Denetim
Siber Güvenlik Kanunu MADDE 8
(1) Başkanlık, bu Kanunda belirtilen görevleri ile ilgili olarak gerekli gördüğü hallerde Kanunun kapsamına giren her türlü fiil ve işlemi denetleyebilir; bu amaçla mahallinde inceleme yapabilir veya yaptırabilir. Denetim, bu Kanun kapsamındaki kurum, kuruluş ve ilgili diğer gerçek ve tüzel kişilerin bu Kanun hükümleriyle ilgili faaliyet ve işlemlerini kapsar. Denetime Başkanlık personeli, yetkilendirilmiş ve belgelendirilmiş bağımsız denetçiler ve bağımsız denetim kuruluşları yetkilidir. Bu yetki, Başkan tarafından görevlendirilenler tarafından kullanılır. Kamu kurum ve kuruluşları ile kritik altyapılarda denetimler, Başkanlık personelince veya refakatinde yapılır.
(2) Başkanlık, denetim faaliyetlerine ilişkin önemlilik ve öncelik ilkeleri ile risk değerlendirmelerinde dikkate alınacak ölçütleri ve uygulama esaslarını belirler. Denetim faaliyeti, önemlilik ve öncelik ilkeleri ile risk değerlendirmeleri kapsamında oluşturulacak program uyarınca yürütülür. Başkan, oluşturulan program dışında incelenmesi gerekli görülen hususlarda program dışı denetim yaptırabilir.
(3) Mülki amirler, kolluk kuvvetleri ve diğer kamu kurumlarının amir ve memurları inceleme veya denetimle görevlendirilenlere her türlü kolaylığı göstermek ve yardımda bulunmakla yükümlüdürler.
(4) Denetimle görevlendirilenler; yürüttükleri denetim faaliyetleriyle sınırlı olarak elektronik ortamdaki verinin, belgelerin, elektronik altyapının, cihaz, sistem, yazılım ve donanımlarının incelenmesi, bunlardan kopya, dijital suret veya örnek alınması, konuyla ilgili yazılı veya sözlü açıklama istenmesi, gerekli tutanakların düzenlenmesi, tesislerin ve işletiminin incelenmesi konularında yetkilidir. Denetime tabi tutulanlar, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almak zorundadır.
(5) Millî güvenlik, kamu düzeni, suç işlenmesinin veya siber saldırıların önlenmesi amacıyla hâkim kararı üzerine veya gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısının yazılı emri ile konutta, işyerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabilir, uzun süreli hizmet aksamasına yol açmayacak ve kesintisiz şekilde kopya çıkarma ve el koyma işlemi gerçekleştirilebilir. Çıkarılan kopyanın bir nüshası ilgilisine teslim edilir ve bu husus tutanağa geçirilerek imza altına alınır. Bu işlemlerin yapılabilmesi için makul sebeplerin oluştuğunun gerekçeleriyle birlikte gösterilmesi gerekir. Hâkim kararı olmaksızın yapılan arama ve gerçekleştirilen kopya çıkarma ve el koyma işlemleri yirmidört saat içinde görevli hâkimin onayına sunulur. Hâkim, kararını kırksekiz saat içinde açıklar; aksi hâlde çıkarılan kopyalar ve çözümü yapılan metinler derhâl imha edilir ve el koyma kendiliğinden kalkar. Yetkilendirilmiş veri merkezi işletmecilerinin veri merkezlerinde sadece hâkim kararıyla arama, kopya çıkarma ve el koyma işlemi yapılabilir. Bu fıkra kapsamına giren talepler bakımından Ankara sulh ceza hâkimliği yetkili ve görevlidir. Ancak kamu kurum ve kuruluşları bakımından hâkim kararı aranmaz.
