info@kubrayildiz.av.tr
Öksüzler Sok. No:37 Hamamönü / ANKARA
Whatsapp
+903123639900
 

Siber Güvenlik KanunuSiber Güvenlik Kanunu 5. Madde Başkanlığın Görevleri

19 Mart 2025

Başkanlığın görevleri

Siber Güvenlik Kanunu MADDE 5- (1) Başkanlığın görevleri şunlardır:

a) İlgili mevzuatta yer alan görevleri yapmak.

b) Kritik altyapılar ve bilişim sistemlerinin siber dayanıklılığının artırılmasına, siber saldırılara karşı korunmasına, gerçekleştirilen siber saldırıların tespitine, muhtemel saldırıların önlenmesine ve etkilerinin azaltılmasına veya ortadan kaldırılmasına yönelik faaliyet yürütmek, bu kapsamda zafiyet ve sızma testleri ile varlıklara yönelik risk analizleri yapmak veya yaptırmak, siber tehditlerle mücadele etmek, siber tehdit istihbaratı elde etmek, oluşturmak ve paylaşmak, zararlı yazılım inceleme faaliyetleri yürütmek.

c) Kritik altyapılar ile ait oldukları kurumları ve konumları belirlemek.

ç) Kamu kurum ve kuruluşları ile kritik altyapıların veri envanteri dâhil olmak üzere tüm varlıklarının envanterinin tutulmasını ve varlıklara yönelik risk analizinin gerçekleştirilmesini sağlamak, kamu kurum ve kuruluşları ile kritik altyapıların sahip olduğu varlıkların kritikliğine göre güvenlik tedbirlerini almak veya aldırmak.

d) SOME’ler kurmak, kurdurmak ve denetlemek, SOME’lerin olgunluk seviyelerinin belirlenmesi ve artırılması için çalışmalar yapmak, siber güvenlik tatbikatları gerçekleştirerek SOME’lerin siber olay müdahale kabiliyetlerini ölçmek, diğer ülkelerin siber olaylara müdahale ekipleriyle koordinasyon kurmak, her türlü siber müdahale aracının ve milli çözümlerin üretilmesi ve geliştirilmesi amacıyla çalışmalar yapmak, yaptırmak ve bunları teşvik etmek.

e) Siber güvenlik alanında faaliyet gösterenlerin uyması gereken usul ve esasları düzenlemek.

f) Kamu kurum ve kuruluşları ile kritik kamu hizmetlerinin siber güvenliğini sağlamak amacıyla gerekli altyapıları kurmak, kurdurmak, işletmek, işlettirmek ve kamu kurum ve kuruluşlarına güvenli sistem ve altyapılar üzerinden barındırma hizmeti sunmak veya sunulmasını sağlamak, bu faaliyetlere yönelik uygulama usul ve esaslarını belirlemek.

g) Siber güvenlik alanına ilişkin standartları hazırlamak, diğer kişi veya kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğu takdirde standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek.

ğ) Siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifikasyon işlemlerini yürütmek, buna yönelik test altyapıları kurmak, kurdurmak ve işletmek ile siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme işlemlerini ilgili kurumlarla koordineli olarak yürütmek.

h) Siber güvenlik denetimini gerçekleştirmek ve sonucuna göre yaptırım uygulamak.

ı) Kamu kurum ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün ve hizmetleri ile bunları sağlayacak işletmelerin taşıması gereken niteliklere yönelik teknik kriterler belirlemek ve mevzuat düzenlemeleri yapmak, bunların denetimini yapmak ya da yaptırmak, denetimleri yapacak kuruluşların taşımaları gereken nitelikleri belirlemek, bu kuruluşları görevlendirmek, gerektiğinde görevlendirmeyi geçici olarak durdurmak ya da iptal etmek.

Giriş

Bilgi teknolojilerinin yaygınlaşmasıyla birlikte siber tehditlerin boyutları ve çeşitleri artmakta, buna bağlı olarak siber güvenliğin sağlanması da devletlerin temel sorumlulukları arasına girmektedir. Bu nedenle, Türkiye gibi ülkelerde siber güvenlik faaliyetlerinin etkin biçimde yürütülmesi için yasal ve kurumsal altyapılar oluşturulmuştur. Bu altyapılardan biri olan Siber Güvenlik Başkanlığı, özellikle kritik altyapılar ve kamu kurumlarının korunması amacıyla kurulmuştur. MADDE 5, Başkanlığın görev ve yetkilerini kapsamlı biçimde ortaya koymaktadır. Bu makalede, ilgili maddenin içerdiği görevler ayrıntılı biçimde incelenerek, her görevin hukuki ve pratik boyutları analiz edilecektir.

