Doç.Dr. Mustafa AYDEMİR, Cybersecurity Act II (CSA II) ve Dijital Egemenlik Paradigması'nı TGM için analiz etti.
Avrupa Birliği’nin ikinci nesil Siber Güvenlik Yasası (Cybersecurity Act II – CSA II), yalnızca teknik güvenlik standartlarını güncelleyen bir düzenleme olmanın ötesinde, Avrupa dijital alanında yetki, egemenlik ve piyasa erişimini yeniden tanımlayan yapısal bir dönüşümü temsil etmektedir.
Doç. Dr. Mustafa AYDEMİR, bu düzenlemenin Türkiye’de nasıl etki göstereceğini, benzeri ulusal bir telekomünikasyon ve siber güvenlik otoritesi üzerinden TGM için değerlendirdi.
Giriş
Avrupa Birliği, dijitalleşmenin derinleşmesiyle birlikte siber güvenliği yalnızca teknik bir mesele olarak değil, stratejik özerklik ve dijital egemenlik bağlamında ele almaya başlamıştır. Bu yaklaşımın en güncel yansıması, mevcut 2019/881 sayılı Cybersecurity Act’in kapsamlı biçimde revize edilmesini öngören Cybersecurity Act II (CSA II) düzenlemesidir.
CSA II’nin normatif mimarisini, yönetişim modelini ve piyasa üzerindeki etkilerini analiz ederken; düzenlemenin Avrupa Birliği’nin dijital egemenlik stratejisindeki rolünü tartışmaktadır. Ayrıca, Türkiye’nin AB ile yoğun ekonomik, dijital ve hukuki etkileşimi dikkate alınarak, CSA II’nin Türkiye açısından etkileri ve uyum gereklilikleri kapsamlı biçimde değerlendirilmektedir.
CSA II yalnızca bir siber güvenlik düzenlemesi değil, aynı zamanda küresel dijital güç dengelerini yeniden şekillendiren bir regülasyon aracıdır.
Siber uzay, 21. yüzyılda devletlerin egemenlik alanlarını yeniden tanımlayan temel bir jeopolitik ve ekonomik alan haline gelmiştir. Kritik altyapıların dijitalleşmesi, bulut bilişim, yapay zekâ ve nesnelerin interneti (IoT) gibi teknolojilerin yaygınlaşması, siber güvenliği ulusal ve bölgesel güvenliğin merkezine taşımıştır.
Avrupa Birliği (AB), bu dönüşüm karşısında düzenleyici gücünü kullanarak küresel norm koyucu (normative power) rolünü pekiştirmeyi hedeflemektedir.
Bu bağlamda CSA II, AB’nin siber güvenliği piyasa mekanizmaları, kamu otoritesi ve stratejik özerklik ekseninde yeniden yapılandırma girişimidir.
Çalışmanın temel sorusu şudur: CSA II, AB’nin siber güvenlik yaklaşımında nasıl bir paradigma değişimine işaret etmektedir ve bu değişim Türkiye gibi aday/komşu ülkeler açısından ne tür sonuçlar doğurmaktadır?
CSA II’nin klasik bir “uyum mevzuatı” değil; aksine, düzenleme yoluyla güvenliğin merkezileştirilmesi anlamına gelen yeni bir yönetişim modeli yarattığını ortaya koymaktadır.
Aydemir’e göre CSA II, üye devletlerin formel yetkilerini ortadan kaldırmadan, karar alma ve standart belirleme gücünü fiilen Avrupa düzeyine taşıyan bir “işlevsel egemenlik devri” mekanizması inşa etmektedir.
Düzenleme içindeki ana maddelere göre analiz edecek olursak;
1. Cybersecurity Act II’nin Ortaya Çıkışı ve Normatif Arka Planı “CSA I’den CSA II’ye Geçişin Gerekçesi”: 2019 tarihli Cybersecurity Act (CSA I), ENISA’yı kalıcı bir ajans haline getirmiş ve gönüllü AB siber güvenlik sertifikasyon çerçevesini oluşturmuştur. Ancak uygulamada üç temel sorun ortaya çıkmıştır:
- Gönüllülük Sorunu: Sertifikasyonun isteğe bağlı olması, iç pazarda parçalı güvenlik standartlarına yol açmıştır.
- Tedarik Zinciri Riskleri: Üçüncü ülke menşeli donanım ve yazılımlara bağımlılık artmıştır.
- Jeopolitik Kırılganlık: ABD-Çin teknoloji rekabeti ve Rusya kaynaklı siber tehditler, AB’yi daha korumacı bir pozisyona itmiştir.
CSA II, bu sorunlara yanıt olarak zorunlu sertifikasyon, genişletilmiş ENISA yetkileri ve stratejik teknolojiler için risk temelli yaklaşım getirmektedir.
Bu bağlamda düzenlemenin en dikkat çekici yönlerinden biri, ENISA’nın (Avrupa Birliği Siber Güvenlik Ajansı) rolünün köklü biçimde genişletilmesidir.
CSA II ile ENISA yalnızca teknik rehberlik yapan veya koordinasyon sağlayan bir kurum olmaktan çıkarak, bağlayıcı sertifikasyon şemaları tanımlayan, kriz anlarında yönlendirici rol üstlenen ve piyasa erişimini dolaylı olarak şekillendiren bir düzenleyici aktöre dönüşmektedir.
Aydemir, bu dönüşümün “ulusal kurumlar varlıklarını sürdürürken, gündem belirleme güçlerinin aşamalı biçimde aşınması” olarak tanımlamakta ve özellikle AB üyesi olmayan fakat AB dijital pazarına entegre ülkeler açısından bu durumun ciddi bir asimetri yarattığını vurgulamaktadır.
Türkiye açısından bakıldığında, Siber Güvenlik Bakanlığı’nın himayelerinde BTK ve USOM gibi kurumlar Avrupa standartlarına uyum sağlamak zorunda kalmakta, ancak bu standartların oluşum sürecinde söz sahibi olamamaktadır.
Buna göre, “CSA II ile ENISA, klasik bir ajans olmaktan çıkmakta ve fiilen Avrupa’nın siber güvenlik ‘merkez bankası’ haline gelmektedir.”
2. CSA II’nin Temel Yapısal Unsurları “ENISA’nın Güçlendirilmesi”: CSA II ile ENISA temelde iki farklı noktada bağlantılı hale gelmektedir. İlk olarak; Sertifikasyon şemalarını yalnızca koordine eden değil, stratejik yönlendiren bir aktör haline gelmektedir. İkinci aşamada iseüye devletlerin ulusal otoriteleri üzerinde de facto üst düzenleyici konuma yaklaşmaktadır.
Bu durum, AB yönetişiminde merkezileşme eğilimini güçlendirmektedir. Buna göre dikkat çeken unsurlar içerisinde, Zorunlu Sertifikasyon Rejimi ile CSA II, özellikle: “Bulut hizmetleri,Kritik altyapı yazılımları, IoT ve endüstriyel kontrol sistemleriiçin zorunlu AB sertifikasyonu öngörmektedir. Sertifikasız ürünlerin AB pazarına erişimi fiilen imkânsız hale gelmektedir.
Dijital Egemenlik ve “Güvenilir Tedarikçi” Kavramı ise CSA II’nin, teknik kriterlerin ötesinde: Tedarikçinin hukuki menşei, Üçüncü ülke devletleriyle olan ilişkileri ve Veri erişim rejimleri gibi unsurları da güvenlik kriteri olarak değerlendirmektedir. Bu, düzenlemenin jeopolitik bir filtre işlevi gördüğünü göstermektedir.
“CSA II ile ENISA, klasik bir ajans olmaktan çıkmakta ve fiilen Avrupa’nın siber güvenlik ‘merkez bankası’ haline gelmektedir.”
CSA II’nin ikinci temel etkisi, zorunlu siber güvenlik sertifikasyonları üzerinden ortaya çıkmaktadır. Yeni düzenleme ile belirli ürün ve hizmet grupları için sertifikasyon fiilen piyasa giriş şartı haline gelmektedir. Bu durum, görünürde güvenlik gerekçeleriyle açıklansa da “teknik rasyonaliteye gömülü bir sanayi politikası” işlevi görmektedir.
Türkiye’de faaliyet gösteren ve AB pazarına açılmak isteyen teknoloji firmaları açısından bu sistem; artan uyum maliyetleri, AB merkezli onay kuruluşlarına bağımlılık ve kamu alımlarından dışlanma riski anlamına gelmektedir.
Karşılıklı tanıma veya eşdeğerlik mekanizmalarının net biçimde tanımlanmamış olması, Türkiye gibi üçüncü ülkeleri yapısal olarak dezavantajlı bir konuma itmektedir.
Aydemir'e göre; Burada kritik kırılma noktası, yetki devrinin sessiz ve teknik bir dille yapılmasıdır. Düzenleme açıkça “ulusal egemenlik” ifadesini kullanmaz; ancak sonuç itibarıyla karar alma Brüksel merkezlidir.
3. Eleştirel Değerlendirme: Hukuk, Piyasa ve Egemenlik: Düzenlemenin üçüncü ve en stratejik boyutu, tedarik zinciri güvenliğinin hukuki bir kriter haline getirilmesidir. CSA II, siber risk değerlendirmesini yalnızca yazılım veya donanım açıklarıyla sınırlamamakta; şirketlerin sermaye yapısı, devletlerle ilişkileri ve bulunduğu ülkenin jeopolitik konumu gibi unsurları da güvenlik parametresi olarak ele almaktadır.
CSA II, üç ana eleştiriye açıktır:
- Orantılılık Sorunu: KOBİ’ler için sertifikasyon maliyetleri ciddi bir yük oluşturabilir.
- Piyasa Dışlayıcılığı: AB dışı firmalar için örtük bir ticaret engeli yaratmaktadır.
- Egemenlik Tartışması: Üye devletlerin ulusal güvenlik yetkilerinin Brüksel merkezli yapılara devri tartışmalıdır.
Buna rağmen AB, CSA II’yi güvenlik–rekabet dengesi içinde meşrulaştırmaktadır.
Normatif ve Stratejik Değerlendirme yapacak olursak;
- Bu yapı, AB hukukunda merkezîleşmenin tipik örneğidir.
- Güvenlik gerekçesiyle subsidiarity (yetki yerelliği) ilkesi geri plana itilmiştir.
- ENISA, kriz anlarında “tavsiye” değil, referans otorite olacaktır.
Bu yaklaşım, siber güvenliğin açık biçimde siyasallaşması olarak nitelendirmekte ve hukuki belirlilik ilkesinin yerini stratejik takdire bıraktığını ifade etmektedir. Türkiye bu noktada ne “yüksek riskli” ne de “imtiyazlı” ülke kategorisinde açıkça tanımlanmadığı için, Dijital telif ve siber güvenlik ve bağlı aktörler açısından öngörülemez bir düzenleyici alan oluşmaktadır.
CSA II’nin kriz yönetimine ilişkin hükümleri ise ulusal egemenlik tartışmasını daha da derinleştirmektedir. Büyük ölçekli siber olaylarda Avrupa düzeyinde hızlı ve merkezi koordinasyon öngören sistem, etkinlik açısından rasyonel görünse de siber güvenliğin geleneksel olarak ulusal güvenliğin çekirdeğinde yer aldığı anlayışla çelişmektedir.
AB üyesi olmayan ancak Avrupa dijital altyapısıyla iç içe geçmiş ülkelerin bu kriz mekanizmalarının dışında bırakılmasının, fiilen güvenlik açıklarını artırabileceğine dikkat çekmektedir. Türkiye açısından bu durum, sınır aşan bir siber kriz anında bilgiye geç erişim, eşgüdüm eksikliği ve operasyonel uyumsuzluk riskini beraberinde getirmektedir.
Bu bölümden temel çıkarımımız ise şudur. “Bu, AB’nin siber güvenlikte NATO benzeri bir yapı kurma girişimidir; ancak askeri değil, düzenleyici araçlarla.”
4. Türkiye Açısından Etkiler ve Uyum Analizi: “Türkiye’nin Mevcut Siber Güvenlik Çerçevesi” Türkiye’de Siber güvenlik: 2016 Ulusal Siber Güvenlik Stratejisi, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi,BTK ve USOM üzerinden yürütülmektedir. Ancak AB düzeyinde bağlayıcı sertifikasyon rejimi bulunmamaktadır.
Türkiye-AB Dijital Entegrasyonu Bağlamında CSA II: Türkiye, AB’ye yazılım, donanım, bulut ve fintech hizmetleri sunan firmalara sahiptir.Gümrük Birliği’nin güncellenmesi tartışmaları dijital boyut kazanmaktadır. CSA II, fiilen teknik uyum zorunluluğu doğurmaktadır.
Türkiye’de Siber Güvenlik Bakanlığı’nın yanı sıra BTK / USOM benzeri kurumlar vardır; ancak: ENISA benzeri AB çapında bağlayıcı referans yoktur. Türkiye açısından risk, AB ile teknik uyumda tek taraflı kural ithali olarak gözükmektedir. Bu nedenle temel önerimiz, ENISA–Türkiye arasında kurumsal eşdeğerlik (functional equivalence) modeli geliştirilmelidir.
