Fikri Mülkiyet Hukuku - Bilişim Hukuku

Siber Tehditlerin Ontolojisi: Siber Güvenlik Kanunu ve AB Çerçevesi Karşılaştırması

Siber Tehditlerin Ontolojisi: Siber Güvenlik Kanunu ve AB Çerçevesi Karşılaştırması

Bu yazı, Türkiye'nin 7545 sayılı Siber Güvenlik Kanunu (bundan sonra "SGK" olarak anılacaktır) ile AB siber güvenlik düzenlemelerini hukuki bir perspektiften karşılaştıran bir dizi makalenin ilkidir.

The Ontology of Cyber Threats A Comparison of the Cyber Security Law and the EU Framework
To read this article in English, you can download this PDF
The Ontology of Cyber Threats_ A Comparison of the Cyber Security Law and the EU Framework.pdf
277 KB
download-circle

Giriş: Dijital Çağda Siber Güvenliğin Dönüşümü

İnternet, yaşamımızı kolaylaştırmak için tasarlanmış bir teknolojiydi. Ancak bugün, modern toplumun kritik altyapısını oluşturan bu ağ, aynı zamanda en büyük güvenlik zafiyetlerinin kaynağı haline geldi. Bu paradoks, siber güvenlik düzenlemelerinin temelini oluşturuyor. 2023 yılında dünya genelinde yaşanan 15 milyondan fazla veri ihlali, konunun önemini çarpıcı biçimde ortaya koydu. Kritik altyapı hedefli saldırılar, fidye yazılımları ve ulusal çapta siber saldırılar, artık yalnızca teknoloji şirketlerinin değil, ulus devletlerin de ana endişelerinden biri.

Siber güvenlik mevzuatı, bu teknolojik tehditlere karşı ülkelerin savunma silahı haline geldi. Ancak her ülke, kendi tarihsel, kültürel ve kurumsal yapısından kaynaklanan farklı yaklaşımlar benimsiyor. Bu karşılaştırmalı analiz, yalnızca teknik veya hukuki bir inceleme değil, aynı zamanda siber güvenliğin ontolojik temeline inen felsefi bir soruşturma olma amacını taşımaktadır.

"Neyi koruyoruz?", "Tehdit nedir?", "Güvenlik ve dayanıklılık arasındaki fark nedir?" gibi sorular, farklı düzenleyici çerçevelerin temelinde yatan varsayımları anlamak için önemli olacaktır.

Siber Güvenlik: Sadece Teknik Bir Sorun Değil, Toplumsal Bir Mesele

Siber uzay saldırıları artık sadece bilgisayar sistemlerine yönelik teknik tehditler olarak görülmüyor. Hem SGK hem de AB düzenlemeleri, siber güvenliği toplumsal güvenliğin temel bir bileşeni olarak konumlandırıyor. Ancak bu iki yaklaşım arasında önemli felsefi farklar var.

"Siber güvenlik nedir?" sorusu basit görünebilir, ancak hukuki metinlerdeki tanımlar, düzenleyici çerçevelerin temelindeki felsefi varsayımları ortaya koyuyor. 7545 sayılı Kanun'un 3. maddesinde siber güvenlik şöyle tanımlanıyor:

"Siber güvenlik: Siber uzayı oluşturan bilişim sistemlerinin saldırılardan korunmasını, bu ortamda işlenen verinin gizlilik, bütünlük ve erişilebilirliğinin güvence altına alınmasını, saldırıların ve siber olayların tespit edilmesini, bu tespitlere karşı tepki ve alarm mekanizmalarının devreye alınmasını ve sonrasında yaşanan siber olay öncesi duruma geri döndürülmesini kapsayan faaliyetler bütününü,"

Bu tanım, siber güvenliği saldırılara karşı tepkisel bir savunma olarak konumlandırırken, AB'nin NIS2 Direktifi ve Siber Dayanıklılık Yasası (CRA), siber güvenliği daha çok proaktif ve sistem dayanıklılığına odaklanan bir yaklaşımla ele almaktadır.

SGK'daki tanım incelendiğinde, "saldırılardan korunma", "tespit", "tepki" ve "geri döndürme" gibi ifadelerin öne çıktığını görüyoruz. Bu ifadeler, bir saldırı gerçekleştikten sonra harekete geçmeyi öngören tepkisel bir anlayışı yansıtıyor. Bu yaklaşım, siber güvenliği askeri bir savunma mantığı içinde konumlandırarak, saldırganın hedeflediği bir kaleyi koruma metaforunu benimsiyor. Kanun'un 5. maddesinde Başkanlığın görevleri arasında "siber dayanıklılık" ifadesi geçse de, bu kavram tali bir unsur olarak kalmakta ve kanunun bütünü tepkisel güvenlik anlayışını esas almaktadır

AB düzenlemeleri ise dayanıklılık (resilience) kavramını merkeze alıyor. 2022 tarihli NIS2 Direktifi, organizasyonların siber dayanıklılığını artırmayı hedefleyerek daha geniş bir sektör yelpazesine daha sıkı güvenlik gereksinimleri getiriyor. NIS2, sadece savunma değil, kuruluşların dijital altyapılarını güçlendirmeleri için proaktif önlemler almalarını şart koşuyor. Bu yaklaşım, yalnız kendi güvenliklerini değil, AB genelinde ortak siber dayanıklılığa katkıda bulunmayı amaçlıyor.

Bu dayanıklılık yaklaşımı, Kritik Varlıklar Dayanıklılık Direktifi (CER) ile daha da güçlendiriliyor. CER, kritik kuruluşların düzenli risk değerlendirmeleri yapmasını (Madde 10) ve dayanıklılıklarını sağlamak için uygun ve orantılı teknik ve organizasyonel önlemler almasını (Madde 11) zorunlu kılıyor. Kuruluşlar ayrıca bu önlemleri dayanıklılık planı veya eşdeğer bir belgede tanımlamak zorunda.

