Danıştay 13. Daire 2014/4743 Esas 2020/3876 Karar Sayılı İlamı

T.C.
D A N I Ş T A Y
ONÜÇÜNCÜ DAİRE
Esas No : 2014/4743
Karar No : 2020/3876

DAVACI : … A.Ş.
VEKİLLERİ : Av. …

DAVALI : … Kurumu
VEKİLLERİ : Av. …

DAVANIN_KONUSU : 13/07/2014 tarih ve 29059 sayılı Resmî Gazete'de yayımlanan "Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği"nin 6. maddesinin 1. fıkrası, 9. maddesinin 1. ve 3. fıkraları, 10. maddesinin 1. fıkrası, 11. maddesinin 1. fıkrası, 17. maddesinin 2. fıkrası, 23. maddesi, 27. maddesinin 1. fıkrası, 28. maddesi, 29. maddesi, 30. maddesinin 1. fıkrası, 36. maddesinin 1. fıkrası, 39. maddesinin 1. fıkrası ile 42. maddesinin iptali istenilmektedir.

DAVACININ İDDİALARI : Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği'nin daha önceki düzenlemelere kıyasla düzenlendiği alana ilişkin kapsamının, şirketleri yönünden hakkaniyete aykırı şekilde genişletildiği, getirilen yükümlülüklerin ağırlığı nedeniyle dava konusu maddelerin iptali gerektiği, Elektronik Haberleşme Güvenliği Yönetmeliği'nin 16 maddeden oluşan kapsamının yeni yürürlüğe giren Yönetmelikte 43 madde olarak genişletildiği, dava konusu Yönetmelik ile düzenlemeye eklenen Bilgi Güvenliği Yönetim Sisteminin (BGYS) kapsamının çok geniş olduğu; anılan Yönetmeliğin 6. maddesinin 1. fıkrası incelendiğinde, bu maddede yer alan tanımın ülkenin her il, ilçe ve mezrasında haberleşme altyapısına sahip olan şirketleri için çok büyük bir alanı tarif ettiği, 2 yıl geçiş süresi verilmesi gerektiği; anılan Yönetmeliğin 9. maddesi incelendiğinde, 1. fıkrada yer alan kuralın yaklaşık 10 kat daha fazla varlık sınıflandırmasına ihtiyaç duyulmasına sebep olduğu, 3. fıkrasında yer alan kuralın ise BGYS kapsamına göre belirlenen varlıkların gizlilik sınıfının, kritik derecesi, yasal gereksinimler ve verinin hassasiyeti kriterlerini içerecek şekilde fiziksel olarak etiketlenmesi yükümlülüğünü getirdiği; anılan Yönetmeliğin 10. maddesinin 1. fıkrası incelendiğinde, şirketlerine eklenecek olan sistemler için risk değerlendirme çalışmalarının yapılması ve risk işleme planlarının belirlenmesi ve uygulanması için yaklaşık 10 kat daha fazla çalışma yapılmasına ihtiyaç duyulduğu; anılan Yönetmeliğin 11. maddesinin 1. fıkrası incelendiğinde, şirketlerinin yetkilendirmesine ilişkin tüm hizmetler ve kritik sistemlerle ilgili iş sürekliliği çalışması yapılmasının yüksek maliyet gerektirdiği, ayrıca ilgili sistemlerin temini, kurulumu için en az 2 yıl geçiş süresine ihtiyaç duyulduğu; anılan Yönetmeliğin 17. maddesinin 2. fıkrası incelendiğinde, kritik sistemlere erişimlerin 2 yıl süre ile muhafaza edilmesi esasının kabulü hâlinde kayıtların tutulacağı sistemlerin temini ve kurulumu için en az 2 yıl geçiş süreci ve yüksek maliyete ihtiyaç duyulduğu; anılan Yönetmeliğin 23. maddesi incelendiğinde, değişim yönetimi maddesine göre tarif edilen değişim yönetimi sürecinin uçtan uca kurulması ve test edilmesi için en az 2 yıl geçiş süresine ihtiyaç duyulduğu; anılan Yönetmeliğin 27. maddesinin 1. fıkrası incelendiğinde, bir