DANIŞTAY İDARİ DAVA DAİRELERİ KURULU 2021/2591 E. , 2023/57 K.
T.C.
D A N I Ş T A Y
İDARİ DAVA DAİRELERİ KURULU
Esas No : 2021/2591
Karar No : 2023/57
TEMYİZ EDEN (DAVACI) : … A.Ş.
VEKİLİ : Av. …
KARŞI TARAF (DAVALI) : … Kurumu
VEKİLİ : Av. …
İSTEMİN KONUSU : Danıştay Onüçüncü Dairesinin 24/12/2020 tarih ve E:2014/4743, K:2020/3876 sayılı kararının temyizen incelenerek bozulması istenilmektedir.
YARGILAMA SÜRECİ :
Dava konusu istem: 13/07/2014 tarih ve 29059 sayılı Resmî Gazete’de yayımlanan “Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği”nin 6. maddesinin 1. fıkrasının, 9. maddesinin 1. ve 3. fıkralarının, 10. maddesinin 1. fıkrasının, 11. maddesinin 1. fıkrasının, 17. maddesinin 2. fıkrasının, 23. maddesinin, 27. maddesinin 1. fıkrasının, 28. maddesinin, 29. maddesinin, 30. maddesinin 1. fıkrasının, 36. maddesinin 1. fıkrasının, 39. maddesinin 1. fıkrasının ve 42. maddesinin iptali istenilmiştir.
Daire kararının özeti: Danıştay Onüçüncü Dairesinin 24/12/2020 tarih ve E:2014/4743, K:2020/3876 sayılı kararıyla;
Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği’nin;
“BGYS’nin kurulması, kapsamı ve yönetimi” başlıklı 6. maddesinin 1. fıkrası yönünden;
Anılan kuralda “yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri” ifadesine yer verilerek işletmecilerin kurmakla yükümlü olduğu BGYS’nin kapsamının sınırlarının net bir şekilde belirlendiği, dolayısıyla mülga Yönetmeliğin 11. maddesinde yer verilen standartta çok daha geniş kapsamlı olarak tanımlandığı anlaşılan BGYS’ye ilişkin olarak davacının iddiasının aksine dava konusu kural sebebiyle süre verilmesinin gerekli olmadığı, haberleşme altyapısının başlı başına bütün olarak bir kritik altyapı olduğu, bu altyapının herhangi bir yerinde meydana gelecek zafiyetin tüm bilişim sistemlerine zarar verebileceği ve bilgi güvenliğinin bir bütün olarak ele alınması gerektiği de dikkate alındığında, dava konusu kuralda hukuka aykırılık bulunmadığı,
“Varlık yönetimi sınıflandırması” başlıklı 9. maddesinin 1. ve 3. fıkraları yönünden;
Bu kuralda, TS ISO/IEC 27001 standardının “varlık yönetimi” başlıklı kısmında yer verilen benzer kuralların yer aldığı, dolayısıyla mülga Yönetmelik’te belirtilen TS ISO/IEC 27001 standardındaki konuya ilişkin yükümlülüklerin işletmeciler açısından aynen devam ettiği, ilave yükümlülük getirilmediği anlaşıldığından, 5809 sayılı Kanun kapsamında üst hukuk normlarına uygun olan dava konusu maddede hukuka aykırılık bulunmadığı,
“Risk değerlendirme ve işleme” başlıklı 10. maddesinin 1. fıkrası, “İş sürekliliği” başlıklı 11. maddesinin 1. fıkrası, “Fiziksel erişim” başlıklı 17. maddesinin 2. fıkrası, “Değişim yönetimi” başlıklı 23. maddesi, “Sistem kayıt dosyalarının tutulması” başlıklı 29. maddesi yönünden;
Bu maddelerde yer alan yükümlülüklerin mülga Yönetmelik’te belirtilen TS ISO/IEC 27001 standardı kapsamında tanımlanmış yükümlülükler arasında yer aldığı, davacıya ek süre verilmesine gerek bulunmadığı; ayrıca, düzenlemelerin davalı idarenin 5809 sayılı Kanun’da yer verilen görevleri kapsamında olduğu ve anılan Kanundaki temel ilkeleri ihlâl etmediği görüldüğünden, dava konusu maddelerde hukuka aykırılık bulunmadığı,