MADDE 5 – Görevlerin Ayrıntılı Analizi

MADDE 5’in ilk fıkrasında Siber Güvenlik Başkanlığı’nın görevleri kapsamlı bir şekilde tanımlanmıştır. Başkanlığın temel görevleri, siber tehditlerle mücadeleden teknik standartların belirlenmesine, kamu kurumlarının denetlenmesinden acil müdahale ekiplerinin yönetimine kadar geniş bir yelpazede sıralanmıştır.

İlgili Mevzuatta Yer Alan Görevleri Yapmak

Başkanlığın görevleri arasında ilk sırada, diğer mevzuatta yer alan görevlerin yerine getirilmesi bulunmaktadır. Bu genel düzenleme, Başkanlığın siber güvenlikle ilgili diğer kanun ve yönetmeliklerle verilen tüm görev ve sorumluluklarını da kapsar. Böylelikle, Başkanlığın faaliyetlerinin bütüncül ve çok yönlü olması sağlanmak istenmiştir. Bu görev, Başkanlığın yalnızca tek bir kanun çerçevesinde değil, farklı hukuk kaynaklarında da tanımlanmış görevleri yerine getirme yetkisini vurgular.

Kritik Altyapıların Siber Güvenliğinin Sağlanması

MADDE 5’in en kritik görevlerinden biri de ülkenin kritik altyapılarının korunmasıdır. Kritik altyapılar, ulusal güvenlik ve toplumsal düzen açısından hayati önem taşıyan tesisler ve sistemlerdir. Elektrik, ulaşım, sağlık, finans gibi alanlarda gerçekleşecek siber saldırıların etkileri son derece ciddi olabilir. Bu sebeple, Başkanlık kritik altyapıların dayanıklılığını artırmak, siber saldırılara karşı korunmalarını sağlamak, saldırıları önceden tespit ederek engellemek veya etkilerini azaltmak için çalışmalar yürütmektedir.

Başkanlık, bu görev kapsamında sızma testleri, zafiyet analizleri ve risk değerlendirmeleri yapmakta veya yaptırmakta, siber tehdit istihbaratı faaliyetleriyle potansiyel tehditleri önceden belirleyerek önleyici tedbirler almaktadır. Ayrıca, zararlı yazılımları inceleyerek bunlara karşı gerekli önlemlerin geliştirilmesini sağlamaktadır. Böylece, kritik altyapıların dayanıklılığı artırılarak, kamu hizmetlerinin kesintiye uğraması riski minimize edilir.

Kritik Altyapıların ve Kurumların Tespiti Görevi

Başkanlığın bir diğer temel görevi de kritik altyapıların belirlenmesi ve bu altyapıların hangi kurumlara ait olduğunun tespit edilmesidir. Bu görev, kapsamlı bir tespit ve analiz sürecini gerektirir. Kritik altyapıların sınıflandırılması, korunması gereken öncelikli tesislerin doğru belirlenmesi, kaynakların doğru kullanımına imkân tanır. Bu faaliyet, kritik altyapılar için ayrıcalıklı güvenlik önlemleri alınmasını sağlar ve bu altyapıların siber güvenliğini artırıcı politikaların geliştirilmesine olanak tanır.

Kamu Kurum ve Kuruluşlarının Varlık Envanterinin Yönetimi

Başkanlığın görevleri arasında kamu kurum ve kuruluşlarının sahip olduğu bilişim varlıklarının detaylı envanterinin tutulması da vardır. Bu varlıkların kritikliği belirlendikten sonra, bunlara yönelik risk analizlerinin gerçekleştirilmesi ve gerekli güvenlik tedbirlerinin alınması veya aldırılması gerekir. Kamu kurumlarının sahip olduğu veri envanterlerinin düzenli olarak güncellenmesi ve korunması, Başkanlığın yükümlülüğü altındadır. Bu görev, kamu varlıklarının şeffaf biçimde takip edilmesi ve yönetilmesi açısından büyük önem arz etmektedir.

SOME’lerin Kurulması ve Denetlenmesi

Siber Olaylara Müdahale Ekipleri (SOME), siber olaylar karşısında etkin müdahalede bulunmak üzere oluşturulmaktadır. Başkanlık, kamu kurum ve kuruluşlarında SOME’lerin kurulmasını sağlamak, bunları denetlemek ve etkinliklerini geliştirmekle yükümlüdür. Bu kapsamda Başkanlık, SOME’lerin performansını ölçmek için tatbikatlar yapabilir, bu ekiplerin eğitim ihtiyaçlarını karşılar ve gerekirse bu ekiplerin faaliyetlerini yönlendirir. Ayrıca, uluslararası düzeyde koordinasyonu sağlayarak siber olaylara küresel ölçekte etkin müdahale imkânı oluşturur.