felaket veya hata durumunda ihtiyaç duyulabilecek bilgi ve yazılımların kurulmasını sağlamak için yüksek maliyetli yatırıma ve yaklaşık 2 yıl geçiş sürecine ihtiyaç duyulduğu; anılan Yönetmeliğin 28. maddesi incelendiğinde, yapılan tarif ile teknolojik altyapı sınırlamalarının göz ardı edildiği, şirkette PSTN santraller manuel bir yapı ile zaman senkronizasyonu sağlayarak yükümlülüğü yerine getirdiği; anılan Yönetmeliğin 29. maddesi incelendiğinde, kritik sistemlerin izlenmesi ile ilgili yükümlülüklerin yerine getirilmesi için yüksek maliyetli donanım, lisans ve kayıt sistemi yatırımı yapılması ve yaklaşık 2 yıl geçiş süresine ihtiyaç duyulduğu; anılan Yönetmeliğin 30. maddesinin 1. fıkrası incelendiğinde, mevcut faaliyet gösteren kullanıcı yönetimi sistemleri için yaklaşık bir milyon Amerikan doları yatırıma ve 2 yıl geçiş süresine ihtiyaç duyulduğu; anılan Yönetmeliğin 36. maddesi incelendiğinde, belgelendirme yükümlülüğü maddesinin gerçekleştirilmesi için tarif edilen BGYS kapsamına göre tamamlanmasının gerektiği, 2 yıl geçiş süresinin verilmesi gerektiği; anılan Yönetmeliğin 39. maddesinin 1. fıkrası incelendiğinde, felaket kurtarma merkezinin kurulması gerektiği, veri merkezi alan ihtiyacı, enerji, soğutma, donanım ihtiyaçlarının temin edilmesi gibi nedenlerle yaklaşık 9 milyon Amerikan doları yatırıma ve 2 yıl geçiş süresine ihtiyaç duyulduğu; anılan Yönetmeliğin 42. maddesi incelendiğinde, Yönetmeliğin yürürlüğe giriş tarihinin yayımı tarihi olarak belirlendiği, bu şekilde uygulanmasının fiilen ve hukuken mümkün olmadığı, Yönetmeliğin bu kadar kapsamlı çalışma ve yatırım gerektirirken yayımlandığı gün yürürlüğe girmesinin davacı şirket gibi bu Yönetmeliğe tabi kuruluşları Yönetmelikle uyumsuz hâle getirdiği ileri sürülmüştür.

DAVALININ SAVUNMASI : Elektronik Haberleşme Güvenliği Yönetmeliği (mülga Yönetmelik) ve Elektronik Haberleşme Güvenliği Kapsamında TS ISO/IEC 27001 Standardı Uygulamasına İlişkin Tebliğ'in uygulanmasından elde edilen tecrübeler, gerekse Siber Güvenlik Kurulu'nun kurulmasını müteakip yayımlanan Ulusal Siber Güvenlik Stratejisi ve 2013 - 2014 Eylem Planı çerçevesinde yürütülen çalışmaların konu ile ilgili düzenlemelerin güncellenmesi ihtiyacını ortaya çıkardığı; bu nedenle Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği'nin (Yönetmelik) hazırlandığı, mülga Yönetmeliğin 11. maddesinin 1. fıkrasında yer alan "İşletmeci, TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğu sağlamakla yükümlüdür." kuralında yer alan standardın, dava konusu Yönetmelikte mezkur standartta yer alan hususların Yönetmelik içerisine dercedilmesi yöntemi benimsenerek devam ettiği, mülga Yönetmelik ve meri Yönetmelikte düzenlenen alana ilişkin olarak davacı şirketin tabi olduğu yükümlülükler açısından bir sürekliliğin söz konusu olduğu, nicelik ve nitelik olarak bir değişikliğe gidilmediği, hatta daha önce ucu açık olan yükümlülüklerin son düzenlenen mevzuat ile daha açık ve net bir şekle getirildiği, kaldı ki davacı şirket hakkında 2012-2013 yıllarında yapılan