Türkiye’de Uyulması Gereken Siber Güvenlik Regülasyonları
Günümüzde dijitalleşmenin hız kazanmasıyla birlikte siber güvenlik, kurumların ve bireylerin en önemli önceliklerinden biri hâline gelmiştir. Özellikle Türkiye’de, yasal düzenlemeler (regülasyonlar) ve uluslararası standartlara uyum konuları, siber güvenlik altyapısını güçlendirmek açısından büyük önem taşır. Bu makalede, Türkiye’de siber güvenlik açısından uyulması gereken başlıca düzenlemelere ve bunların kurumlar üzerindeki etkilerine değinilecektir.
1. Kişisel Verileri Koruma Kanunu (KVKK)
(6698 sayılı Kanun)
Türkiye’de siber güvenlik dendiğinde akla gelen ilk yasal metinlerden biri 6698 sayılı Kişisel Verilerin Korunması Kanunu’dur (KVKK). Bu kanun, kişisel verilerin işlenme süreçlerine ilişkin ilke ve kuralları belirleyerek veri güvenliğinin sağlanmasını amaçlar. KVKK, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile de büyük ölçüde paralellik gösterir.
Uyulması Gereken Temel İlkeler
Hukuka ve dürüstlük kurallarına uygun olma
Doğru ve gerektiğinde güncel olma
Belirli, açık ve meşru amaçlar için işlenme
İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme
İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
Yaptırımlar
KVKK kapsamında, kişisel veri işleme süreçlerinde ihlal tespit edildiğinde Kanun’da öngörülen para cezaları (idari para cezası) ve gerekirse diğer hukuki yaptırımlar uygulanabilir.
Kurumsal Yaklaşım
Veri işleme envanteri çıkarılması
Veri koruma görevlilerinin (DPO) veya KVKK uyumluluk ekiplerinin oluşturulması
Düzenli güvenlik testleri ve sızma testleri (penetration test)
Kullanıcı verilerinin güvenliğine yönelik şifreleme, erişim kontrol mekanizmaları ve log kayıtlarının tutulması
KVKK’ya uyum, siber güvenlik ve veri koruma politikalarının belkemiğini oluşturduğundan, hem özel sektör hem kamu kurumları için büyük önem taşır.
2. Elektronik Haberleşme ve İnternet Düzenlemeleri
(5651 sayılı Kanun ve İlgili Yönetmelikler)
5651 sayılı Kanun, internet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesiyle ilgilidir. Bu kanun, internet erişim sağlayıcıları, yer sağlayıcılar ve içerik sağlayıcılar için çeşitli yükümlülükler getirir.
Yer Sağlayıcılar ve Erişim Sağlayıcıların Yükümlülükleri
Trafik bilgisinin belirli bir süre saklanması
İlgili kurum ve kuruluşlara kanunun öngördüğü şekilde bilgi/belge sunulması
İçerik saklama, loglama ve erişim kayıtlarının tutulması
Siber Güvenlik Etkisi
Olası saldırıların veya yasa dışı faaliyetlerin tespitinde güvenlik analizi yapılabilmesi
Dijital delillerin saklanması ve incelenmesi yoluyla siber olayların aydınlatılması
Bu düzenlemeler, özellikle internet üzerinden veri işleyen ve barındıran kurumlar için hukuki yükümlülükleri doğrudan etkiler.
3. Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) Mevzuatı
Finans sektörü, siber saldırılar açısından en riskli sektörlerin başında gelir. Bu nedenle Türkiye’de bankacılık sektörü, BDDK tarafından sıkı düzenlemelerle denetlenir. BDDK’nın bankalara ve finansal kuruluşlara yönelik yayınladığı yönetmelik ve tebliğler, siber güvenlik standartlarını da içerir.
Ana Başlıklar
Bilgi güvenliği yönetimi ve risk değerlendirmesi
Siber güvenlik olay yönetimi, olay raporlama ve kriz yönetimi planları
Düzenli sızma testleri ve güvenlik denetimleri
Müşteri verilerinin korunması ve veri gizliliği
Kurumsal Uyum
Bankaların ve diğer finans kurumlarının, BT (Bilgi Teknolojileri) altyapılarını ISO 27001 gibi uluslararası güvenlik standartlarına uygun hâle getirmeleri beklenir.
Düzenli iç ve dış denetimlerin yapılması, elde edilen bulguların BDDK ile paylaşılması gerekir.
BDDK düzenlemeleri, finans kuruluşlarının daha sağlam bir siber güvenlik çerçevesi oluşturmalarını, müşteri verilerinin ve finansal bilgilerin korunmasını zorunlu kılar.