Giriş
Bilgi teknolojilerinin hızlı gelişimiyle beraber siber güvenlik, günümüzde kurumların faaliyetlerini sürdürmeleri açısından kritik öneme sahip bir alan hâline gelmiştir. Siber güvenliğin etkinliğini sağlamada denetim mekanizmalarının varlığı ve işlerliği büyük önem taşır. MADDE 8, Siber Güvenlik Başkanlığı’nın denetim faaliyetlerine ilişkin kapsamı, yetkileri ve uygulama esaslarını açıkça düzenlemektedir.
Denetim Yetkisinin Kapsamı
MADDE 8/1, Başkanlığın denetim yetkisinin kapsamını açıkça ortaya koymaktadır. Buna göre, Başkanlık gerekli gördüğü durumlarda, Kanun kapsamına giren her türlü fiil ve işlemi denetleme yetkisine sahiptir. Denetim yetkisi, kamu kurumları ve kritik altyapılar başta olmak üzere, tüm gerçek ve tüzel kişilerin faaliyetlerini içerecek şekilde oldukça geniş tutulmuştur.
Başkanlık, bu yetkisini doğrudan Başkanlık personeli aracılığıyla kullanabileceği gibi yetkilendirilmiş bağımsız denetçiler ve bağımsız denetim kuruluşları aracılığıyla da kullanabilir. Ancak kamu kurumları ve kritik altyapıların denetiminde Başkanlık personelinin bizzat bulunması veya refakat etmesi zorunludur. Bu durum, kamu güvenliğine ilişkin kritik verilerin güvenliğini ve denetim süreçlerinin şeffaflığını güvence altına almak amacıyla getirilmiştir.
Denetim Faaliyetlerinin Temel İlkeleri ve Uygulama Esasları
MADDE 8/2, Başkanlık tarafından gerçekleştirilen denetimler, belirli ilkelere ve kriterlere uygun biçimde yürütülmektedir. Maddenin ikinci fıkrasına göre Başkanlık, denetim faaliyetlerinde önemlilik ve öncelik ilkeleri ile risk değerlendirme ölçütlerini dikkate alır. Bu ilkeler ışığında hazırlanan yıllık denetim programları, risk temelli bir yaklaşım sergiler. Böylelikle kaynakların etkin kullanımı sağlanır ve yüksek risk taşıyan kurum ve faaliyetlere öncelik verilmiş olur.
Ayrıca Başkan, belirlenen denetim programının dışına çıkarak program dışı denetimler de gerçekleştirme yetkisine sahiptir. Bu yetki, beklenmedik siber tehditler veya olağanüstü durumlar karşısında hızlı tepki verilmesini sağlar.
Kamu Kurumlarının Denetim Süreçlerine Katılımı
MADDE 8/3, mülki amirler, kolluk kuvvetleri ve diğer kamu kurumlarının amir ve memurlarının denetim faaliyetlerinde görevlendirilenlere yardımcı olma yükümlülüğü açıkça belirtilmiştir. Bu yükümlülük sayesinde denetim faaliyetleri daha hızlı, etkin ve sonuç odaklı yürütülür. Kamu görevlilerinin bu konuda her türlü kolaylığı sağlaması, denetim sürecinin kesintisiz ve başarılı biçimde tamamlanması için kritik öneme sahiptir.
Denetim Görevlilerinin Yetkileri ve Denetime Tabi Olanların Sorumlulukları
MADDE 8/4, denetimle görevlendirilenlerin kapsamlı yetkilerini detaylı olarak belirtir. Buna göre görevliler, elektronik verileri, belgeleri, altyapıyı, cihazları, sistemleri ve donanımları inceleyebilir, dijital kopyalar alabilir, yazılı ve sözlü açıklama talep edebilir ve gerekli gördükleri durumlarda tutanak düzenleyebilirler. Bu yetkiler, denetimlerin kapsamlı ve doğru bir şekilde yürütülmesini sağlamaya yöneliktir.
Denetime tabi tutulan kurum ve kuruluşların ise, ilgili cihazları, sistemleri ve altyapıyı denetlemeye hazır tutmak ve gerekli altyapıyı sağlamakla yükümlü oldukları açıkça belirtilmiştir. Bu yükümlülükler, denetim faaliyetlerinin gecikmeksizin ve kesintisiz biçimde gerçekleştirilmesini teminat altına almaktadır.