denetimlerde TS ISO/IEC 27001 ve ISO/IEC 27001 standartlarına uygunsuzlukları nedeniyle idari yaptırımlar uygulandığı, denetimlerde geçen süre zarfında gerekli tedbirleri almayan davacı şirketin Yönetmelik değişikliğini gerekçe göstererek mülga Yönetmelik ve meri Yönetmelik gereğince süregelen yükümlülüklerinden imtina ettiği; anılan Yönetmeliğin 6. maddesinin 1. fıkrasının incelenmesinde, mülga Yönetmeliğin 11. maddesinde atıfta bulunulan standartta çok daha geniş kapsamlı tanımlanan BGYS kapsamının dava konusu meri Yönetmelikte "yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri" ifadeleri ile kısıtlanmış olduğunun görüleceği, işletmecilerin kurmakla yükümlü olduğu BGYS'nin kapsamının meri Yönetmelik ile genişletilmediği, aksine sınırlarının daha net olarak ortaya konulduğu, bilgi ve iletişim sistemlerinde oluşabilecek bir güvenlik zafiyetinin bu hizmetlerin servis dışı kalmasına veya kötüye kullanılmasına, can kaybına, büyük ölçekli ekonomik zarara, kamu düzeninin bozulmasına ve/veya ulusal güvenliğin ihlâline neden olabileceği; anılan Yönetmeliğin 9. maddesinin 1. ve 3. fıkraları, 10. maddesinin 1. fıkrası, 11. maddesinin 1. fıkrası, 17. maddesinin 2. fıkrası, 23. maddesi, 27. maddesinin 1. fıkrası, 28. maddesi, 29. maddesi, 30. maddesinin 1. fıkrası incelendiğinde, bu maddelerde belirtilen hususların mülga Yönetmelik ve mülga Yönetmeliğin atıfta bulunduğu TS ISO/IEC 27001 standardı kapsamında tanımlanmış yükümlülükler arasında yer aldığı, dolayısıyla dava konusu Yönetmeliğin ilgili maddelerinin ilave yükümlülük getirdiği ve bu nedenle ilave maliyet, emek ve ek süre gerektirdiği iddiasının geçersiz olduğu, ayrıca bilgi sistemlerindeki verilerin herhangi bir nedenle zarar görmesinin, kurumların çalışma süreçlerinde ciddi zararlara yol açabileceği, yaşanabilecek bir felaket, arıza, hata, hasar durumlarında çalışmaların kesintiye uğramaması veya verilerin geri döndürülemez biçimde kaybolmasını engellemek amacıyla yedekleme sistemlerinin kurulması ve yedeklerini almalarının şirketlerin ticari faaliyetlerini devam ettirilebilmesi açısından önemli olduğu, işletmecilerin tüm bilgi sistemlerinin belirlenen tutarlı bir zaman kaynağına göre ayarlanmasını ve senkronize şekilde çalışmalarını sağlamalarının büyük önem arz ettiği; dava konusu Yönetmeliğin 36. maddesinin 1. fıkrası incelendiğinde, ilk defa belgelendirme yükümlüsü olacak işletmecilere belge almaları için süre verildiği, davacının da dâhil olduğu diğer işletmecilerin uygunluk belgeleri bulunduğu için tekrar süre verilmesine gerek görülmediği; dava konusu 39. maddesinin 2. fıkrasında, felaket kurtarma merkezi kurulumu yükümlülüğü olan işletmecilere Kurul kararının yayımlanmasından itibaren 2 yıl süre tanındığı, davacı şirketin bildirimlerinden ve denetimlerden hâlihazırda felaket kurtarma merkezinin olduğunun anlaşıldığı; dava konusu 42. madde incelendiğinde, Yönetmeliğin yürürlüğe giriş tarihinin işletmeciler açısından herhangi bir probleme yol açmayacağı ileri sürülerek davanın reddi gerektiği savunulmuştur.