“Yedekleme” başlıklı 27. maddesinin 1. fıkrası yönünden;
Bu maddenin felaket, arıza, hata ve hasar hâllerinde verilerin geri döndürülebilmesi ve çalışmaya ara verilmesinin önlenmesi açısından önemli olduğu, mülga Yönetmelik’te yer alan standarda ek olarak bir yükümlülük getirilmediği ve işletmecilere ek süre verilmesine gerek olmadığı anlaşıldığından, dava konusu kuralda hukuka aykırılık bulunmadığı,
“Zaman senkronizasyonu” başlıklı 28. maddesi yönünden;
Bu madde ile, bilgi sistemlerinin saatlerinin farklı olmasının yol açtığı sorunların ortadan kaldırıldığı, zaman bilgisinin netleştirilerek adli olay veya bilgi güvenliği soruşturması için önemli bir hususun uyuşmazlık konusu olmaktan çıkarıldığı anlaşıldığından, dava konusu maddede hukuka aykırılık bulunmadığı,
“Kritik sistemlerde kullanıcı erişim yönetimi” başlıklı 30. maddesinin 1. fıkrası yönünden;
Söz konusu maddede, daha önce yürürlükte olan Yönetmelik’teki yükümlülüklere ek olarak yeni bir yükümlülük getirilmediğinin görüldüğü, ayrıca siber güvenlik olaylarının detaylı araştırılması ve siber suçun soruşturulması için sistem kayıt dosyalarının tutulması gerektiği, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun gereğince de işletmecilerin sistem kayıt dosyalarını tutması zorunlu olduğundan, dava konusu kuralda hukuka aykırılık bulunmadığı,
“Belgelendirme yükümlülüğü” başlıklı 36. maddesinin 1. fıkrası yönünden;
İlk defa belgelendirme yükümlülüğünü yerine getirmesi gereken işletmecilere bir yıllık süre verildiği, belgesi bulunan işletmecilere ise süre tanınmasına gerek olmadığı, dolayısıyla davacının geçiş süresi verilmesi gerektiği iddiasının bir geçerliliğinin bulunmadığı anlaşıldığından, dava konusu maddede hukuka aykırılık bulunmadığı,
“Felaket kurtarma merkezi” başlıklı 39. maddesinin 1. fıkrası yönünden;
Davacı tarafından her ne kadar söz konusu maddenin yürürlüğe girmesi için süre talep edilmiş ise de, anılan maddenin 2. fıkrasında, felaket kurtarma merkezi kurma yükümlülüğüne tabi olan işletmecinin yükümlülük durumunun değiştiği yılın sonundan itibaren iki yıl içerisinde felaket kurtarma merkezi kuracağının öngörüldüğü, işletmecilere yeterli sürenin tanındığı, bu itibarla, 5809 sayılı Kanun’a uygun olarak hazırlanan dava konusu maddede hukuka aykırılık bulunmadığı,
“Yürürlük” başlıklı 42. maddesi yönünden;
Bu maddede, Yönetmeliğin yayımı tarihinde yürürlüğe gireceğine yer verildiği, anılan Yönetmelik’te işletmecilerin yükümlülükleri açısından bir sürekliliğin söz konusu olduğu, yeni bir yükümlülük olarak getirilen “felaket kurtarma merkezi kurma yükümlülüğü”ne ilişkin olarak 39. maddede uyum için iki yıllık süre öngörüldüğü, yine anılan Yönetmeliğin 36. maddesinde ilk kez belgelendirme yükümlülüğüne tabi işletmecilere bir yıllık sürenin getirildiği, dolayısıyla Yönetmeliğin yürürlüğü açısından işletmeciler açısından bir uyumsuzluğun bulunmadığı anlaşıldığından, davacının iddiasının aksine dava konusu maddede hukuka aykırılık bulunmadığı, gerekçesiyle davanın reddine karar verilmiştir.