Özel Durumlarda Arama ve El Koyma Yetkisi
MADDE 8/5, millî güvenlik, kamu düzeni veya suç işlenmesinin önlenmesi gibi özel durumlarda, hâkim kararıyla veya gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının yazılı emriyle konutta, işyerinde ve kamuya açık olmayan kapalı alanlarda arama yapılabileceği, dijital kopya çıkarılabileceği ve el koyma işlemi yapılabileceği düzenlenmiştir.
Bu tür işlemler, kritik durumlarda hızlı ve etkin müdahale imkânı sağlar. Hâkim kararının alınamadığı durumlarda savcılık onayının alınması, hukuk devletinin gerektirdiği dengeyi korur. Ayrıca, hâkim kararının olmadığı durumlarda yapılan işlemlerin 24 saat içerisinde hâkim onayına sunulması ve 48 saat içerisinde karar verilmemesi durumunda işlemlerin hükümsüz hâle gelmesi, hukuki güvenceleri ve kişisel hakların korunmasını sağlar.
Ayrıca, yetkilendirilmiş veri merkezlerinde yapılacak arama ve el koyma işlemlerinin sadece hâkim kararıyla yapılabileceği özel olarak belirtilmiştir. Bu düzenleme, özel sektörün güvenini koruyan, aynı zamanda kişisel veri ve ticari sırların korunmasını sağlayan kritik bir düzenlemedir.
Denetim Faaliyetlerinin Siber Güvenlik Sistemine Yansımaları
MADDE 8’de tanımlanan denetim yetkisi ve süreçleri, siber güvenlik alanında kurumların ve kuruluşların faaliyetlerini düzenleyen en önemli unsurlardan biridir. Denetim mekanizmaları, hem siber tehditlere karşı önleyici bir rol üstlenir hem de kurumların bu alandaki sorumluluklarını yerine getirip getirmediklerini ölçen kritik bir araçtır.
Başkanlığın sahip olduğu geniş yetkiler sayesinde denetim faaliyetleri, yalnızca hukuki yükümlülüklerin yerine getirilip getirilmediğini değil, aynı zamanda siber tehditlerin gerçekleşmeden önce tespit edilmesini de sağlar. Bu durum, siber güvenlik sisteminin genel olarak güçlendirilmesine katkıda bulunur ve kurumların saldırılara karşı dirençlerinin artırılmasında etkin bir rol oynar.
Denetim Süreçlerinin Kamu ve Özel Sektördeki Uygulamaları
Başkanlık tarafından yapılan denetimler, kamu kurumları ve kritik altyapılar için özellikle büyük önem taşımaktadır. Kamu kurumlarının kritik bilişim sistemlerine sahip olmaları, denetimlerin sıkı ve düzenli olarak yapılmasını gerektirmektedir. Başkanlık personelinin kamu kurumlarının denetim süreçlerine bizzat katılması, kurumların bu alanda bilinçli ve sorumluluk sahibi davranmalarını sağlar.
Özel sektör açısından ise, yetkilendirilmiş bağımsız denetim kuruluşları ve denetçiler aracılığıyla yürütülen denetimler, şirketlerin kendi siber güvenlik uygulamalarını sürekli olarak gözden geçirmelerini sağlar. Bu durum, özel sektörde siber güvenlik kültürünün gelişmesini ve şirketlerin siber olaylara karşı hazırlıklı olmalarını teşvik eder.
Siber Güvenlik Denetimlerinin Kurumsal Davranışları Üzerindeki Etkileri
Siber güvenlik denetimleri, kurumların davranışlarını önemli ölçüde şekillendirir. Düzenli ve etkili bir denetim sisteminin varlığı, kurumların siber güvenlik politikalarını geliştirme ve uygulama motivasyonunu artırır. Denetimlerle ortaya çıkan eksiklikler, kurumların bu alanlarda hızlıca önlem almalarını sağlar.