Bu düzenleme üzerinden risk ve fırsat analizi yapacak olursak;
Türk Şirketleri İçin Etkiler ve “Riskler”: Sertifikasyon maliyetleri,Pazar’a giriş gecikmeleri, ENISA kriterlerine uyum eksikliği olarak görülmektedir. Fırsatlar ise üç alanda yoğunlaşmaktadır. Bunlar sırasıyla, “AB uyumlu ürünlerle küresel rekabet avantajı, “Güvenilir üçüncü ülke tedarikçisi” konumlanması veYerli sertifikasyon altyapısının gelişmesi” olarak düşünülmektedir.
“Bu bir güvenlik düzenlemesi değil yalnızca; bu, pazara giriş rejimini yeniden tanımlayan bir endüstriyel politikadır. CSA II, teknik bir mevzuat gibi sunulsa da ticaret hukuku etkisi çok yüksektir.”
5.Hukuki ve Kurumsal Uyum Önerileri Üzerine Analiz: Avrupa Birliği’nin siber güvenlik mimarisinin, özellikleAB Siber Güvenlik Yasası (Cybersecurity Act) ve ikincil mevzuat aracılığıyla derinleşmesi, üye olmayan ancak AB ile yoğun dijital ve ekonomik etkileşim içinde bulunan ülkeler açısındanfiilî uyum baskısı yaratmaktadır.
Türkiye bağlamında bu durum, yalnızca teknik standartlara uyumu değil, aynı zamandakurumsal yapılanma, yönetişim kapasitesi ve stratejik egemenlik tartışmalarını da beraberinde getirmektedir. Aşağıda sunulan kısa, orta ve uzun vadeli öneriler bu çok katmanlı dönüşüm ihtiyacına yanıt vermeyi amaçlamaktadır.
- Kısa Vadeli Uyum: Normatif Yakınsama ve Teknik Eşgüdüm: Kısa vadede önerilenAB sertifikasyon şemalarına uyumlu ulusal rehberlerin hazırlanması, hukuki açıdan bağlayıcı olmayan ancak güçlü birsoft lawişlevi gören bir araç olarak değerlendirilmelidir.
AB Siber Güvenlik Sertifikasyon Çerçevesi (EUCC, EUCS vb.), fiilen iç pazara erişim koşulu haline gelmiş olup, bu şemalara uyumlu ulusal rehberlerin eksikliği, Türk menşeli ürün ve hizmetlerin pazar dışlanması riskini artırmaktadır. Bu bağlamda hazırlanacak rehberler, Türk hukuk sisteminde yeni bir yükümlülük ihdas etmekten ziyade, öngörülebilirlik ve hukuki güvenlik sağlamayı hedeflemelidir.
Bu sürecin tamamlayıcı unsuru olarak BTK–ENISA teknik diyalog mekanizması büyük önem taşımaktadır. ENISA’nın AB içinde sahip olduğu yarı-normatif konum, teknik standartların fiilen “kural” haline gelmesine yol açmaktadır.
BTK’nın ENISA ile düzenli ve kurumsallaşmış bir teknik diyalog yürütmesi, Türkiye’nin sadece “uygulayıcı” değil, sınırlı da olsa standart oluşum sürecine bilgi sağlayan bir aktör haline gelmesini mümkün kılacaktır. Bu, klasik anlamda egemenlik devri değil; bilgi temelli yönetişim uyumu olarak değerlendirilmelidir.
- Orta Vadeli Uyum: Kurumsallaşma ve Stratejik Kapasite İnşası: Orta vadede önerilen AB uyumlu siber güvenlik sertifikasyon kurumunun Türkiye’de tesis edilmesi, hukuki ve kurumsal açıdan niteliksel bir sıçramayı ifade etmektedir.
Böyle bir kurum, yalnızca teknik bir denetim birimi değil; idari özerkliğe sahip, uluslararası tanınırlığı olan ve AB sertifikasyon şemalarıyla karşılıklı tanınma (mutual recognition)hedefi güden bir yapı olmalıdır. Aksi halde bu kurum, iç pazara yönelik sembolik bir yapı olmaktan öteye geçemeyecektir.
Bu çerçevede ikinci kritik unsur, dijital egemenlik stratejisinin yazılı ve bütüncül bir belge haline getirilmesidir. Türkiye’de dijital egemenlik kavramı çoğunlukla siyasi söylem düzeyinde kalmakta; mevzuat, kurumlar ve uygulamalar arasında tutarlı bir stratejik çerçeve bulunmamaktadır.
