Siber Güvenlik Kanunu Teklifi'ne göre, Türkiye Cumhuriyeti'nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik siber saldırı gerçekleştiren veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara 8 yıldan 12 yıla kadar hapis cezası verilecek.
TBMM Milli Savunma Komisyonunda kabul edilen Siber Güvenlik Kanunu Teklifi ile Siber Güvenlik Başkanlığında kadrolu veya sözleşmeli statüde görev yaparken herhangi bir nedenle ilişiği kesilenler, Başkanlıktan muvafakat almadan 2 yıl süreyle yurt içi veya yurt dışında siber güvenlik alanında resmi veya özel başka hiçbir görev alamayacak, bu alanda ticaretle uğraşamayacak, serbest meslek faaliyetinde bulunamayacak ve özellikle bu sektörde faaliyet gösteren bir şirkette hissedar veya yönetici olamayacak.
Başkanlıktaki görev ve faaliyetler kapsamında edinilen bilgi, belge ve benzeri her türlü verinin, Siber Güvenlik Başkanlığınca yetki verilen durumlar hariç, radyo, televizyon, internet, sosyal medya, gazete, dergi, kitap ve diğer tüm medya araçlarıyla her türlü yazılı, görsel, işitsel ve elektronik kitle iletişim araçları vasıtasıyla yayımlanması veya açıklanması yasak olacak.
Başkanlık tarafından yürütülen görev ve faaliyetler kapsamında edinilen kamuya, ilgililere ve üçüncü kişilere ait gizlilik taşıyan bilgi, kişisel veri, ticari sır ve bunlara ait belgeler mevzuat gereği yetkili kılınan mercilerden başkasına açıklanamayacak, gerçek ve tüzel kişilerin menfaatine kullanılamayacak.
Başkanlığın gelirleri, genel bütçeden yapılacak hazine yardımlarından, Başkanlığın faaliyetlerinden elde edilen gelirlerden, Başkanlık tarafından verilen idari para cezalarından elde edilen gelirlerden, kanun ve kararnamelerle kurulu bulunan ve kurulacak olan fonların gelirlerinden Cumhurbaşkanı kararıyla yüzde 10'una kadar aktarılacak tutarlardan ve diğer gelirlerden oluşacak.
Başkanlığın ihtiyaçları kapsamında yurt dışından ithalat veya hibe yoluyla sağlanacak her türlü malzeme veya hizmet alımı ile bedelsiz olarak dış kaynaklardan alınan yardım malzemeleri nedeniyle yapılacak işlemler gümrük vergisinden, fon ve resimlerden, harçlardan, bu işlemler nedeniyle düzenlenen kağıtlar damga vergisinden istisna olacak.
Kamu kurum ve kuruluşları ile diğer kurum ve kuruluşlar, Kanunda yazılı görevlerin yerine getirilmesi sırasında ihtiyaç duyulan hallerde, kullanımlarında bulunan ve müsadere edilen her türlü malzeme, ekipman, teçhizat ve cihazı, diğer kanunların bu konudaki düzenlemelerine bakılmaksızın Başkanlığa geçici olarak tahsis edilebilecek veya bedelsiz devredebilecek.
Cezai hükümler ve idari para cezalarının uygulanması
Kamu kurum ve kuruluşları hariç olmak üzere Kanunla yetkilendirilen mercilerin ve denetim görevlilerinin görev ve yetkileri kapsamında istedikleri bilgi, belge, yazılım, veri ve donanımı vermeyenler veya bunların alınmasına engel olanlar 1 yıldan 3 yıla kadar hapis ve 500 günden 1500 güne kadar adli para cezası ile cezalandırılacak.
Kanun uyarınca alınması gerekli onay, yetki veya izinleri almaksızın faaliyet yürütenler 2 yıldan 4 yıla kadar hapis ve 1000 günden 2 bin güne kadar adli para cezası ile cezalandırılacak.
Sır saklama yükümlülüğünü yerine getirmeyenlere veya Kanundan kaynaklanan görev ve yetkilerini kötüye kullananlara 4 yıldan 8 yıla kadar hapis cezası verilecek.
Siber uzayda veri sızıntısı nedeniyle daha önce yer alan kişisel veya kritik kamu hizmeti kapsamına giren kurumsal verileri, kişilerin veya kurumların izni olmaksızın ücretli veya ücretsiz şekilde erişime açan, paylaşan veya satışa çıkaranlara 3 yıldan 5 yıla kadar hapis cezası verilecek.
Siber uzayda veri sızıntısı olmadığı halde halk arasında endişe, korku ve panik yaratmak ya da kurumları veya şahısları hedef almak amacıyla veri sızıntısı yapılmış gibi içerik oluşturanlara veya bu içerikleri yayanlara 2 yıldan 5 yıla kadar hapis cezası verilecek.
Türkiye Cumhuriyeti'nin siber uzaydaki milli gücünü meydana getiren unsurlarına yönelik siber saldırı gerçekleştiren veya bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda bulunduranlara, daha ağır bir cezayı gerektiren başka bir suç oluşturmadığı takdirde 8 yıldan 12 yıla kadar hapis cezası verilecek. Bu saldırı neticesinde elde ettiği her türlü veriyi siber uzayda yayan, başka bir yere gönderen veya satışa çıkaranlara 10 yıldan 15 yıla kadar hapis cezası verilecek.
Yukarıdaki fıkralara göre verilecek ceza, suçun kamu görevlisi tarafından işlenmesi halinde 3'te bir oranında, birden fazla kişi tarafından işlenmesi halinde yarı oranında ve bir örgütün faaliyeti çerçevesinde işlenmesi halinde yarısından 2 katına kadar artırılacak.