Bu süreç, kurumların risk algılarını da doğrudan etkiler. Siber güvenliğe ilişkin risklerin düzenli biçimde denetlenmesi, kurumların risk yönetimini daha ciddi biçimde ele almalarına, daha ayrıntılı ve etkili tedbirler geliştirmelerine neden olur.
Siber Güvenlik Denetimlerinin Yaratabileceği Zorluklar
Tanımlanan geniş denetim yetkileri, kurumlar açısından uygulama aşamasında çeşitli zorluklar yaratabilir. Özellikle teknik altyapı ve kapasite eksikliği olan kurumlar, Başkanlık tarafından talep edilen veri ve belgeleri zamanında ve tam olarak sağlayamayabilir. Ayrıca, denetim süreçlerinin yoğunluğu ve karmaşıklığı, kurumların faaliyetlerini yürütürken iş sürekliliğini etkileyebilir.
Kurumların, denetim süreçlerini iş akışlarına entegre etme konusunda zorlanmaları, denetimlerin etkinliğini azaltabilir ve siber güvenlik kültürünün istenilen düzeye ulaşmasını geciktirebilir.
Denetim Yetkilerinin Özel Hayatın Gizliliği ve Veri Güvenliği Açısından Değerlendirilmesi
MADDE 8/5 de belirtilen özel durumlarda arama, el koyma ve dijital kopya alma yetkileri, özel hayatın gizliliği ve kişisel veri güvenliği açısından hassasiyet gerektirir. Denetim faaliyetlerinin, hukuki güvenceler ve şeffaflık prensipleriyle birlikte yürütülmesi, bu yetkilerin kötüye kullanılmasını önler ve kamuoyunda denetim süreçlerine duyulan güveni artırır.
Yetkilerin uygulama aşamasında yargısal denetim mekanizmasının hızlı çalışması ve hâkim onayının etkin şekilde işlemesi, bireysel hak ve özgürlüklerin korunmasını garanti eder. Bu durum, denetim faaliyetlerinin meşruiyetini ve kamuoyundaki kabulünü artırır.
Denetim Faaliyetlerinin Uluslararası Etkileri ve İş Birliği Fırsatları
Başkanlığın etkin denetim süreçleri yürütmesi, uluslararası arenada Türkiye’nin siber güvenlik seviyesinin yükselmesini sağlar. Bu süreçler, diğer ülkeler ve uluslararası kuruluşlarla gerçekleştirilecek iş birliklerinin kapısını açar. Uluslararası standartlara uygun yürütülen denetimler, Türkiye’nin dijital ekonomideki rekabet gücünü artırarak yabancı yatırımların ülkeye çekilmesine katkı sağlar.
Denetim faaliyetleri, aynı zamanda Türkiye’nin uluslararası platformlarda aktif bir şekilde temsil edilmesine ve uluslararası siber güvenlik iş birliklerinde lider rol üstlenmesine zemin hazırlar.
Sonuç ve Genel Değerlendirme
MADDE 8, siber güvenlik alanında etkili ve kapsamlı denetim faaliyetlerinin yürütülmesi için gerekli hukuki zemini sağlamaktadır. Başkanlığın sahip olduğu geniş denetim yetkileri, kurumların siber tehditlere karşı dirençlerini artırarak ulusal düzeyde etkin bir güvenlik mekanizması oluşturur. Aynı zamanda bu yetkiler, siber güvenlik bilincinin kurumlar ve bireyler nezdinde gelişmesine de katkıda bulunur.
Uygulamada karşılaşılabilecek zorluklara rağmen, etkin bir denetim mekanizmasının varlığı, uzun vadede kurumların ve ülkenin siber güvenlik seviyesini yükseltecek, tehditlere karşı hazırlıklı olma yeteneğini geliştirecek ve uluslararası arenada ülkenin itibarını artıracaktır. Bu açıdan MADDE 8, Türkiye’nin siber güvenlik stratejisini güçlendirmeye yönelik kritik bir düzenleme olarak karşımıza çıkmaktadır.