Siber Güvenlik Standartlarının Belirlenmesi ve Denetimi

Başkanlık, siber güvenlikle ilgili standartların hazırlanması ve bunların uygulanmasını sağlama görevini de üstlenir. Bu standartlar, ülke çapında siber güvenlik faaliyetlerinin ortak kriterlerle yürütülmesini sağlar ve uluslararası normlara uygun olarak düzenlenir. Başkanlık, mevcut standartları değerlendirerek uygun gördüklerini ulusal standart olarak benimser ve bu standartların uygulanmasını denetler.

Sertifikasyon ve Yetkilendirme Görevleri

Başkanlığın görevleri arasında siber güvenlik uzmanları ve şirketlerine yönelik sertifikasyon, yetkilendirme ve belgelendirme işlemlerini yürütmek de bulunmaktadır. Bu görev, uzmanların yeterliliklerinin standartlaşmasını ve hizmet kalitesinin artmasını sağlamayı amaçlamaktadır. Böylece sektörde görev yapan kişilerin uzmanlıkları objektif kriterlere göre ölçülerek, hizmetlerin kalitesi artırılmış olur.

Siber Güvenlik Denetimi ve Yaptırımların Uygulanması

Başkanlık, kamu kurumları ve kritik altyapılarda siber güvenlik denetimlerini gerçekleştirir. Denetim sonuçlarına göre uygun bulunmayan durumlarda çeşitli yaptırımlar uygulama yetkisine de sahiptir. Bu denetimler, siber güvenlik tedbirlerinin etkinliğini ve uygulanabilirliğini artırmaya yönelik hayati önem taşır.

Başkanlığın Görevlerinin Uygulama Süreçleri ve İşleyişi

Siber Güvenlik Başkanlığı’nın görevlerinin tanımlanmasının ardından, bu görevlerin pratikte nasıl uygulanacağı, hangi mekanizmalarla yürütüleceği ve süreç içerisinde hangi zorluklarla karşılaşılabileceği kritik öneme sahiptir. Bu bölümde Başkanlığın görevlerinin uygulama aşamasına odaklanarak karşılaşılabilecek güçlükler ve çözüm önerileri değerlendirilecektir.

Görevlerin Uygulanmasına İlişkin Yöntemler ve Süreçler

Siber Güvenlik Faaliyetlerinin Koordinasyonu ve Yönetimi

Başkanlık, kritik altyapılarda ve kamu kurumlarında siber saldırılara karşı proaktif bir yaklaşım benimsemeli, tehditlerin önceden belirlenmesine yönelik istihbarat faaliyetlerini aktif şekilde sürdürmelidir. Bu bağlamda, düzenli aralıklarla siber güvenlik tatbikatları gerçekleştirmek, kriz yönetimi süreçlerini güçlendirmek ve sürekli risk değerlendirmesi yapmak gerekmektedir.

Başkanlık tarafından yürütülen bu faaliyetlerin etkinliği büyük ölçüde kurumlar arası iş birliğinin gücüne bağlıdır. Bu nedenle kamu kurumları ve özel sektör arasındaki iş birliği platformlarının oluşturulması, Başkanlığın görevlerinin etkin biçimde uygulanabilmesi için önemlidir.

Uygulamada Karşılaşılan Olası Zorluklar

Kurumlar Arası Koordinasyon Eksikliği

Başkanlığın görevlerinin önemli bir kısmı, kurumlar arası etkin bir koordinasyonu gerektirir. Ancak pratikte, kamu kurumları arasında eşgüdüm eksikliği, bilgi paylaşımının sınırlı olması ve bürokratik engeller nedeniyle bu koordinasyon zayıf kalabilir.

Çözüm Önerisi:
Başkanlığın liderliğinde merkezi bir koordinasyon birimi oluşturularak kamu kurumları arasında açık ve hızlı iletişim kanallarının kurulması ve ortak veri paylaşım sistemlerinin geliştirilmesi gereklidir. Kurumlar arasında net sorumluluk dağılımı ve periyodik toplantılarla koordinasyonun artırılması sağlanabilir.

Siber Tehditlerin Sürekli Değişen Yapısı

Siber tehditler sürekli olarak evrimleşen dinamik bir yapıdadır. Tehditlerin hızlı ve karmaşık doğası, Başkanlığın müdahale kapasitesini zorlaştırabilir. Özellikle yeni ortaya çıkan tehditlere karşı önleyici tedbirlerin zamanında alınamaması riski söz konusudur.

Önerilen Çözüm:

Başkanlık, tehditleri gerçek zamanlı izleyebilen ileri düzey tehdit istihbarat sistemleri kurmalı ve uluslararası siber güvenlik örgütleri ile sürekli bilgi alışverişinde bulunmalıdır. Ayrıca, tehditlerle mücadelede makine öğrenmesi ve yapay zekâ gibi yenilikçi teknolojilere yatırım yapılmalıdır.