Oysa AB’de dijital egemenlik, siber güvenlik, veri koruma, bulut altyapıları ve kritik teknolojiler arasında hukuki olarak bağlantılı bir politika alanı olarak ele alınmaktadır. Yazılı bir strateji belgesi, Türkiye’nin AB ile uyum sürecinde hangi alanlarda yakınlaşma, hangi alanlarda ise bilinçli ayrışma tercih ettiğini açık biçimde ortaya koyması bakımından önemlidir.
- Uzun Vadeli Uyum: Entegrasyon, Ortaklık ve Paylaşılan Güvenlik: Uzun vadede öngörülen AB Dijital Tek Pazarı’na kısmi entegrasyon, klasik üyelik perspektifinden bağımsız olarak değerlendirilmelidir. Burada söz konusu olan, tam hukuki bütünleşme değil; belirli sektörler (bulut hizmetleri, kritik altyapılar, siber güvenlik ürünleri) bakımından fonksiyonel entegrasyondur.
Bu tür bir entegrasyon, Türkiye’nin AB standartlarını pasif biçimde benimsemesi yerine, belirli alanlarda eşdeğerlik (equivalence) ve karşılıklı çıkar temelinde hareket etmesini mümkün kılabilir.
Bu sürecin tamamlayıcı ayağı olan ortak Ar-Ge ve güvenlik projeleri, uyumun salt mevzuat transferiyle sınırlı kalmamasını sağlar. Ortak projeler, Türkiye’yi yalnızca standartları uygulayan değil, teknoloji ve güvenlik bilgisinin üretildiği ekosistemin parçası haline getirir.
Hukuki açıdan bakıldığında bu tür projeler, AB dışı aktörlerin de Avrupa güvenlik mimarisine “kontrollü dâhil olabilmesi”nin en meşru yollarından biridir. Bu üç aşamalı uyum yaklaşımı, Türkiye’nin siber güvenlik alanında AB ile ilişkisini “ya tam uyum ya tam kopuş” ikiliğinden çıkararak, kademeli, seçici ve stratejik bir yakınsama modeli önermektedir.
Hukuki ve kurumsal uyum burada bir egemenlik kaybı değil; aksine, dijital çağda işlevsel egemenliğin korunması için gerekli kapasite inşası olarak okunmalıdır. Bu perspektif, Türkiye’nin hem ulusal güvenlik çıkarlarını hem de küresel dijital ekonomide rekabet gücünü birlikte koruyabilmesinin ön koşuludur.
6. Sonuç
CSA II, siber güvenliğin teknik bir alan olmaktan çıkarak jeopolitik, ekonomik ve normatif bir güç aracına dönüştüğünü göstermektedir. Avrupa Birliği, bu düzenleme ile dijital egemenliğini tahkim etmeyi amaçlarken, üçüncü ülkeler için de yeni uyum eşikleri yaratmaktadır.
Türkiye açısından CSA II: “Bir uyum riski olduğu kadar, doğru stratejiyle bir dijital dönüşüm ve rekabet fırsatıdır.” Bu nedenle CSA II, yalnızca teknik bir regülasyon olarak değil, Türkiye’nin AB ile dijital ilişkilerinin geleceğini belirleyen stratejik bir eşik olarak ele alınmalıdır.
Sonuç olarak bu konudaki değerlendirmemiz, CSA II’nin teknik bir mevzuat güncellemesinden ziyade, Avrupa Birliği’nin dijital alanda egemenlik kurma çabasının hukuki aracı olduğunu göstermektedir.
Bu düzenleme, güvenlik söylemi üzerinden piyasa yapısını, teknolojik yönelimleri ve uluslararası ilişkileri yeniden biçimlendirmektedir. Türkiye açısından temel mesele, bu yeni mimariye ya edilgen biçimde uyum sağlamak ya da işlevsel eşdeğerlik ve kurumsal diyalog mekanizmaları geliştirerek sınırlı ama rasyonel bir entegrasyon stratejisi oluşturmaktır.
Aydemir; CSA II’nin asıl sorusu “nasıl siber saldırıları önleriz?” değil, “Avrupa’nın dijital güvenliğini kim yönetir ve bu yönetime kimler hangi koşullarla dahil edilir?” sorusudur.
TGM Haber Merkezi