TEMYİZ EDENİN İDDİALARI : Davacı tarafından, Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği’nin daha önceki düzenlemelere kıyasla düzenlendiği alana ilişkin kapsamının, şirketleri yönünden hakkaniyete aykırı şekilde genişletildiği, getirilen yükümlülüklerin ağırlığı nedeniyle dava konusu maddelerin iptali gerektiği, Elektronik Haberleşme Güvenliği Yönetmeliği’nin 16 maddeden oluşan kapsamının yeni yürürlüğe giren Yönetmelikte 43 madde olarak genişletildiği, dava konusu Yönetmelik ile düzenlemeye eklenen Bilgi Güvenliği Yönetim Sisteminin (BGYS) kapsamının çok geniş olduğu; anılan Yönetmeliğin 6. maddesinin 1. fıkrası incelendiğinde, bu maddede yer alan tanımın ülkenin her il, ilçe ve mezrasında haberleşme altyapısına sahip olan şirketleri için çok büyük bir alanı tarif ettiği, 2 yıl geçiş süresi verilmesi gerektiği; anılan Yönetmeliğin 9. maddesi incelendiğinde, 1. fıkrada yer alan kuralın yaklaşık 10 kat daha fazla varlık sınıflandırmasına ihtiyaç duyulmasına sebep olduğu, 3. fıkrasında yer alan kuralın ise BGYS kapsamına göre belirlenen varlıkların gizlilik sınıfının, kritik derecesi, yasal gereksinimler ve verinin hassasiyeti kriterlerini içerecek şekilde fiziksel olarak etiketlenmesi yükümlülüğünü getirdiği; anılan Yönetmeliğin 10. maddesinin 1. fıkrası incelendiğinde, şirketlerine eklenecek olan sistemler için risk değerlendirme çalışmalarının yapılması ve risk işleme planlarının belirlenmesi ve uygulanması için yaklaşık 10 kat daha fazla çalışma yapılmasına ihtiyaç duyulduğu; anılan Yönetmeliğin 11. maddesinin 1. fıkrası incelendiğinde, şirketlerinin yetkilendirmesine ilişkin tüm hizmetler ve kritik sistemlerle ilgili iş sürekliliği çalışması yapılmasının yüksek maliyet gerektirdiği, ayrıca ilgili sistemlerin temini, kurulumu için en az 2 yıl geçiş süresine ihtiyaç duyulduğu; anılan Yönetmeliğin 17. maddesinin 2. fıkrası incelendiğinde, kritik sistemlere erişimlerin 2 yıl süre ile muhafaza edilmesi esasının kabulü hâlinde kayıtların tutulacağı sistemlerin temini ve kurulumu için en az 2 yıl geçiş süreci ve yüksek maliyete ihtiyaç duyulduğu; anılan Yönetmeliğin 23. maddesi incelendiğinde, değişim yönetimi maddesine göre tarif edilen değişim yönetimi sürecinin uçtan uca kurulması ve test edilmesi için en az 2 yıl geçiş süresine ihtiyaç duyulduğu; anılan Yönetmeliğin 27. maddesinin 1. fıkrası incelendiğinde, bir felaket veya hata durumunda ihtiyaç duyulabilecek bilgi ve yazılımların kurulmasını sağlamak için yüksek maliyetli yatırıma ve yaklaşık 2 yıl geçiş sürecine ihtiyaç duyulduğu; anılan Yönetmeliğin 28. maddesi incelendiğinde, yapılan tarif ile teknolojik altyapı sınırlamalarının göz ardı edildiği, şirkette PSTN santraller manuel bir yapı ile zaman senkronizasyonu sağlayarak yükümlülüğü yerine