Siber Dayanıklılık Yasası (CRA) ise ürün odaklı bir yaklaşım benimseyerek, dijital bileşen içeren ürünlerde "güvenlik-tasarım-aşamasında" (security-by-design) prensibiyle üreticilere sorumluluklar yüklüyor. Son olarak, Siber Dayanışma Yasası (Regulation (EU) 2025/38) ise kolektif güvenliği merkeze alarak pan-Avrupa Güvenlik Operasyon Merkezleri altyapısı (Avrupa Siber Kalkanı), Siber Acil Durum Mekanizması ve Avrupa Siber Güvenlik Olayları İnceleme Mekanizması gibi üç temel bileşen üzerine kurulu bir sistem oluşturuyor.

Aralarındaki farkı somutlaştırmak için şu örneği düşünelim: Bir enerji şebekesine yönelik siber saldırı durumunda, SGK yaklaşımı öncelikle saldırganı tespit etmek, saldırıyı durdurmak ve sistemi eski haline getirmek üzerine odaklanır. AB yaklaşımı ise, saldırı gerçekleşse bile kritik hizmetlerin kesintisiz sürdürülebilmesi için alternatif yollar, yedek sistemler ve otomatik izolasyon mekanizmaları gibi dayanıklılık önlemlerini önceden tasarlamayı vurgulamaktadır.

Siber Varlığın Doğası: Teknik Altyapıdan Topluma Uzanan Etki

SGK'nın "siber uzay" tanımı:

"Siber uzay: Doğrudan ya da dolaylı olarak internete, elektronik haberleşme veya bilgisayar ağlarına bağlı olan tüm bilişim sistemlerini ve bunları birbirine bağlayan ağlardan oluşan ortamı,"

Bu tanım, siber uzayı öncelikle teknik bir altyapı olarak görürken, AB yaklaşımı siber uzayı sosyo-teknik bir ekosistem olarak ele alıyor. AB'nin Siber Dayanıklılık Yasası, siber uzayı yalnızca teknik bir sistem değil, toplumsal bir ortam olarak kavramsallaştırıyor.

SGK'nın tanımı incelendiğinde, siber uzayın fiziksel ve teknik bileşenlerini (bilgisayar ağları, bilişim sistemleri, elektronik haberleşme) vurguladığı görülmektedir. Bu tanım, siber uzayı belirli bir teknoloji biçimi olarak çerçevelendiriyor ve onu koruma yaklaşımını da büyük ölçüde teknik tedbirler etrafında şekillendiriyor.

AB'nin yaklaşımı ise zaman içinde önemli bir dönüşüm geçirdi. 2013 yılındaki ilk Siber Güvenlik Stratejisi'nde AB, temel olarak risk-temelli bir güvenlik mantığı benimsemişti. Bu stratejide güvenliğin yanında güvenlik vurgulanıyor ve siber olayların suç amaçlı, politik motivasyonlu, terörist veya devlet destekli saldırıların yanı sıra doğal afetler ve kasıtsız hatalar gibi çeşitli kaynaklardan gelebileceği kabul ediliyordu. Bu tüm tehlikeler yaklaşımı, antagonistik ve antagonistik olmayan tehdit ve riskleri kapsayan bir çerçeve sunuyordu.

Ancak 2020 stratejisinde, AB belirgin şekilde tehdit-temelli bir güvenlik mantığına doğru kaymıştır. Yeni strateji güvenli bir çevrimiçi ortam oluşturmaktan ziyade, insanları, işletmeleri ve kurumları siber tehditlerden korumaya odaklanmakta ve giriş bölümünde yalnızca kötü niyetli hedeflemeye bağlı siber saldırılara atıfta bulunmaktadır. Bir uzmanın ifadesiyle, AB, kullanılabilirlik ve güvenilirliği sağlamaya odaklanan bir yaklaşımdan, aktör odaklı tehditlere ve aktif korumaya odaklanan bir yaklaşıma geçmiştir.

Bu değişim yalnızca retorik düzeyde kalmamış, aynı zamanda somut kurumsal değişikliklerle de kurumsallaşmıştır. 2020 stratejisi, teknik/operasyonel savunma yetenekleri sağlayacak bir Avrupa Siber Kalkanı ve üye devletlere uzman/ekipman göndermek için bir Ortak Siber Birim oluşturulmasını önermektedir. Ayrıca, kötü niyetli siber faaliyetlere ortak AB diplomatik yanıtı için "siber diplomasi araç kutusu" ve atfetme yeteneklerini geliştirmek için bir AB siber caydırıcılık duruşu gibi yeni önlemler getirmektedir.

Önemli olan şu ki, AB'nin 2020 stratejisi, önceki risk-temelli yaklaşımı tamamen terk etmemiş, bunun üzerine tehdit-temelli bir mantık eklemiştir. Bu nedenle, her iki yaklaşım şu anda bir arada var olmaktadır, ancak bazı uzmanlar antagonist saldırılara artan odağın, arızalar ve hatalar dahil olmak üzere diğer yaygın siber olay nedenlerini yönetmekten dikkat ve kaynakları saptırabileceği konusunda endişe duymaktadır.

NIS2 Direktifi de benzer şekilde siber uzayı sadece ağ ve bilgi sistemlerinden oluşan bir yapı olarak değil, bu sistemlerin kullanıcıları ve siber olaylardan etkilenen diğer bireyleri de kapsayan geniş bir sosyal alan olarak tanımlamaktadır.

Cyber Solidarity Act (CSA) bu bütüncül yaklaşımı daha da ileri taşıyarak, siber güvenliğin yalnızca bir hükümet sorumluluğu olmadığını, özel sektörün de tehditlere karşı hayati bir rol oynadığını vurgulamaktadır. Bu yaklaşım, siber uzayı çeşitli aktörlerin etkileşim halinde olduğu kolektif bir sorumluluk alanı olarak görmektedir.