Nitelikli İnsan Kaynağı Eksikliği

Başkanlığın görevlerini yerine getirebilmesi için yetkin ve nitelikli insan kaynağına ihtiyaç duyulur. Ancak siber güvenlik alanında yetişmiş uzman eksikliği, kurumların bu görevleri yerine getirmesini zorlaştıran temel faktörlerden biridir.

Önerilen Çözüm:

Siber güvenlik alanında uzman yetiştirmek amacıyla, Başkanlık ve üniversiteler arasında ortak eğitim ve sertifika programları düzenlenmeli, genç yeteneklere cazip istihdam fırsatları sunulmalıdır. Uluslararası eğitim ve sertifika programlarıyla uzmanların yetkinlikleri artırılmalıdır.

Teknik ve Mali Kaynakların Yetersizliği

Başkanlığın faaliyetlerinin etkin olarak yürütülmesi, gelişmiş teknoloji altyapısı ve finansal kaynaklarla doğrudan bağlantılıdır. Ancak uygulamada, yeterli mali ve teknik kaynakların bulunamaması durumunda görevlerin yerine getirilmesi zorlaşacaktır.

Önerilen Çözüm:

Başkanlığın görevlerini eksiksiz yerine getirebilmesi için bütçesinin artırılması ve özel kaynaklarla desteklenmesi önemlidir. Ayrıca, özel sektörün siber güvenlik alanına yatırım yapmasını teşvik edecek mali ve yasal teşvik mekanizmalarının geliştirilmesi gerekir.

Standartlar ve Sertifikasyon Alanında Yaşanan Belirsizlikler

Başkanlığın standartları belirleme ve sertifikasyon görevleri, düzenlemelerin net ve uluslararası normlarla uyumlu olması gerekliliğini ortaya koyar. Ancak ulusal standartların oluşturulmasında yaşanan belirsizlikler ve standartların uluslararası kabul edilebilirliğinde yaşanan eksiklikler uygulamada sorunlara neden olabilir.

Önerilen Çözüm:

Başkanlık, uluslararası standartları yakından takip ederek ulusal standartların bu normlara uyumunu sağlamalı, sektör temsilcileriyle yakın iş birliği yaparak standartları daha uygulanabilir ve etkin hale getirmelidir.

Başkanlığın Görevlerinin Etkinliği İçin Genel Öneriler

Başkanlığın görevlerinin tam anlamıyla yerine getirilmesi ve etkinliğinin artırılması için aşağıdaki adımlar atılmalıdır:

  • Başkanlığın teknik ve mali kaynakları güçlendirilmeli, uzun vadeli bütçe planlaması yapılmalıdır.
  • Kamu kurumları arasında eşgüdümü artırmak için merkezi bir koordinasyon mekanizması oluşturulmalıdır.
  • Siber güvenlik uzmanlarının yetiştirilmesi için sürekli eğitim programları hayata geçirilmeli, insan kaynağı kapasitesi güçlendirilmelidir.
  • Düzenli ve sık aralıklarla siber güvenlik tatbikatları gerçekleştirilmeli, kurumların kriz yönetimi becerileri sürekli ölçülmelidir.
  • Başkanlığın faaliyetleriyle ilgili düzenli raporlama ve değerlendirme süreçleri şeffaf biçimde yürütülmeli, böylece hesap verebilirlik sağlanmalıdır.
  • Başkanlık, akademi ve özel sektör arasında güçlü iş birlikleri kurularak siber güvenlik alanındaki araştırma ve geliştirme faaliyetleri desteklenmeli ve milli çözümlerin geliştirilmesi teşvik edilmelidir.

Sonuç

MADDE 5’te belirlenen Başkanlığın görevlerinin uygulanmasında, teorik düzenlemeler kadar pratik çözümler ve etkin uygulama yöntemleri de önemlidir. Uygulama aşamasında karşılaşılan kurumlar arası koordinasyon zorlukları, kaynak kısıtları ve insan kaynağı eksikliği gibi unsurların aşılması için yukarıda sıralanan önerilerin dikkate alınması büyük önem taşımaktadır. Bu çözümlerle desteklenen etkin ve sürdürülebilir bir uygulama, Türkiye’nin siber güvenlik kapasitesini güçlendirecek, ülkeyi ulusal ve uluslararası tehditlere karşı daha dirençli hale getirecektir.

previous
Siber Güvenlik Kanunu 4. Madde Temel İlkeler
next
Siber Güvenlik Kanunu 6. Madde Başkanlığın Görev ve Yetkileri