Başkanlıkta görev yapanlara ilişkin yasak hükümlerine aykırı davrananlara 3 yıldan 5 yıla kadar hapis cezası verilecek.
Kritik altyapıların siber saldırılara karşı korunması kapsamında görevinin gereklerine aykırı hareket etmek suretiyle veri ihlali yaşanmasına sebebiyet verenlere 1 yıldan 3 yıla kadar hapis cezası verilecek.
Bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin, siber güvenliğe yönelik olarak milli güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, hizmet sundukları alanda tespit ettikleri zafiyet veya siber olayları gecikmeksizin Başkanlığa bildirmeyenler ile kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilen ve belgelendirilen siber güvenlik uzmanları ve şirketlerden tedarik etmeyenlere 1 milyon liradan 10 milyon liraya kadar para cezası verilecek.
Milli güvenlik ve kamu kaynaklarının verimli kullanımı amacıyla kamu kurum ve kuruluşları ve kritik altyapıların bilişim sistemlerinde, yeni tedarik sözleşmeleri kapsamında kullanılacak siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı veya bunları üreten şirketlerin bölünme, birleşme, pay devri veya satış işlemlerinin onayına ilişkin usul ve esaslar ilişkin görev ve sorumluluklarını yerine getirmeyenlere 10 milyon liradan 100 milyon liraya kadar idari para cezası verilecek.
Denetime tabi tutulanların, ilgili cihaz, sistem, yazılım ve donanımları verilen sürelerde denetlemeye açık tutmak, denetim için gerekli altyapıyı temin etmek ve çalışır vaziyette tutmak için gerekli önlemleri almalarına ilişkin yükümlülüklerini yerine getirmeyenlere, 100 bin liradan 1 milyon liraya kadar, bu yükümlülüklerin ticari şirketlerce yerine getirilmemesi halinde 100 bin liradan az olmamak üzere bağımsız denetimden geçmiş yıllık finansal tablolarında yer alan brüt satış hasılatının yüzde 1'i ile vergi öncesi karının yüzde 20'sinden yüksek olanına kadar idari para cezası verilecek.
İdari para cezalarının uygulanması
İdari para cezalarının uygulanmasından önce ilgilinin savunması alınacak. Savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren 30 gün içinde savunma verilmemesi halinde, ilgilinin savunma hakkından feragat ettiği kabul edilecek.
Kanunda tanımlanan kabahatlerden birinin idari yaptırım kararı verilinceye kadar birden çok işlendiğinin tespit edilmesi halinde ilgili gerçek veya tüzel kişiye tek idari para cezası verilecek ve verilecek ceza 2 katını aşmayacak şekilde artırılarak uygulanacak. Kabahatin işlenmesi nedeniyle bir menfaat temin edilmesi veya zarara sebebiyet verilmesi halinde verilecek idari para cezasının miktarı bu menfaat veya zararın 3 katından az, 5 katından fazla olamayacak.
Başkanlık tarafından verilen idari para cezaları, tebliğ tarihinden itibaren 1 ay içinde ödenecek. Bu süre içinde ödenmeyen ve kesinleşen idari para cezaları, Kurumun bildirimi üzerine Amme Alacaklarının Tahsil Usulü Hakkında Kanun hükümlerine göre vergi dairelerince tahsil edilecek. Tahsil edilen idari para cezalarının yüzde 50'si Başkanlık bütçesine, yüzde 50'si genel bütçeye gelir kaydedilecek.
Başkanlığın tahsil ettiği idari para cezalarından ayrılan genel bütçe payı; vergi dairesince tahsil edilen idari para cezalarından ayrılan Başkanlık payı, tahsilatı takip eden ay sonuna kadar aktarılacak.
Kamu destekleriyle kurulan, geliştirilen veya desteklenen siber güvenlik ürün, sistem, yazılım, donanım ve hizmetlerin yurt dışına satışı ile bunları üreten şirketlerin bölünme, birleşme, pay devri veya satış işlemleri, Başkanlığın uygun görüşüne tabi olacak.
Siber Güvenlik Başkanı, mali ve sosyal hak ve yardımlar ile emeklilik hakları bakımından bakanlık müsteşarına denk kabul edilecek.
Uyum, geçiş düzenlemeleri ve kuruluş işlemleri
Teklifle, Bilgi Teknolojileri ve İletişim Kurumu (BTK) Başkanlığına ait ve münhasıran ulusal siber güvenlik faaliyetleri kapsamında kullanılan her türlü taşınır, bilgi işlem altyapısı ve sistemler, taşıt, araç, gereç ve malzeme, fiziki ve elektronik ortamdaki her türlü kayıt ve doküman ile diğer her türlü varlık envanteri ile mezkur Başkanlıkça söz konusu faaliyetlerin yürütülmesinden doğan her türlü borç ve alacaklar, hak ve yükümlülükler, Siber Güvenlik Başkanlığına düzenlemenin yayımından itibaren 6 ay içerisinde devredilecek.
BTK Başkanlığının kadro ve pozisyonlarında bulunan personelden ulusal siber güvenlik faaliyetleri kapsamında çalışanlar, taleplerinin bulunması ve uygun görülmesi halinde Siber Güvenlik Başkanlığınca görevlendirilebilecek.
Siber güvenlik alanında faaliyet icra eden dernek, derneklerden oluşan federasyon ve vakıflar ile ticaret şirketleri, düzenlemenin yayımından itibaren 1 yıl içerisinde Başkanlığın belirlediği ilke ve esaslar çerçevesinde sertifikasyon, yetkilendirme ve belgelendirme işlemlerini tamamlamakla yükümlü olacak. Yükümlülüğün yerine getirilmemesi halinde siber güvenlik alanında faaliyette bulunulamayacak.