Bu farklılığın pratik sonuçları önemlidir. SGK'da siber uzay, milli güç unsurlarının korunması gereken bir alan olarak tanımlanırken, AB metinlerinde dijital tek pazarın bir parçası olarak ekonomik boyutla birlikte ele alınıyor. Bu farklılık, siber tehditlere karşı alınan önlemlerin felsefi temellerini de şekillendirmektedir.

AB'nin Cybersecurity Act, açık, güvenli, özgür ve barışçıl bir siber alan vizyonunu ortaya koyarken, SGK de benzer şekilde kapsamlı bir sertifikasyon çerçevesi sunmaktadır. SGK'nın 5. maddesinin (ğ) bendinde "siber güvenlik alanına ilişkin yazılım, donanım, ürün, sistem ve hizmetlere yönelik test ve sertifikasyon işlemlerini yürütmek" Başkanlığın görevleri arasında sayılmıştır. Kanun'un 6. maddesi Başkanlığa "siber güvenlik yazılım, donanım, ürün ve hizmetlerinin asgari güvenlik kriterlerini belirler" ve "sertifikasyon, yetkilendirme ve belgelendirme süreçlerini yönetir" yetkisi vermiştir. Kanun ayrıca 7. maddede kamu kurumları ve kritik altyapılar için "Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş" ürün ve hizmetlerin kullanımını zorunlu kılmaktadır. Her iki düzenleme de dijital ekosistemde güven oluşturmayı hedeflemektedir.

AB düzenlemelerinin evrimi, tehdit-temelli mantığı yansıtan terimlerin artan sıklığı ve strateji belgelerinde daha önce bulunmayan caydırıcılık ve diplomasi gibi yeni kavramların tanıtılmasıyla da belgelenmiştir. Bu terimler SGK'da da bulunmakla birlikte, SGK'nın yaklaşımı daha çok ulusal düzeyde koruma odaklıyken, AB'nin yaklaşımı Avrupa Birliği çapında koordine edilen daha kapsamlı bir strateji sunmaktadır.

AB'nin benimsediği yaklaşımın temelinde yatan düşünce, siber tehditlerin doğası gereği sınır tanımadığı ve bu nedenle etkin bir savunmanın ancak uluslararası işbirliği ile mümkün olabileceğidir. AB Komisyonu'nun siber güvenlik stratejisinde belirtildiği gibi, siber tehditlerle mücadelede üye devletlerin parçalarının toplamından daha büyük olabilmesi için kolektif yanıt mekanizmaları geliştirmeleri gerekmektedir. Siber güvenlik artık yalnızca ulusal bir mesele değil, paylaşılan egemenliğin bir bileşeni olarak görülmektedir. Bu anlayış, AB'nin ortak savunma yetenekleri, siber diplomasi ve caydırıcılık stratejileri geliştirme çabalarının altyapısını oluşturmaktadır.

Türkiye'nin Yaklaşımında Siber Egemenlik

SGK'da dikkat çeken bir başka özelliklerden biri, siber uzayı ulusal egemenlik alanı içinde tanımlaması ve milli güç unsurları çerçevesinde ele almasıdır. Kanunun 1. maddesinde belirtilen amaç, "Türkiye Cumhuriyeti'nin siber uzaydaki milli gücünü meydana getiren bütün unsurlarına karşı içten ve dıştan yöneltilen mevcut ve muhtemel tehditlerin tespit ve bertaraf edilmesi" olarak açıklanmıştır.

Bu yaklaşım, son yıllarda özellikle Çin ve Rusya gibi ülkelerin savunduğu siber egemenlik kavramıyla paralellik gösteriyor. Siber egemenlik, internet ve dijital teknolojilerin ulusal güvenlik kaygıları ve devlet kontrolü temelinde düzenlenmesi gerektiğini savunur. Bu bakış açısı, interneti ulusal sınırlarla bölünebilir bir alan olarak görmekte ve devletlerin kendi siber toprakları üzerinde tam kontrole sahip olması gerektiğini öne sürmektedir.

SGK'nın bu yaklaşımı, özellikle Siber Güvenlik Başkanlığı'na verilen geniş yetkilerle somutlaşmaktadır. Başkanlık, milli güvenliğin ayrılmaz bir parçası olarak tanımlanan siber güvenliği sağlamak için neredeyse tüm kritik altyapıları denetleme, düzenleme ve müdahale etme yetkisine sahiptir.

AB Yaklaşımında Dijital Tek Pazar ve İşbirliği

AB siber uzayı ekonomik bir boyutla, dijital tek pazar kavramı çerçevesinde ele alırken, aynı zamanda stratejik özerklik ve dijital liderlik hedefleriyle de ilişkilendirmektedir. AB Konseyi, 2021'de kabul ettiği sonuç bildirgesinde siber güvenliğin dayanıklı, yeşil ve dijital bir Avrupa inşa etmek için gerekli olduğunu ve özellikle AB'nin dijital liderliğini güçlendirmek için stratejik özerkliğe ulaşmanın önemini vurgulamıştır.

AB'nin yaklaşımı, siber güvenliği yalnızca ekonomik refahı destekleyen bir faktör olarak değil, aynı zamanda güvenlik, diplomatik ve jeopolitik boyutları olan bütüncül bir mesele olarak ele almaktadır. Avrupa Komisyonu ve Dış İlişkiler Servisi (EEAS) tarafından yayınlanan ortak bildiri, siber tehditleri önlemek, caydırmak ve bunlara yanıt vermek için AB'nin yeteneklerini güçlendirmeyi amaçlamaktadır. AB'nin siber güvenlik yaklaşımı, siber diplomasi araç kutusu ve siber caydırıcılık duruşu gibi diplomatik ve güvenlik boyutlarını da içermektedir.

Bu çok yönlü yaklaşım, AB'nin siber güvenlik düzenlemelerini şekillendirmektedir. AB Siber Güvenlik Ajansı (ENISA), Bilgisayar Olaylarına Müdahale Ekipleri Ağı (CSIRTs Network) ve NIS İşbirliği Grubu gibi yapıların yanı sıra, Konsey tarafından önerilen ortak siber birim ve üye devletlerin siber istihbarat çalışma grubu gibi yeni mekanizmalar, ulusal sınırları aşan bir siber güvenlik mimarisi oluşturmayı hedeflemektedir.

AB'nin dijital tek pazar stratejisi, sanal sınırları kaldırmayı ve tüketicilerin Avrupa endüstrisi genelinde sınır ötesi çevrimiçi içeriğe erişimini kolaylaştırmayı amaçlamaktadır. Bu stratejinin temel hedefi parçalanma yerine uyumlaştırmadı. AB, Cybersecurity Act ile ürünler, süreçler ve hizmetler için Avrupa Siber Güvenlik Sertifikaları çerçevesi oluşturarak AB içinde daha güvenli bir dijital alan yaratmayı hedeflemektedir.

AB'nin siber güvenlik stratejisi, uluslararası iş birliğini merkezine almaktadır. AB'nin amacı, siber uzayda çatışma önleme ve istikrar için küresel bir çerçeve oluşturmaktır. Bu çerçevenin temelinde, devletlerin siber uzayda da diğer alanlarda olduğu gibi davranması ve mevcut uluslararası hukuku uygulamasına dayalı ortak bir anlayış bulunmaktadır. AB ayrıca, yanlış algılama, tırmanma ve çatışma riskini azaltmak için siber güvenlik güven artırıcı önlemlerin uygulanmasını desteklemektedir

Üçlü Kavramsal Çerçeve: Gizlilik, Bütünlük, Erişilebilirlik

Hem SGK hem de AB düzenlemeleri, siber güvenliğin üç temel unsuru olan gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirlik (availability) kavramsal üçlemesini temel alıyor. Bu üçleme siber güvenliğin evrensel bir çerçevesini oluşturuyor.[1]

Ancak bu üçlemenin uygulanmasında önemli farklar görüyoruz:

  • SGK bu üçlemeyi saldırı odaklı bir perspektiften ele alırken
  • AB düzenlemeleri bunu risk yönetimi perspektifi içinde konumlandırıyor

CIA Üçlemesinin Kökenleri ve Önemi

Gizlilik, bütünlük ve erişilebilirlik (CIA - Confidentiality, Integrity, Availability) üçlemesi, bilgi güvenliği alanında temel bir paradigmadır. 1970'lerin sonunda, ARPANET güvenlik protokollerinin geliştirilmesi sırasında ortaya çıkan bu kavramsal çerçeve, günümüzde neredeyse tüm siber güvenlik düzenlemelerinin ve standartlarının (ISO 27001, NIST, vb.) temelini oluşturur.

Bu üç kavram, bilgi güvenliğinin korumayı amaçladığı temel değerleri tanımlar:

  1. Gizlilik: Bilginin yalnızca yetkili kişilerce erişilebilir olması
  2. Bütünlük: Bilginin yetkisiz veya kazara değiştirilmemesi, tutarlılığının korunması
  3. Erişilebilirlik: Bilginin ihtiyaç duyulduğunda kullanılabilir olması

Bu üçleme, siber güvenlik sorunlarını tanımlamak, sınıflandırmak ve önceliklendirilmek için evrensel bir dil sağlar. Örneğin, bir fidye yazılımı saldırısı öncelikle erişilebilirliği, bir veri sızıntısı gizliliği, bir veritabanı manipülasyonu ise bütünlüğü tehdit eder.

Farklı Uygulama Yaklaşımları: Saldırı Odaklı vs. Risk Yönetimi

SGK'nın saldırı odaklı yaklaşımında, CIA üçlemesi tehdit aktörlerinin hedeflediği değerler olarak ele alınır. Kanun, bu üç değere yönelik ortadan kaldırma girişimlerini tanımlar ve bunlara karşı koruma mekanizmaları önerir. Bu yaklaşımda, siber güvenlik problemi öncelikle bir saldırgan-savunmacı ilişkisi olarak çerçevelendirilir.

AB'nin risk odaklı yaklaşımında ise, bu üçlü çerçeve daha geniş bir risk yelpazesi içinde değerlendirilir. AB düzenlemeleri, yalnızca kasıtlı saldırıları değil, aynı zamanda sistem arızaları, insan hataları, doğal afetler ve diğer kazara olayları da bu üç değere yönelik tehditler olarak kabul eder. Bu nedenle, AB yaklaşımı daha çok risk değerlendirme, risk azaltma ve risk yönetimi süreçlerine odaklanır.

Ancak, şunu da belirtmek lazım ki AB düzenlemelerinde bu üçleme kaygı verici derecede tutarsız biçimde uygulanıyor.[2] Örneğin, GDPR'ın 5(1)(f) maddesi veri erişilebilirliğini açıkça belirtmiyor. Bu durum, AB'nin çok sayıda düzenleyici kurum ve çerçeve arasında yaşanan koordinasyon zorluklarını yansıtıyor.

Son yıllarda, CIA üçlemesinin siber güvenliğin tüm boyutlarını kapsayamadığı tartışılmaktadır. Özellikle mahremiyet (privacy), kimlik doğrulama (authentication) ve inkar edilemezlik (non-repudiation) gibi kavramlar, bu üçlemeye ek olarak önem kazanmaktadır.

Aktör-Tehdit İlişkisi: Saldırgan-Odaklı ve Risk-Odaklı Yaklaşımlar

SGK, siber tehditleri aktör odaklı bir yaklaşımla ele alıyor. Kanunun 3. maddesinde "siber saldırı" tanımı şöyle yapılıyor:

"Siber saldırı: Siber uzaydaki bilişim sistemlerinin ve bu sistemler tarafından işlenen verinin gizliliği, bütünlüğü veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın herhangi bir yerindeki kişi veya bilişim sistemlerine yönelik olarak kasıtlı yapılan işlemleri,"

Bu tanım, siber tehditleri kasıtlı bir saldırganın eylemleri olarak çerçevelendiriyor. Öte yandan, AB'nin 2023 Siber Dayanıklılık Yasası'nda ise, tehditler daha çok sistemin kendisindeki riskler açısından konumlandırılıyor - kasıtlı saldırılar yanında kaza ve doğal afetler de dahil olmak üzere.

Bu farklılık, risk tabanlı ve tehdit tabanlı güvenlik mantıkları arasındaki ayrımı yansıtıyor.[3] Türkiye'nin yaklaşımı daha çok tehdit tabanlı iken, AB hem risk hem de tehdit mantıklarını birleştiren bir yaklaşım benimsemiş durumda.

Tehdit Tabanlı Güvenlik: Saldırganların Motivasyonları ve Kabiliyetleri

Tehdit tabanlı güvenlik mantığı, potansiyel saldırganların kimliklerine, motivasyonlarına ve kabiliyetlerine odaklanır. Bu yaklaşımda, siber güvenliğin temel görevi, düşman aktörlerin (ulus devletler, siber suç örgütleri, hacktivistler vb.) eylemlerini tespit etmek, caydırmak ve etkisiz hale getirmektir.

SGK'nın 3. maddesindeki "kasıtlı yapılan işlemler" ifadesi, bu saldırgan odaklı perspektifi açıkça ortaya koyar. Siber güvenlik sorunu, temelde bir aktörün bilinçli ve kötü niyetli eylemleri olarak görülür. Bu nedenle, SGK kapsamında geliştirilen güvenlik stratejileri, saldırganların tespiti, saldırıların atfedilmesi (attribution) ve saldırganlara karşı caydırıcı önlemler etrafında şekillenir.

Bu yaklaşım, 2017 yılındaki WannaCry fidye yazılımı saldırısına Türkiye'nin verdiği yanıtta görülebilir. Türkiye'nin tepkisi, öncelikle saldırıyı gerçekleştiren aktörlerin tespit edilmesi ve benzeri saldırıları önlemek için alınabilecek savunma tedbirlerine odaklanmıştı.

Risk Tabanlı Güvenlik: Sistemdeki Zafiyetler ve Dayanıklılık

Risk tabanlı güvenlik mantığı ise saldırganların niyetleri ve kabiliyetlerinden ziyade, sistemdeki zafiyetlere ve bu zafiyetlerin istismar edilmesi durumunda ortaya çıkabilecek potansiyel etkilere odaklanır. Bu yaklaşımda temel soru "kim saldırabilir?" değil, "neler yanlış gidebilir?" ve "bunun etkileri ne olur?" sorularıdır.

AB'nin NIS2 Direktifi ve CRA, risk değerlendirme ve risk yönetimi süreçlerine güçlü vurgu yapar. Bu düzenlemeler kapsamında, kuruluşlar düzenli risk değerlendirmeleri yapmak, risk azaltma planları geliştirmek ve kalan riskleri belgelemekle yükümlüdür. AB yaklaşımında, siber olaylar yalnızca kasıtlı saldırılardan değil, teknik arızalar, yazılım hataları, insan hataları, doğal afetler veya diğer beklenmedik olaylardan da kaynaklanabilir.

AB'nin WannaCry saldırısına yanıtı, saldırıyı gerçekleştirenleri tespit etmeye çalışmanın yanı sıra, bu tür saldırıların etkisini azaltmak için sistemlerin dayanıklılığını artırmaya odaklanmıştı. Bu doğrultuda, NIS2 Direktifi şirketlerin güncel yazılım ve güvenlik yamalarının kullanımını zorunlu kılacak şekilde geliştirildi.

Kritik Altyapı Kavramı: Meta-Altyapı Olarak Siber Uzay

SGK kritik altyapıyı şöyle tanımlıyor:

"Kritik altyapı: İşlediği bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliği bozulduğunda can kaybına, büyük ölçekli ekonomik zarara ve güvenlik açıklarına veya kamu düzeninin bozulmasına yol açabilecek bilişim sistemlerini barındıran altyapıları,"

Bu tanım, kritik altyapıyı fiziksel etki potansiyeli olan bilişim sistemleri açısından hukuki çerçeveye oturtuyor. AB yaklaşımı ise kritik altyapıların kritik altyapısı kavramını daha çok yansıtıyor - siber alanın diğer tüm kritik altyapıları destekleyen bir meta-altyapı olduğu düşüncesi.[4]

Kritik altyapı kavramı, tarihsel olarak öncelikle fiziksel sistemleri (enerji santralleri, barajlar, köprüler, vb.) ifade etmekteydi. Ancak dijital dönüşümle birlikte, bu altyapılar giderek siber-fiziksel sistemler haline geldi - yani fiziksel bileşenlerle dijital kontrol sistemlerinin iç içe geçtiği yapılar ortaya çıktı.

SGK'nın kritik altyapı tanımı, bu geçiş döneminin izlerini taşır. Tanım, öncelikle fiziksel etkileri olan dijital sistemlere odaklanır. "Can kaybı", "büyük ölçekli ekonomik zarar", "kamu düzeninin bozulması" gibi ifadeler, siber güvenlik ihlallerinin fiziksel dünyada yaratacağı etkileri vurgular. Bu yaklaşım, siber güvenliği temelde fiziksel güvenliğin bir uzantısı olarak konumlandırır.

SGK, bu tanım çerçevesinde kritik altyapıların güvenliğini sağlamak için kapsamlı standartlar ve sertifikasyon mekanizmaları da öngörmektedir. Kanunun 5. maddesinin (g) bendi, Siber Güvenlik Başkanlığı'na "siber güvenlik alanına ilişkin standartları hazırlamak, diğer kişi veya kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğu takdirde standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek" görevini vermektedir. Ayrıca 6. maddenin (ı) bendi uyarınca Başkanlık, "siber güvenlik yazılım, donanım, ürün ve hizmetlerinin asgari güvenlik kriterlerini belirler" ve bu kriterlere uygunluk için sertifikasyon süreçlerini yönetir.

Bu standartlara uyum sağlama zorunluluğu, 7. maddenin (c) bendinde açıkça belirtilmiştir. Bu hükme göre, "kamu kurumları ve kuruluşları ile kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanlarından, üreticilerden veya şirketlerden tedarik etmek" zorunludur. Geçici Madde 1'de ise siber güvenlik alanında faaliyet gösteren tüm kuruluşların sertifikasyon ve belgelendirme işlemlerini tamamlama yükümlülüğü getirilmiştir.

AB'nin yaklaşımında ise, özellikle Critical Entities Resilience Directive ile CRA arasındaki ilişkide görüldüğü üzere, siber uzay kritik altyapıların kritik altyapısı olarak kavramsallaştırılır. Bu perspektifte, siber güvenlik diğer tüm kritik altyapıları destekleyen temel bir altyapı olarak görülür. Enerji, ulaşım, sağlık, finans gibi sektörlerin tümü, artık dijital sistemlere bağımlıdır ve bu sistemlerin güvenliği, diğer tüm altyapıların güvenliğinin ön koşuludur.

Her ne kadar hem SGK hem de AB düzenlemeleri kapsamlı güvenlik standartları sunsa da, bunların felsefi temellerinde belirgin bir fark vardır. SGK, kritik altyapıları korumayı siber güvenliği milli güvenliğin ayrılmaz bir parçası olarak konumlandırarak ulusal güvenlik perspektifinden ele alırken, AB yaklaşımı siber güvenliği tüm sektörleri destekleyen bir meta-altyapı olarak görmekte ve ekonomik entegrasyon, sınır ötesi işbirliği bağlamında değerlendirmektedir.

Kritik Hizmetlerden Kritik Varlıklara

Dikkat çekici bir gelişme olarak, hem SGK hem de AB düzenlemeleri, giderek kritik altyapı kavramından kritik hizmetler veya kritik varlıklar kavramlarına doğru bir dönüşüm göstermektedir. Bu dönüşüm, korunması gereken şeyin yalnızca fiziksel sistemler değil, aynı zamanda bu sistemler aracılığıyla sunulan hizmetler ve toplumsal işlevler olduğu anlayışını yansıtır.

SGK'nın 3. maddesinin (e) bendinde tanımlanan "kritik kamu hizmeti" kavramı, bu yönelimin bir örneğidir:

"Kritik kamu hizmeti: Ulusal, toplumsal veya ekonomik faaliyetlerin sürdürülmesi için gerekli olan ve kesintiye uğraması veya zarar görmesi halinde ulusal güvenlik, ülkenin sosyal veya ekonomik refahı, kamu düzeni veya sağlığı ya da diğer hizmetlerin sunumu üzerinde önemli bir etki oluşturabilecek ülke genelinde tekel veya sınırlı ikame ile sunulan hizmeti,"

Benzer şekilde, AB'nin CER Direktifi, kritik varlık kavramını temel hizmetlerin sunulması için gerekli olan ve bu hizmetlerin kesintiye uğramasının önemli toplumsal veya ekonomik etkilere yol açacağı varlıklar olarak tanımlamaktadır.

Bu dönüşüm, siber güvenlik anlayışının giderek teknik sistemlerin korunmasından, toplumsal işlevlerin sürdürülebilirliğinin sağlanmasına doğru evrildiğini gösterir. Bu evrim, aynı zamanda siber güvenliğin teknik bir mesele olmaktan çıkıp, toplumsal ve politik bir mesele haline geldiğinin bir göstergesidir.

Kültürel ve Toplumsal Bağlam Farklılıkları

SGK'nın 4. maddesinde "temel ilkeler" belirtilirken şu ifade yer almaktadır:

"Siber güvenlik milli güvenliğin ayrılmaz bir parçasıdır."

Bu ilke, siber güvenliği doğrudan ulusal güvenlik çerçevesinde konumlandırmaktadır. AB düzenlemeleri ise siber güvenliği daha çok ekonomik, sosyal ve politik boyutları olan çok katmanlı bir konu olarak ele alıyor. AB'nin yaklaşımı, Düzenleyici Güvenlik Devleti (Regulatory Security State) kavramı ile açıklanabilir - burada düzenleme yetkisi, doğrudan güvenlik aracı olarak kullanılmaktadır.[5]

SGK'nın yaklaşımında, siber güvenlik devletin varlığını ve bütünlüğünü korumaya yönelik diğer güvenlik tedbirleriyle aynı kategoride değerlendirilir. SGK'nın İçişleri Bakanlığı, Milli Savunma Bakanlığı, Milli Güvenlik Kurulu Genel Sekreterliği ve Milli İstihbarat Teşkilatı gibi güvenlik kurumlarının temsilcilerinden oluşan bir Siber Güvenlik Kurulu oluşturması, bu bakış açısını yansıtmaktadır.

AB'nin Düzenleyici Güvenlik Devleti yaklaşımında devlet, doğrudan askeri veya polisiye güç kullanmak yerine, düzenleyici çerçeveler oluşturarak dolaylı yoldan güvenliği sağlar. Örneğin, AB'nin NIS2 Direktifi, özel sektör kuruluşlarına belirli siber güvenlik standartlarını zorunlu kılarak, bu kuruluşları devletin güvenlik hedeflerinin uygulayıcıları haline getirir.

Türkiye'nin modeli ise, düzenleyici unsurlar içermekle birlikte, daha çok Pozitif Güvenlik Devleti (Positive Security State) kavramına yakındır. Bu modelde devlet, güvenliği doğrudan kendi kurumları aracılığıyla sağlar. SGK'nın Siber Güvenlik Başkanlığı'na verdiği geniş müdahale ve denetim yetkileri, bu yaklaşımın bir göstergesidir.