4. Kamu Kurumlarına Yönelik Düzenlemeler ve USOM
(Ulusal Siber Olaylara Müdahale Merkezi)
Türkiye’de siber olaylarla mücadele ve koordinasyon faaliyetleri Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından yürütülür. USOM, kritik altyapıların korunması, siber istihbarat paylaşımı ve siber olaylara karşı acil müdahale gibi konularda kamu kurumlarının ilk başvurduğu mercidir.
Ulusal Siber Güvenlik Stratejisi
Türkiye, her dönem için güncellenen Ulusal Siber Güvenlik Stratejisi ve eylem planlarına sahiptir. Bu planlar kamu kurumlarının ve özel sektörün belirlenen stratejik hedeflerle uyumlu siber güvenlik politikaları geliştirmesini öngörür.
Kamu Kurumlarının Yükümlülükleri
Kamu verilerinin güvenliğini sağlamak
Kritik altyapıları (enerji, ulaşım, haberleşme, su ve doğal gaz sistemleri vb.) korumak için gerekli siber önlemleri almak
Saldırı veya ihlal durumlarında USOM’a bilgi vermek, gerektiğinde koordinasyon içinde çalışmak
Düzenli siber tatbikatlar gerçekleştirmek
Bu çerçevede kamu kurumları, ulusal ölçekte siber güvenliğin sağlanmasında öncü rol üstlenerek özel sektöre de örnek teşkil eder.
5. Diğer İlgili Regülasyonlar ve Standartlar
Elektronik Ticaretin Düzenlenmesi Hakkında Kanun
Özellikle e-ticaret işletmelerinin kullanıcı verilerini nasıl korumaları gerektiğine dair genel prensipler içerir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı
Resmî bir kanun olmasa da, Türkiye’de birçok kurum ve kuruluş, ISO 27001 standardını uygulayarak bilgi güvenliği yönetim sistemlerini belgelendirir. Hem KVKK hem de BDDK gibi regülasyonlara uyumda yardımcı olur.
SPK (Sermaye Piyasası Kurulu) Düzenlemeleri
Sermaye piyasası kurumlarının, müşterilerinin varlıklarını ve sermaye piyasası işlemleriyle ilgili verilerini korumasını zorunlu kılan ek düzenlemeler içerir.
Sağlık Bakanlığı ve Sağlık Verilerinin Korunmasına İlişkin Düzenlemeler
Sağlık verileri KVKK kapsamında özel nitelikli kişisel veriler arasında yer aldığından, ek tedbir ve güvenlik önlemlerine tabi tutulur.
6. Kurumlar için Öneriler
Regülasyonlara Hakimiyet:
Kurumlar, KVKK, 5651 sayılı Kanun, BDDK düzenlemeleri gibi temel yasal metinlerin yanı sıra sektöre özel düzenlemeleri yakından takip etmelidir.
Sürekli Eğitim:
Çalışanların siber güvenlik ve veri koruma bilincinin artırılması için düzenli eğitim programları ve farkındalık kampanyaları düzenlenmelidir.
İç Denetim ve Dış Denetim:
Düzenli aralıklarla sızma testleri (penetration test), zafiyet taramaları ve bilgi güvenliği yönetim sistemi denetimleri yapılmalı, bulgular değerlendirilmeli ve iyileştirmeye gidilmelidir.
Veri Yedekleme ve Kurtarma Planları:
Olası bir siber saldırı veya veri kaybı durumunda iş sürekliliğini sağlayabilmek adına veri yedekleme, felaket kurtarma ve acil durum planları oluşturulmalı, test edilmelidir.
Risk Yönetimi ve Süreklilik Planlaması:
Kurumun maruz kalabileceği siber tehditleri öngörmek için düzenli risk analizleri yapılmalı, sonuçlarına göre gerekli teknik ve idari tedbirler alınmalıdır.
Türkiye’de siber güvenlikle ilgili regülasyonlar, hem kamu hem de özel sektörde dijital verilerin güvenliğini sağlamaya yönelik kapsamlı hükümler içerir. KVKK, 5651 sayılı Kanun, BDDK düzenlemeleri ve Ulusal Siber Olaylara Müdahale Merkezi’nin (USOM) koordinasyon çalışmaları, ülkenin siber dayanıklılığını artırmayı hedefler.
Kurumların bu regülasyonlara uygun olarak siber güvenlik stratejilerini oluşturması ve sürdürmesi, sadece yasal bir yükümlülük değil aynı zamanda itibar ve iş sürekliliği açısından da kritik öneme sahiptir. Bu nedenle, siber güvenlik tedbirlerini proaktif biçimde uygulamak, periyodik denetimler yapmak ve çalışan farkındalığını artırmak, güvenli bir dijital ekosistem yaratmanın başlıca anahtarıdır.
yazar: Asrın Haktan Şahin