Siber güvenlik artık yalnızca BT ekiplerinin gündeminde olan teknik bir konu değil. Devletler için ulusal güvenlik, şirketler için kurumsal süreklilik, bireyler için ise temel bir hak meselesi.

Türkiye’de gündeme gelen Siber Güvenlik Kanunu da tam olarak bu dönüşümün bir sonucu.

Bu kanun, “bir şey olursa bakarız” yaklaşımından, önleyici ve hesap verebilir bir güvenlik anlayışına geçişin hukuki altyapısını oluşturmayı hedeflediğini görüyoruz.

Neden Böyle Bir Kanuna İhtiyaç Duyuldu?

Bugün yaşanan siber olayların büyük çoğunluğu:

• Bir firewall eksikliğinden değil,

• Yetkisiz erişim,

• Zayıf parola politikaları,

• Farkındalık eksikliği,

• Kayıt tutulmaması gibi yönetsel ve organizasyonel zaaflardan kaynaklanıyor.

  
  

Mevcut durumda birçok kurumda siber güvenlik:

• Proje bazlı,

• Kişiye bağlı,

• Reaktif bir şekilde ele alınıyor.

Siber Güvenlik Kanunu ise bu yaklaşımı tersine çevirmeyi amaçlıyor.

Kanunun Temel Yaklaşımı Ne?

Kanun taslakları ve kamuoyuna yansıyan çerçeveye bakıldığında üç ana eksen öne çıkıyor.

1. Sorumluluk Netleşiyor

Kurumların;

• Kendi sistemlerini tanıması,

• Risklerini belgelemesi,

• Önlem aldığını gösterebilmesi bekleniyor.

Bu, teknik ekip kadar üst yönetimi de doğrudan sorumlu hale getiriyor.

2. Kritik Altyapılar Öncelikli

Özellikle:

• Finans

• Enerji

• Sağlık

• Ulaşım

• Kamu hizmetleri gibi alanlarda faaliyet gösteren kurumlar için siber güvenlik artık opsiyonel değil, zorunlu.

  
  

Bu kurumlarda yaşanacak bir kesinti yalnızca şirketi değil, toplumu etkiliyor.

3. Olay Yönetimi ve Bildirim Kültürü

Siber olay yaşandığında:

• Gizlemek değil,

• Bildirmek,

• Analiz etmek,

• Tekrarını önlemek esas alınıyor.

Bu yaklaşım, bireysel suçlama yerine kurumsal öğrenme kültürünü teşvik ediyor.

Bu Kanun Kimi Doğrudan Etkileyecek?

Aslında kısa cevap: Herkesi. 

Ama özellikle:

• Orta ve büyük ölçekli şirketler

• Bulut hizmeti kullananlar

• Kişisel veri işleyen tüm yapılar

• Dış kaynaklı BT hizmeti alan kurumlar için ciddi bir hazırlık gerektiriyor.

  
  

Burada kritik nokta şu: Siber Güvenlik Kanunu, KVKK’nın teknik uzantısı değil, daha geniş ve operasyonel bir çerçeve sunuyor.

“Bir Güvenlik Dokümanı Alırız, Biter” Yanılgısı

En sık yapılan hata şu olacak:

Oysa siber güvenlik:

• Süreçtir.

• Davranıştır.

• Kültürdür.

  
  

Kanun, kâğıt üzerindeki önlemlerden çok:

• Gerçek hayatta işleyen,

• Denetlenebilir,

• Sürdürülebilir yapılara odaklanıyor.

  
  

Kurumlar Bugünden Ne Yapmalı?

Kanun yürürlüğe girmeden önce atılabilecek net adımlar var:

• Yetki ve erişimlerin gözden geçirilmesi

• Varlık envanteri çıkarılması

• Loglama ve izleme mekanizmalarının kurulması

• Olay müdahale senaryolarının yazılması

• Çalışan farkındalık eğitimlerinin başlatılması

  
  

Bunlar sadece hukuki uyum için değil, iş sürekliliği için de kritik.

Bu Bir BT Meselesi Değil, Yönetim Meselesi

Siber Güvenlik Kanunu şunu söylüyor:

Bu kanunla birlikte:

• Siber güvenlik,

• Yönetim kurulu gündemine,

• Risk komitelerine,

• Stratejik planlaragirmek zorunda kalacak.

  
  

Ve belki de en önemlisi: