Anasayfa/ Makale/ Kritik Altyapılar ve Ulusal Siber Güvenlik: Hukuki Bir Çerçeve

Kritik Altyapılar ve Ulusal Siber Güvenlik: Hukuki Bir Çerçeve

Kritik altyapıların siber tehditlere karşı korunması, ulusal güvenliğin ve kamu düzeninin temel bir parçasıdır. Bu makale, Türkiye'deki kritik altyapıların siber güvenliğine yönelik yasal düzenlemeleri, kurumsal yapıları ve uyulması zorunlu olan standartları bilişim hukuku perspektifinden detaylı bir şekilde analiz etmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:

Günümüz dünyasında devletlerin işleyişi ve toplumların günlük yaşamı, tamamen bilişim sistemleri üzerine inşa edilmiş durumdadır. İşlediği verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda; can kaybına, büyük ölçekli ekonomik zararlara, ulusal güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bu sistemler kritik altyapılar olarak tanımlanmaktadır. Gelişen teknolojiyle birlikte, bu altyapılara yönelik siber saldırılar da artış göstermekte olup, söz konusu tehditler sadece teknik bir mesele olmaktan çıkmış, doğrudan ulusal güvenlik ve bilişim hukuku meselesi haline gelmiştir. Devletlerin bekası ve bireylerin temel haklarının korunabilmesi, ancak kritik altyapıların yasal ve kurumsal düzenlemelerle sıkı bir şekilde güvence altına alınmasıyla mümkündür. Türkiye'de de bu kapsamda, ulusal strateji belgelerinden kurumsal yapılanmalara kadar pek çok adım atılmış, ulusal siber güvenlik mekanizmaları yasal zeminlere oturtulmaya çalışılmıştır. Bu doğrultuda, siber kriz yönetimi ve kritik altyapı koruması çerçevesinde atılan adımların hukuki boyutunun incelenmesi büyük bir zorunluluk haline gelmiştir.

Türkiye'de Kritik Altyapıların Hukuki Tanımı ve Kapsamı

Türkiye'de kritik altyapı kavramı, çeşitli hukuki metinlerde ve strateji belgelerinde net bir çerçeveye oturtulmuştur. İlgili strateji ve eylem planlarına göre, enerji, su yönetimi, kritik kamu hizmetleri, ulaştırma, bankacılık ve finans ile elektronik haberleşme sektörleri, Türkiye'nin korunması gereken en temel altyapıları olarak kabul edilmiştir. Hukuki açıdan bakıldığında, bu sektörlerin işlevselliğini yitirmesi, yalnızca ticari bir kayıp değil, doğrudan ulusal güvenlik ihlali ve kamu düzeninin sarsılması anlamına gelmektedir. Teknolojinin hızlı gelişimi ve dijitalleşmenin yaygınlaşması, bu hukuki tanımın sürekli güncellenmesini gerektirmektedir. Özellikle kişisel verilerin korunması ile ilgili artan yasal hassasiyetler, kritik altyapı işletmecilerinin hukuki sorumluluklarını da en üst düzeye çıkarmıştır. Hukuk sistemimizde henüz sadece kritik altyapıları merkeze alan müstakil bir siber güvenlik yasası bulunmasa da, mevcut kanunlar ve yönetmeliklerle oluşturulan altyapı oldukça önemlidir ve işletmelerin bu kurallara harfiyen uyması gerekmektedir.

Kurumsal Yapılanma: USOM, SOME ve Diğer Düzenleyiciler

Kritik altyapıların siber saldırılara karşı korunması amacıyla Türkiye'de son derece detaylı bir kurumsal mekanizma inşa edilmiştir. Bu mekanizmanın yasal merkezinde, Bilgi Teknolojileri ve İletişim Kurumu bünyesinde faaliyet gösteren Ulusal Siber Olaylara Müdahale Merkezi yer almaktadır. USOM, siber tehditleri tespit ederek ilgili kuruluşlarla paylaşmak ve bertaraf edilmesini sağlamakla hukuken görevlendirilmiştir. Aynı zamanda, kurumların kendi içlerinde oluşturmakla yükümlü oldukları Siber Olaylara Müdahale Ekipleri, hukuki bir zorunluluk olarak öne çıkmaktadır. Özellikle kritik sektörlerde sektörel SOME kurulması yasal bir şart olup, bu ekipler USOM ile koordineli bir şekilde çalışmak zorundadır. Hukuki boyutun yanı sıra, Afet ve Acil Durum Yönetimi Başkanlığı gibi kurumların da teknolojik afetler bağlamında siber kriz yönetimi stratejileri geliştirmesi, bu alandaki devlet politikasının ve idari sorumlulukların çok boyutlu olduğunu kanıtlar niteliktedir.