DANIŞTAY TETKİK HÂKİMİ …'IN DÜŞÜNCESİ : Davanın reddi gerektiği düşünülmektedir.

DANIŞTAY SAVCISI ...'IN DÜŞÜNCESİ :Dava, 13/07/2014 tarih ve 29059 sayılı Resmî Gazete'de yayımlanan "Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği"nin 6'ncı maddesinin 1'inci fıkrası, 9'uncu maddesinin 1'inci ve 3'üncü fıkraları, 10'uncu maddesinin 1'inci fıkrası, 11'inci maddesinin 1'inci fıkrası, 17'nci maddesinin 2'nci fıkrası, 23'üncü maddesi, 27'nci maddesinin 1'inci fıkrası, 28'inci maddesi, 29'uncu maddesi, 30'uncu maddesinin 1'inci fıkrası, 36'ncı maddesinin 1'inci fıkrası, 39'uncu maddesinin 1'inci fıkrası ile 42'nci maddesinin iptali istemiyle açılmıştır.
5809 sayılı Elektronik Haberleşme Kanunu'nun 1 inci maddesinde; bu Kanunun amacının; elektronik haberleşme sektöründe düzenleme ve denetleme yoluyla etkin rekabetin tesisi, tüketici haklarının gözetilmesi, ülke genelinde hizmetlerin yaygınlaştırılması, kaynakların etkin ve verimli kullanılması, haberleşme alt yapı, şebeke ve hizmet alanında teknolojik gelişimin ve yeni yatırımların teşviki ve bunlara ilişkin usul ve esasların belirlenmesi olduğu belirtilmiş, 2/1 inci maddesinde; elektronik haberleşme hizmetlerinin yürütülmesi ve elektronik haberleşme alt yapı ve şebekesinin tesisi ve işletilmesi ile her türlü elektronik haberleşme cihaz ve sistemlerinin imali, ithali, satışı, kurulması, işletilmesi, frekans dahil kıt kaynakların planlaması ve tahsisi ile bu konulara ilişkin düzenleme, yetkilendirme, denetleme ve uzlaştırma faaliyetlerinin yürütülmesinin bu Kanuna tabi olduğu belirtilmiş, Kanunun "ilkeler" başlıklı 4 üncü maddesinde ise; (1) her türlü elektronik haberleşme cihaz, sistem ve şebekelerinin kurulması ve işletilmesine müsaade edilmesi, gerekli frekans, numara, uydu pozisyonu ve benzeri kaynak tahsislerinin yapılması ile bunların düzenlenmesinin Devletin yetki ve sorumluluğu altında olduğu, Bilgi Teknolojileri ve İletişim Kurumu'nun görev ve yetkilerinin sayıldığı 6 ncı maddesinin (1-a) bendinde; elektronik haberleşme sektöründe, rekabeti tesis etmeye ve korumaya, rekabeti engelleyici, bozucu veya kısıtlayıcı uygulamaların giderilmesine yönelik düzenlemeleri yapmak, bu amaçla ilgili pazarlarda etkin piyasa gücüne sahip işletmecilere ve gerekli hâllerde diğer işletmecilere yükümlülükler getirmek ve mevzuatın öngördüğü tedbirleri almak; (c) bendinde; abone, kullanıcı, tüketici ve son kullanıcıların hakları ile kişisel bilgilerin işlenmesi ve gizliliğinin korunmasına ilişkin gerekli düzenlemeleri ve denetlemeleri yapmak, (e) bendinde; elektronik haberleşme sektöründeki gelişmeleri takip etmek, sektörün gelişimini teşvik etmek amacıyla gerekli araştırmaları yapmak veya yaptırmak ve bu konularda ilgili kurum ve kuruluşlarla işbirliği halinde çalışmak, (f) bendinde; bu Kanunun 5 inci maddesinin (a) bendini de göz önünde bulundurarak, elektronik haberleşme hizmetlerinin sunulması ve elektronik haberleşme