getirdiği; anılan Yönetmeliğin 29. maddesi incelendiğinde, kritik sistemlerin izlenmesi ile ilgili yükümlülüklerin yerine getirilmesi için yüksek maliyetli donanım, lisans ve kayıt sistemi yatırımı yapılması ve yaklaşık 2 yıl geçiş süresine ihtiyaç duyulduğu; anılan Yönetmeliğin 30. maddesinin 1. fıkrası incelendiğinde, mevcut faaliyet gösteren kullanıcı yönetimi sistemleri için yaklaşık bir milyon Amerikan doları yatırıma ve 2 yıl geçiş süresine ihtiyaç duyulduğu; anılan Yönetmeliğin 36. maddesi incelendiğinde, belgelendirme yükümlülüğü maddesinin gerçekleştirilmesi için tarif edilen BGYS kapsamına göre tamamlanmasının gerektiği, 2 yıl geçiş süresinin verilmesi gerektiği; anılan Yönetmeliğin 39. maddesinin 1. fıkrası incelendiğinde, felaket kurtarma merkezinin kurulması gerektiği, veri merkezi alan ihtiyacı, enerji, soğutma, donanım ihtiyaçlarının temin edilmesi gibi nedenlerle yaklaşık 9 milyon Amerikan doları yatırıma ve 2 yıl geçiş süresine ihtiyaç duyulduğu; anılan Yönetmeliğin 42. maddesi incelendiğinde, Yönetmeliğin yürürlüğe giriş tarihinin yayımı tarihi olarak belirlendiği, bu şekilde uygulanmasının fiilen ve hukuken mümkün olmadığı, Yönetmeliğin bu kadar kapsamlı çalışma ve yatırım gerektirirken yayımlandığı gün yürürlüğe girmesinin davacı şirket gibi bu Yönetmeliğe tabi kuruluşları Yönetmelikle uyumsuz hâle getirdiği ileri sürülmektedir.
KARŞI TARAFIN SAVUNMASI : Davalı idare tarafından, Danıştay Onüçüncü Dairesince verilen kararın usul ve hukuka uygun bulunduğu ve temyiz dilekçesinde öne sürülen nedenlerin, kararın bozulmasını gerektirecek nitelikte olmadığı belirtilerek temyiz isteminin reddi gerektiği savunulmaktadır.
DANIŞTAY TETKİK HÂKİMİ …’NUN DÜŞÜNCESİ : Temyiz isteminin reddi ile Daire kararının onanması gerektiği düşünülmektedir.
TÜRK MİLLETİ ADINA
Karar veren Danıştay İdari Dava Daireleri Kurulunca, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:
HUKUKİ DEĞERLENDİRME:
Danıştay dava dairelerinin nihai kararlarının temyizen incelenerek bozulması, 2577 sayılı İdari Yargılama Usulü Kanunu’nun 49. maddesinde yer alan;
“a) Görev ve yetki dışında bir işe bakılmış olması,
b) Hukuka aykırı karar verilmesi,
c)Usul hükümlerinin uygulanmasında kararı etkileyebilecek nitelikte hata veya eksikliklerin bulunması” sebeplerinden birinin varlığı hâlinde mümkündür.
Temyizen incelenen karar usul ve hukuka uygun olup, temyiz dilekçesinde ileri sürülen iddialar kararın bozulmasını gerektirecek nitelikte görülmemiştir.
KARAR SONUCU:
Açıklanan nedenlerle;
1. Davacının temyiz isteminin reddine,
2.Davanın yukarıda özetlenen gerekçeyle reddine ilişkin Danıştay Onüçüncü Dairesinin 24/12/2020 tarih ve E:2014/4743, K:2020/3876 sayılı kararının ONANMASINA,
3. Kesin olarak, 25/01/2023 tarihinde oybirliği ile karar verildi.