunludur.

Siber güvenlik, sadece devletin kontrolü altında şekillendirilmesi gereken bir alan değildir. Etkili bir siber güvenlik politikası; devlet, özel sektör, akademi ve sivil toplumun ortak çabasıyla mümkün olabilir. Eğer yeni kanun, bu çok paydaşlı yapıyı göz ardı ederse, uzun vadede siber tehditlere karşı daha kırılgan bir yapı ortaya çıkabilir.

Bu noktada, en kritik soru şu: Türkiye, siber güvenliği sağlarken bireysel hak ve özgürlükleri ne kadar koruyabilecek? Bu sorunun cevabı, yasanın nasıl uygulandığına ve ne tür denetim mekanizmalarının oluşturulduğuna bağlı olacaktır

Yazdır