şebeke ve altyapılarının tesis ve işletilmesi için gerekli olan frekans, uydu pozisyonu ve numaralandırma planlamasını ve tahsisini yapmak, (g) bendinde; elektronik haberleşme ile ilgili olarak Bakanlığın strateji ve politikalarını dikkate alarak, yetkilendirme, tarifeler, erişim, geçiş hakkı, numaralandırma, spektrum yönetimi, telsiz cihaz ve sistemlerine kurma ve kullanma izni verilmesi, spektrumun izlenmesi ve denetimi, piyasa gözetimi ve denetimi de dahil gerekli düzenlemeler ile denetlemeleri yapmak, (h) bendinde; işletmecilerin ticari sırları ile kamuoyuna açıklanabilecek bilgilerinin kapsamını belirlemek, işletmecilerin ticari sırları ile yatırım ve iş planlarının gizliliğini korumak ve bunları adli makamların talepleri dışında muhafaza etmek, (ı) bendinde; elektronik haberleşmeyle ilgili olarak, işletmeciler, kamu kurum ve kuruluşları ile gerçek ve tüzel kişilerden ihtiyaç duyacağı her türlü bilgi ve belgeyi almak ve gerekli kayıtları tutmak, Bakanlık tarafından elektronik haberleşme sektörüne yönelik strateji ve politikaların belirlenmesinde ihtiyaç duyulanları, talebi üzerine Bakanlığa iletmek, (j) bendinde; kullanıcılara ve erişim kapsamında diğer işletmecilere uygulanacak tarifelere, sözleşme hükümlerine, teknik hususlara ve görev alanına giren diğer konulara ilişkin genel kriterler ile uygulama usul ve esaslarını belirlemek, tarifeleri onaylamak, tarifelerin denetlenmesine ilişkin düzenlemeleri yapmak, (l) bendinde; yürütülecek elektronik haberleşme hizmetleri, şebeke ve/veya alt yapısı ile ilgili olarak yapılacak yetkilendirmelere ilişkin hüküm ve şartları belirlemek, uygulanmasını ve yetkilendirmeye uygunluğu denetlemek, bu hususta gereken iş ve işlemleri yürütmek ve mevzuatın öngördüğü tedbirleri almak, (n) elektronik haberleşme sektöründe kullanılacak her çeşit sistem ve cihazların, uyumlaştırılmış ulusal standartlarını yayımlatmak ve uygulanmasını sağlamak, teknik düzenlemelerini yapmak, piyasa denetimini yapmak ve/veya yaptırmak, bu amaçla laboratuvarlar kurup işletebilmek ve bu laboratuvarlarda verebileceği eğitim ve danışmanlık hizmetleri karşılığında alınacak ücretleri belirlemek, (o) bendinde; elektronik haberleşme sektöründe tesis, ölçüm ve bakım-onarım yapacak kuruluşların yetkilendirmesini bu konuda görevli kuruluşlarla koordine etmek, (s) bendinde; elektronik haberleşme sektöründe faaliyet gösterenlerin mevzuata uymasını denetlemek ve/veya denetlettirmek, konu ile ilgili usul ve esasları belirlemek, aykırılık halinde mevzuatın öngördüğü işlemleri yapmak ve yaptırımları uygulamak, (ş) bendinde; elektronik haberleşme sektörüne yönelik olarak, millî güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak, (t) bendinde; ara bağlantı ve ulusal dolaşım da dahil erişim ile ilgili uygulanacak usul ve esasları belirlemek ve mevzuatın öngördüğü düzenlemeleri yapmak, elektronik haberleşme sağlanması amacıyla imzalanan anlaşmaların rekabeti