Siber güvenlik yaklaşımlarındaki bu farklılıklar, daha geniş kültürel ve kurumsal faktörlerle de ilişkilidir. AB'nin çok uluslu ve federatif yapısı, düzenleyici yaklaşımları zorunlu kılar, çünkü ortak bir askeri veya istihbarat yapısı oluşturmak politik olarak zordur. Üye ülkeler arasındaki farklı güvenlik algıları ve öncelikleri, ortak bir düzenleyici çerçeve oluşturmayı, doğrudan müdahale mekanizmaları geliştirmekten daha uygulanabilir kılar. Türkiye gibi merkezi yönetim geleneği güçlü olan ülkelerde ise, devletin doğrudan müdahale ve kontrol mekanizmaları geliştirmesi daha olağandır. Siber güvenliğin ulusal güvenlikle ilişkilendirilmesi, bu alanın da geleneksel güvenlik kurumları ve yaklaşımlarıyla yönetilmesini teşvik eder.

Yaklaşım Farklılıklarının Pratik Etkileri

Türk ve AB siber güvenlik yaklaşımlarındaki felsefi farklılıklar, pratik düzenlemelere de yansıyor. Türkiye'nin merkezileştirilmiş, ulusal güvenlik odaklı yaklaşımı, Siber Güvenlik Başkanlığı'na verilen geniş yetkilerle somutlaşırken, AB'nin dağıtık, risk-odaklı yaklaşımı çok sayıda düzenleyici araç ve kurum arasında bölünmüş durumda.

İşgalci orman olarak nitelendirilen AB yaklaşımı,[6] kavramsal tutarlılık açısından zorluklar yaratırken, Türkiye'nin merkezileştirilmiş, tehdit-odaklı yaklaşımı ise esneklik ve uyarlanabilirlik açısından soru işaretleri oluşturuyor.

SGK ile oluşturulan kurumsal yapı, siber güvenliğin merkezi bir otoriteyle yönetilmesini öngörmektedir. Siber Güvenlik Başkanlığı, kritik altyapıların ve kamu kurumlarının siber güvenliğinden doğrudan sorumludur ve bu kurumlara yönelik denetim, müdahale ve yaptırım yetkileriyle donatılmıştır. Bu merkezi yapının en büyük avantajı, hızlı karar alma ve koordineli müdahale imkanı sağlamasıdır. Özellikle ulusal çaptaki siber güvenlik krizlerinde, tek bir otoritenin koordinasyonundaki müdahale süreci daha hızlı ve tutarlı olabilir. Örneğin, kritik altyapıya yönelik bir siber saldırı durumunda, Siber Güvenlik Başkanlığı tüm ilgili kurumları koordine edebilir ve ulusal düzeyde bir yanıt oluşturabilir.

Ancak bu merkezi yapının bazı potansiyel dezavantajları da vardır. Öncelikle, siber tehditler çok hızlı değişen ve evrimleşen tehditlerdir. Merkezi bir yapının, bu değişime ayak uydurma ve yenilikçi çözümler geliştirme konusunda daha az esnek olabileceği endişesi mevcuttur. Ayrıca, siber güvenlik alanında uzmanlık küresel olarak yayılmıştır ve birçok yenilikçi çözüm özel sektör ve akademiden gelmektedir. Merkezi bir yapı, bu çeşitli bilgi ve uzmanlık kaynaklarından yeterince faydalanamayabilir.

AB'nin dağıtık yönetişim modeli ise, farklı aktörlerin (üye devletler, AB kurumları, özel sektör, sivil toplum) birbirleriyle etkileşim halinde olduğu çok katmanlı bir sistem öngörür. ENISA, NIS İşbirliği Grubu, CSIRTs Network, CyCLONe (AB Siber Kriz Bağlantı Organizasyonu Ağı) gibi çeşitli kurumlar ve platformlar, siber güvenlik yönetişiminde farklı rollere sahiptir. Bu dağıtık modelin güçlü yanı, çeşitli uzmanlık kaynaklarından faydalanabilmesi ve yenilikçi çözümlerin gelişimini teşvik etmesidir. Farklı aktörlerin katılımı, daha geniş bir paydaş yelpazesinin endişelerini ve perspektiflerini dikkate alan politikalar geliştirilmesini sağlar. Ancak, bu yaklaşımın da koordinasyon zorlukları, yetki belirsizlikleri ve karar alma süreçlerinde yavaşlık gibi dezavantajları olabilir.

İnovasyon ve Piyasa Dinamikleri Üzerindeki Etkileri

Siber güvenlik düzenlemelerinin inovasyon ve piyasa dinamikleri üzerindeki etkileri de önemli bir karşılaştırma noktasıdır. AB'nin risk odaklı ve piyasa dostu yaklaşımı, genellikle inovasyonu teşvik eden bir ortam yaratmayı hedefler. NIS2 Direktifi ve CRA gibi düzenlemeler, belirli güvenlik çıktılarına odaklanır ve bu çıktılara nasıl ulaşılacağı konusunda şirketlere esneklik tanır. Bu "sonuç odaklı düzenleme" (outcome-based regulation) yaklaşımı, şirketlerin yenilikçi çözümler geliştirmesini teşvik eder.

AB ayrıca, siber güvenlik inovasyonunu doğrudan destekleyen programlar da yürütür. Horizon Europe, Digital Europe ve Connecting Europe Facility gibi programlar, siber güvenlik araştırma ve geliştirme projelerine milyarlarca euro finansman sağlar. Bu programlar, özellikle küçük ve orta ölçekli işletmelerin (KOBİ'ler) ve start-up'ların yenilikçi siber güvenlik çözümleri geliştirmesini teşvik etmektedir.

SGK'nın yaklaşımı ise, inovasyon yerine daha çok uyum ve standardizasyona odaklanır. Kanunun 5. maddesi, Siber Güvenlik Başkanlığı'na siber güvenlik alanındaki standartları belirleme yetkisi verir:

"Siber güvenlik alanına ilişkin standartları hazırlamak, diğer kişi veya kuruluşlarca hazırlanan standartları tetkik etmek, bunlar hakkında mütalaa vermek, uygun bulduğu takdirde standart olarak kabul etmek, bunları yayımlamak ve uygulanmalarını takip etmek."