Yasal Yükümlülükler Kapsamında Sızma Testleri ve Standartlar

Kritik altyapı hizmeti sunan kurum ve işletmelerin, siber güvenliklerini yalnızca beyan etmeleri yeterli olmamakta; bunu bağımsız ve hukuken geçerli yöntemlerle kanıtlamaları beklenmektedir. Bu kapsamda, yasal bir zorunluluk olarak karşımıza çıkan sızma testleri, bilişim sistemlerinin zafiyetlerini tespit etmek amacıyla gerçekleştirilir. Özellikle Bankacılık Düzenleme ve Denetleme Kurumu mevzuatı uyarınca, finans ve bankacılık sektöründeki kuruluşların, sistemlerine yönelik düzenli aralıklarla sızma testi yaptırmaları hukuken emredici bir kuraldır. Yapılan bu testlerin sonuç raporlarının gizliliğinin sağlanması da ayrı bir hukuki yükümlülüktür; zira raporların sızdırılması, bizzat sistemi büyük bir tehlikeye atabilir. İşletmelerin siber güvenlik altyapılarını oluştururken TSE ve ISO tarafından belirlenen, örneğin ISO 27001 bilgi güvenliği standartları gibi kriterlere uymaları yasal bir zorunluluktur. Bu standartlara aykırı hareket eden işletmeler, sadece siber saldırı riskine maruz kalmakla kalmaz, aynı zamanda ağır idari ve cezai yaptırımlarla da karşı karşıya kalırlar.

Ulusal Siber Güvenlik Stratejisi Kapsamındaki Yükümlülükler

Devletin ulusal siber güvenlik stratejisi ve ilgili genelgeleri, kamu ve özel sektördeki kritik altyapı işletmecilerine çok net ve bağlayıcı hukuki yükümlülükler getirmektedir. Cumhurbaşkanlığı genelgeleri ve yayımlanan eylem planları incelendiğinde, ulusal veri güvenliğinin sağlanması adına katı idari tedbirlerin alındığı açıkça görülmektedir. İşletmelerin ve devlet kurumlarının siber güvenlik önlemlerini bir bütünlük içerisinde yürütmesi hukuki bir gerekliliktir. Bu kapsamda öne çıkan bazı yasal yükümlülükler şunlardır:

  • Nüfus, sağlık ve iletişim kayıtları gibi kritik bilgilerin yurt içinde depolanması zorunluluğu.
  • Kamu verilerinin, yerli hizmet sağlayıcılar dışında kalan yabancı bulut depolama servislerinde saklanmasının yasaklanması.
  • Stratejik öneme sahip projelerde görev alacak personellerin güvenlik ve arşiv araştırması süreçlerinden geçirilmesi.
  • Sistem kesintilerini engellemek ve siber saldırılara anında müdahale edebilmek adına kapsamlı iş sürekliliği planı oluşturulması.

Bu kurallar, ulusal egemenliğin siber uzayda da korunması amacını taşımakta olup, yasalara uygun davranmayan yöneticilerin hukuki sorumluluğunun doğmasına zemin hazırlamaktadır.

Hastanemizin hasta verilerini yurtdışı kaynaklı bir buluta yedekleyebilir miyim? expand_more
Cumhurbaşkanlığı genelgeleri ve ulusal siber güvenlik stratejisi uyarınca, sağlık, nüfus ve iletişim kayıtları gibi kritik bilgilerin mutlaka yurt içinde depolanması yasal bir zorunluluktur. Kamu verilerinin veya kritik altyapı niteliğindeki bilgilerin yabancı menşeili bulut depolama servislerinde saklanması mevzuata açıkça aykırıdır. Bu bağlayıcı yasal kurallara uymayan işletme yöneticilerinin doğrudan hukuki sorumluluğu doğabilmektedir.
Finans şirketim var, sızma testi (pentest) yaptırmasam başıma iş açılır mı? expand_more
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) mevzuatı gereğince, finans sektöründeki kuruluşların bilişim sistemlerine yönelik düzenli sızma testi yaptırmaları emredici bir yasal kuraldır. Kritik altyapı hizmeti sunan bir işletme olarak siber güvenliğinizi yalnızca beyan etmeniz hukuken yetersiz olup, bunu bağımsız testlerle kanıtlamak zorundasınız. Ayrıca, gerçekleştirilen bu sızma testlerinin sonuç raporlarının gizliliğini sağlamak da ayrı bir hukuki yükümlülüğünüzdür.
Şirketim hacklendi, özel güvenlik kurallarına uymadıysam ceza alır mıyım? expand_more
Kritik altyapı hizmeti veren işletmelerin siber güvenlik altyapılarını kurarken ISO 27001 gibi TSE ve ISO tarafından belirlenmiş bilgi güvenliği standartlarına uyması yasal bir mecburiyettir. Bu standartları göz ardı ederek sistemlerini korumasız bırakan işletmeler, yalnızca siber saldırı riskine maruz kalmış sayılmazlar. Aynı zamanda devlete karşı yasal yükümlülüklerini ihlal ettikleri için ağır idari ve cezai yaptırımlarla karşı karşıya kalırlar.
Enerji veya iletişim alanındaki şirketimde SOME kurmam yasal olarak şart mı? expand_more
Evet, kritik bir sektörde faaliyet gösteriyorsanız bünyenizde bu ekibi kurmanız hukuken zorunludur. Türkiye'deki kurumsal siber güvenlik yapılanmasına göre, ilgili kurumların kendi içlerinde Siber Olaylara Müdahale Ekipleri (SOME) oluşturması yasal bir emirdir. Üstelik sektörel olarak kurduğunuz bu ekiplerin, siber tehditlere karşı Bilgi Teknolojileri ve İletişim Kurumu altındaki Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile koordineli şekilde çalışması gerekmektedir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir