Siber Güvenliğe İlişkin Düzenlemelerin Türk ve Alman Hukukları Bakımından Karşılaştırılması
A.Genel Olarak
Günümüzde bilgi ve iletişim sistemlerinin kullanımı hızla yaygınlaşmakta, bu sistemler hayatımızın her alanında önemli rol oynamaktadır. Kamu kurumlarına ek olarak enerji, haberleşme, su kaynakları, tarım, sağlık, ulaşım, eğitim ve finansal hizmetler gibi kritik altyapı sektörlerinde faaliyet gösteren kurum ve kuruluşlar da bilgi ve iletişim sistemlerini yoğun biçimde kullanmaktadır. Sözü edilen sistemler, verilen hizmetin kalitesini ve hızını artırmakta, dolayısıyla hem ilgili kurumun daha verimli çalışmasını sağlamakta, hem de vatandaşların yaşam standardının yükselmesine katkıda bulunmaktadır. Bu dönüşüm her ne kadar kaçınılmaz bir hale gelmişse de bilişim sistemlerinin güvenliğinin sağlanmasına yönelik ihtiyacı da beraberinde getirmiştir. Bu bağlamda; hukukun düzeni sağlayıcı fonksiyonu gereğince siber güvenliğin hukuki açıdan ele alınması gerekmektedir Her ne kadar özel hukuk alanında kıyasen bazı meseleler çözümlenebilse de olayın ceza hukuku ve devletin regülasyon sorumluluğu boyutunun geliştirilmesine ihtiyaç duyulmaktadır. Alman Hukuku’nun konuya yaklaşımı ceza hukuku ve kişisel verilerin korunması açısından Türk Hukuku ile benzerlik gösterse de doğrudan Türk Hukuku’nda siber güvenlik alanını düzenleyen detaylı düzenlemeler bulunmaktadır.
B. Ceza Hukuku ve Kişisel Veri Koruma Hukuku Bakımından
Öncelikle bilişim alanındaki suçlar, benzer bir anlayış benimsenmiş olsa dahi, Türk Ceza Kanunu’nda Alman Ceza Kanunu’nun aksine ‘Malvarlığına Karşı Suçlar’ başlığı altında değil ‘Topluma Karşı Suçlar’ başlığı altında düzenlenmiştir. (Siber Güvenliğin Sağlanmasında Uluslararası Hukukun ve Türk Hukukunun Rolü, Merve Erdem – Gürkan Özocak, s.179) . Her iki ülkenin de Avrupa Siber Suçlar Sözleşmesi’ne taraf olması ve sözleşmenin 2. Maddesinin ‘’ her taraf, iç hukukuna uygun olarak, bir bilişim sisteminin tamamına veya bir kısmına kasten ve haksız olarak erişimi suç haline getirmek için gerekli görülen yasal tedbirleri almayı kabul eder.’’ hükmünü içermesi karşısında Türk ve Alman Ceza Hukukları bakımından genel itibariyle bir paralellik bulunmaktadır. Bununla birlikte ‘’ Bilişim Sistemine Yetkisiz Olarak Erişim’’, ‘’ Bilişim Sistemine Girmeksizin Verileri İzleme’’, ‘’ Bilişim Sistemine ve Verilere Müdahale (İşleyişi Engelleme veya Bozma)’’ ve ‘’ Yasak Cihaz ve Programların Kullanılması, İmal Edilmesi, Dağıtılması’’ suçları Alman Ceza Kanunu’nda da suç olarak düzenlenmiştir. Her iki hukuk düzeni açısından asıl farklılık fiillerin tanımlanmasındaki detaylılık ve bu fiiller için öngörülen cezalar arasındaki değişik olmasından ibarettir. Örneğin Bilişim Sistemine Yetkisiz Olarak Erişim suçunu düzenleyen Türk Ceza Kanunu’nun 243. Maddesi; ‘’Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.’’ Hükmünü içermekteyken, paralel nitelikteki Alman Ceza Kanunu’nun 202a Maddesi faile 3 yıla kadar hapis cezası veya adli para cezası verilmesini öngörmektedir. ( 202a) [(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.)] Siber güvenliğin kişisel verilerin korunması açısından sonuçları da gerek Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 6698 sayılı Kişisel Verilerin Korunması Kanunu bakımından kaynak olarak alınması gerekse de Türk Hukuku’nu Avrupa Birliği Hukuku ile yeknesaklaştırma çabaları dolayısıyla her iki ülke hukuku bakımından paralellik gösterdiği söylenebilir.
C. İdare Hukuku ve Regulasyonlar Bakımından
Türk Hukuku’nda Siber Güvenlik Yasası henüz bulunmuyorsa da ‘’siber tehdit’’ kavramı ilk olarak 2012 yılında Milli Güvenlik Strateji Belgesi’ne ulusal tehdit olarak girmiştir. (GÜRPINAR, Bulut, “Milli Güvenlik Kurulu ve Dış Politika”, Uluslararası İlişkiler, Cilt 10, Sayı 39 (Güz 2013), s. 78 vd.) Bunun ardından Bakanlar Kurulu 11.06.2012 tarihli toplantısında 2012/3842 sayılı kararı ile ulusal siber güvenlik çalışmalarının yürütülmesinden Ulaştırma, Denizcilik ve Haberleşme Bakanlığı ve Bilgi Teknolojileri ve İletişim Kurumu (BTK) sorumlu tutulmuştur. Gerekli çalışmaların yapılması açısından ise BTK bünyesinde Siber Güvenlik Kurulu’ nun kurulması kararlaştırılmıştır. Siber Güvenlik Kurulu siber güvenlikle ilgili olarak alınacak önlemleri belirlemek, hazırlanan strateji ve planların uygulanmasının koordinasyonunu sağlamakla, BTK ise onaylanan strateji ve planların uygulanması ile görevli kılınmıştır.
Siber Güvenlik Kurulu anılan karara binaen siber güvenliğin ulusal bağlamda etkin bir şekilde sağlanması, koordinasyonun sağlanması, kamusal duyuru ve bilgilendirmelerin yapılması amacıyla 20.10.2012 tarihli ilk toplantısında Siber Olaylara Müdahale Organizasyonu’ nun ve ardından Kurumsal ve Sektörel Siber Olaylara Müdahale Ekipleri’nin kurulmasını kararlaştırmıştır. Bu kapsamda Bilgi Teknolojileri Kurumu’ nun 22.05.2013 tarihli ve 2013/DK-TİB/278 sayılı kararı uyarınca USOM ve SOME’lerin çalışma usul ve esasları belirlenmiş olup, faaliyetlere ilişkin esaslar kararda belirtilmiştir. Bahse konu kurul ve kurumlara siber güvenliğin sağlanmasına yönelik gerekli önlemlerin alınması, uluslararası mevzuat ile uyumluluğun sağlanması ve alınan kararların koordinasyonu için görev verilmişse de hali hazırda Türk Hukuku bakımından siber saldırılar açısından risk arz eden sektörlerde faaliyet gösteren kurumlar, kamu kurumları veya özel kişiler açısından düzenli bildirim yükümlülükleri, belirli periyodlarla yapılması gereken işlemler ve mevzuata uygunluğun sağlanmaması halinde kurul veya kurumların yaptırımları düzenlenmemiştir.
Alman Hukukunda ise 28.05.2021 tarihli Alman Bilişim Sistemleri Güvenlik Yasası ( IT-Sicherheitsgesetz), Federal Bilişim Sistemleri Güvenliği Kurumu Yasası (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik – ‘’BSIG’’ ) , Telekomünikasyon Yasası (Telekommunikationsgesetz) yasaları siber güvenlik alanına ilişkin detaylı düzenlemeler getirmektedir. Bunların ötesinde Avrupa Siber Güvenlik Yasası da Avrupa Birliği Siber Güvenlik Kurumu’na (ENISA) sertifikasyon, başka bir deyişle kamuyu bilişim sistemlerinin güvenliğine ilişkin hükümler hususunda ve regülasyonlara uyumluluk kapsamında bilgilendirme yetkisi vermiştir.
Alman Hukuku’nun Türk Hukuku’ndan ayrılan en kritik regülasyon çalışması ise yukarıda bahsedilen yasa gereğince (‘’BSIG’’) siber güvenlik açısından kritik sektörlerde faaliyet gösteren işletmelere Federal Bilişim Sistemleri Güvenliği Kurumu’na belirli bir süre içerisinde kaydolma ve yedi gün yirmi dört saat esasına göre faaliyet gösterecek iletişim hattı bildirme, gerekli tüm organizasyonel ve teknik önlemleri alma, en fazla 2 yıllık periyotlarla olmak kaydıyla kuruma kurumun gerekliliklerine uyuma ilişkin kanıtları sunma ve iletişim kişisi aracılığıyla siber güvenlik açısından tehlikeli olabilecek herhangi bir olayı derhal kuruma bildirme yükümlülüğü getirmiştir. Anlaşılacağı üzere Federal Bilişim Sistemleri Güvenliği Kurumu Almanya’da siber güvenlikten sorumlu asıl kurumdur. Ayrıca BSIG riskli sektörlerde faaliyet gösteren işletmelerin gereklilikleri yerine getirmemesi hali durumunda 100.000 Euro ile 20.000.000 Euroya kadar idari para cezasına çarptırılabileceği düzenlemesini getirmektedir. Kısaca bahsetmek gerekirse; Alman Telekomünikasyon Yasası (Telekommunikationsgesetz) ‘nın 109. Maddesi de telekomünikasyon servisi sağlayıcılarına; telekomünikasyon iletişiminin gizliliğini sağlamak, kişisel verileri korumak ve veri işleme sürecine yetkisiz her türlü erişimi engellemek amacıyla gerekli tüm teknik önlemlerin alınması sorumluluğunu yüklemektedir ( TKG – art.109 : ‘’ (1) Every service provider shall make appropriate technical arrangements or take other measures in order to protect; 1. the privacy of telecommunications and personal data; and 2. telecommunications and data processing systems against unauthorised access.’’).
C. Sonuç
Sonuç olarak her iki ülke hukuku siber güvenlik alanına ilişkin ceza hukuku ve kişisel verilerin korunması hukuku bağlamında paralel düzenlemeler içermekteyse de Alman Hukuku bilişim sistemlerinin ve kişisel verilerin güvenliğinin sağlanması bakımından daha sistematik ve ayrıntılı düzenlemeler içermektedir. Günlük hayatta bilişim sistemlerinin yaygınlığı ve giderek artan etkisi düşünüldüğünde Türk Hukuku bakımından da aktif mekanizmaların kurulması ve idarenin regülasyon faaliyetinin düzenlenmesi gerekmektedir.
Siber Güvenlik Hukuku alanındaki Blog yazılarımızı okumak için bağlantıya tıklayınız.
Hukuk ve Bilişim Dergisi’nin 10. Sayı‘sını bağlantıdan okuyabilirsiniz.
KAYNAKÇA
- GÜRPINAR, Bulut, “Milli Güvenlik Kurulu ve Dış Politika”, Uluslararası İlişkiler, Cilt 10, Sayı 39 (Güz 2013) – https://dergipark.org.tr/tr/download/article-file/695490