Bu standartlara uyum zorunluluğu, bir yandan asgari güvenlik seviyesini garanti ederken, diğer yandan inovasyonu kısıtlayabilir. Özellikle, SGK'nın 18. maddesinde belirtilen, siber güvenlik ürünlerinin yurt dışına satışı için Başkanlık onayı gerekliliği, yerli siber güvenlik şirketlerinin küresel pazarlarda rekabet gücünü etkileyebilir.

Bununla birlikte, SGK'nın 4. maddesinin (ğ) bendi, "Siber güvenlik alanında nitelikli insan kaynağı kabiliyet ve kapasitesinin artırılmasına yönelik çalışmalar teşvik edilir" ifadesini içerir, bu da insan kaynağı geliştirme yoluyla inovasyonu desteklemeye yönelik bir taahhüt olarak görülebilir.

Sonuç: Bir Senteze Doğru mu?

Türk ve AB siber güvenlik yaklaşımlarındaki felsefi farklılıklar, pratik düzenlemelere de yansıyor. Türkiye'nin merkezileştirilmiş, ulusal güvenlik odaklı yaklaşımı, Siber Güvenlik Başkanlığı'na verilen geniş yetkilerle somutlaşırken, AB'nin dağıtık, risk-odaklı yaklaşımı çok sayıda düzenleyici araç ve kurum arasında bölünmüş durumda.

Siber Güvenlik Kanunu'nun, ulusal siber güvenlik çerçevesini güçlendirme yönünde önemli bir adım olduğu aşikardır. Kanun, Siber Güvenlik Başkanlığı'nı kurarak ve kritik altyapıların siber dayanıklılığını artırmayı amaçlayarak kapsamlı bir çerçeve oluşturmaktadır. Ancak bu temel çerçevenin ikincil düzenlemelerle daha da güçlendirilmesi mümkündür. Özellikle AB'nin NIS2 Direktifi, Siber Dayanıklılık Yasası ve Siber Dayanışma Yasası gibi düzenlemelerinin güçlü yanlarını entegre etmek, Türkiye'nin siber güvenlik yaklaşımını daha etkili hale getirebilir.

Türkiye'nin 12. Kalkınma Planı'nda belirtilen altı ana hedef arasında yer alan siber dayanıklılık, proaktif siber savunma ve caydırıcılık, insan merkezli yaklaşım, güvenli teknoloji kullanımı, yerli ve milli teknolojiler, ve siber diplomasi alanında aktif rol, AB'nin yaklaşımıyla uyumlu birçok unsur içermektedir. İkincil düzenlemelerde, özellikle AB'nin sektörler arası standartlaştırma, risk değerlendirme ve uluslararası işbirliği konularındaki deneyimlerinden yararlanmak, kanunun etkinliğini artırabilir.

Yeni Siber Güvenlik Kanunu'nun getirdiği düzenli siber güvenlik değerlendirmeleri ve penetrasyon testleri, AB'nin risk temelli yaklaşımının bazı unsurlarını zaten içermektedir. Bu yaklaşımın daha da güçlendirilmesi ve Başkanlığın koordinasyonunda farklı sektörlerin özgün ihtiyaçlarını karşılayan esnek çözümlerin geliştirilmesi, kanunun uygulama etkinliğini artırabilir.

Siber tehditlerin sürekli evrimleşen doğası, düzenleyici çerçevelerin de sürekli güncellenmesini ve geliştirilmesini gerektirir. Bu nedenle, siber güvenlik düzenlemelerinin statik kurallar değil, dinamik ve öğrenen sistemler olarak tasarlanması önemlidir.

Son olarak, siber güvenliğin yalnızca teknik bir mesele değil, aynı zamanda toplumsal, ekonomik ve politik bir mesele olduğu unutulmamalıdır. En etkili siber güvenlik stratejileri, teknik önlemlerin yanı sıra, kurumsal kapasite geliştirme, farkındalık artırma, eğitim ve uluslararası işbirliği gibi unsurları da içeren bütüncül yaklaşımlardır. Türkiye'nin yeni Siber Güvenlik Kanunu, ulusal güvenlik odaklı güçlü bir temel sağlarken, AB'nin dayanıklılık ve işbirliği odaklı yaklaşımının en iyi uygulamalarını entegre eden ikincil düzenlemelerle desteklenmesi, ülkenin siber tehditlere karşı dayanıklılığını önemli ölçüde artırabilir. Bu bağlamda, hem Türkiye hem de AB'nin siber güvenlik yaklaşımlarının, teknolojik gelişmeler ve değişen tehdit ortamı karşısında sürekli olarak değerlendirilmesi ve geliştirilmesi kritik önem taşımaktadır.

  1. Olejnik, L., Kurasiński, A. (2024). Cybersecurity Philosophical Framework: A Comprehensive Approach to Cyber Threat Analysis. Journal of Cybersecurity Theory and Practice, 15:2, 3-14. ↩︎

  2. Bygrave, L. (2025). EU Cybersecurity Law: Evolution, Challenges, and Metaphorical Analysis. European Law Review, 40:1, 6. ↩︎

  3. Backman, S. (2023). Risk vs. threat-based cybersecurity: the case of the EU. European Security, 32:1, 85-103. ↩︎

  4. Hubbard, G.A. (2023). State-level Cyber Resilience: A Conceptual Framework. ACIG, 2:1, 216. ↩︎

  5. Mügge, D. (2023). Securitizing tech-regulation: the European Union as regulatory security state in cyberspace. Journal of European Public Policy, 30:7, 1431-1442. ↩︎

  6. Bygrave, L. (2025). EU Cybersecurity Law: Evolution, Challenges, and Metaphorical Analysis. European Law Review, 40:1, 7. ↩︎

💡
Bir sonraki yazıda, dayanıklılık ile ilgili daha detaylı bir konu ele alacağız.