27 Haziran 2018 tarihinde, Siber Güvenlik Kanunu'nun 21. maddesine dayalı olarak Kamu Güvenliği Bakanlığı, “Siber Güvenlik Koruma Düzeylerine İlişkin Yönetmelik” taslağını hazırlayarak kamuoyundan görüş alınması için hazırladığı taslağı duyurdu.
Şu an itibariyle, taslak henüz resmi olarak yayımlanmış bir yasa haline gelmemiştir.
Taslağın temel noktaları aşağıdaki gibidir:
(1) Ağ sistemi, milli güvenlik, ekonomik yapı ve sosyal yaşamdaki önemine göre beş güvenlik koruma kademesine ayrılacaktır.
Ağ sisteminin önemi, birinci seviyeden beşinci seviyeye doğru giderek artmaktadır. (Madde 15)
Farklı seviyelerdeki ağ sistemleri, aşağıdaki gibi, o seviyedeki ağ sisteminin bir ağ güvenliği olayı durumunda ilgili çıkarların ne ölçüde zarar görebileceğini gösterir:
Seviye 1: Ulusal güvenlik, sosyal düzen ve kamu çıkarları tehlikeye atılmayacaktır;
Seviye 2: Sosyal düzen ve kamu çıkarları tehlikeye girecek ve ulusal güvenlik tehlikeye girmeyecektir;
Seviye 3: Sosyal düzen ve kamu çıkarları ciddi şekilde tehlikeye girecek veya ulusal güvenlik tehlikeye girecek;
Seviye 4: Sosyal düzen ve kamu çıkarları özellikle ciddi şekilde tehlikeye girecek veya ulusal güvenlik ciddi şekilde tehlikeye girecek;
Seviye 5: Ulusal güvenlik özellikle ciddi şekilde tehlike altındadır.
(2) Şebeke operatörü, planlama ve tasarım aşamasında şebekenin güvenlik koruma seviyesini belirler ve uzmanlar ve yetkili makamlar, şebekenin seviyesini teyit eder. Seviye onaylandıktan sonra, ağ operatörü ayrıca kamu güvenlik organına başvurmalıdır. (Madde 16, 17, 18)
(3) Ağ operatörleri gerekli güvenlik yükümlülüklerini yerine getirmeli ve Seviye 3'ün üzerindeki ağların operatörleri de özel güvenlik koruma yükümlülüklerini yerine getirmelidir. (Madde 20 ve 21)
(4) Ağ operatörleri tarafından satın alınan ağ ürünleri ve hizmetleri ulusal güvenliği etkileyebiliyorsa, bu tür ürünler ve hizmetler düzenleyici makamlar tarafından organize edilen ulusal güvenlik incelemelerine tabi tutulmalıdır. (Madde 28)
(5) Seviye 3'ün üzerindeki ağlar ülke içinde muhafaza edilecek ve denizaşırı ülkelerde uzaktan teknik bakıma izin verilmeyecektir. (Madde 29)
(6) Ağ operatörleri, ağ güvenliği izleme ve erken uyarı bilgileri ve ağ güvenliği olaylarını düzenleyici makamlara rapor etmeli, önemli verileri ve kişisel bilgi güvenliği koruma mekanizmaları oluşturmalı ve ağ güvenliği acil durum planlarını formüle etmeli ve uygulamalıdır. (Madde 30, 31, 32)