kısıtlayan, mevzuata ve/veya tüketici menfaatlerine aykırı hükümler içermemesi amacıyla mevzuatın öngördüğü tedbirleri almak, (u) bendinde; ilgili Kanun hükümleri dahilinde, evrensel hizmetlere ilişkin hizmet kalitesi ve standartları da dahil olmak üzere, gerektiğinde her türlü elektronik haberleşme hizmetine yönelik hizmet kalitesi ve standartlarını belirlemek, denetlemek, denetlettirmek ve buna ilişkin usul ve esasları belirlemek, (ü) bendinde; elektronik haberleşme sektöründe, bağımsız denetim faaliyetine ilişkin esasları, bağımsız denetleme faaliyetlerinde bulunacak kuruluşların kuruluş şartlarını, çalışma esaslarını ve çalıştıracağı personelin niteliklerini belirlemek, (y) bendinde de; bu Kanunla verilen görevlere ilişkin yönetmelik, tebliğ ve diğer ikincil düzenlemeleri çıkarmak Kurumun görev ve yetkisi dahilinde olduğu hüküm altına alınmıştır.
Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği"nin Şebeke ve Bilgi Güvenliğinin Sağlanmasına İlişkin Temel Yükümlülükler başlıklı üçüncü bölümünde yer alan Bilgi Güvenliği Yönetim Sistemi’nin kurulması, kapsamı ve yönetimine ilişkin 6 ncı maddesinin 1 inci fıkrasında; "(1) İşletmeci, yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri kapsayacak şekilde BGYS kurar."kuralı yer almış, Yönetmeliğin varlık yönetimi sınıflandırması başlıklı 9 uncu maddesinin 1 inci fıkrasında; İşletmeci, sahip olduğu varlıkları ve bu varlıkların sorumlularını dokümante ederek bir varlık envanteri oluşturur. Birçok varlığın belirli bir fonksiyonu yerine getirmek üzere birlikte kullanıldığı karmaşık bilgi sistemleri tek bir varlık olarak kabul edilebilir." hükmü ile aynı maddenin 3 üncü fıkrasında; "İşletmeci, bilgi güvenliği ihtiyaçlarını karşılayacak şekilde varlıklarının gizlilik sınıfını; kritiklik derecesi, yasal gereksinimler ve verinin hassasiyeti kriterlerine göre belirleyerek varlıklarını uygun biçimde etiketler." hükmü yer almıştır.
Yönetmeliğin risk değerlendirme ve işleme başlıklı 10 uncu maddesinin 1 inci fıkrasında; "İşletmeci, bilgi güvenliğine ilişkin tehditlerin tanımlanmasını, söz konusu tehditlerin gerçekleşme olasılıklarını ve oluşturabilecekleri olumsuz sonuçları niteleyen ve risklerin sınıflandırılmasını içerecek şekilde yılda en az bir defa risk değerlendirmesi yapar." düzenlemesine yer verilmiş olup Yönetmeliğin İş sürekliliği başlıklı 11 inci maddesinin 1 inci fıkrasında; "İşletmeci, yetkilendirmesine ilişkin tüm hizmetlerin ve kritik sistemlerin doğal afetler, çevresel tehditler, kazalar, donanım arızaları, kasti eylemler veya siber saldırılar sonucunda kesintiye uğramasını önlemek ve sahip olduğu varlıklarda oluşabilecek kayıpları en aza indirmek amacıyla iş sürekliliği planları yapar ve uygular." hükmü yer almış, Fiziksel erişim başlıklı 17 inci maddesinin 2 nci fıkrasında; "Kritik sistemlerin bulunduğu alanlara giriş ve erişim yetkisi sadece yetkili kişilerle sınırlandırılır, bu yetkiler düzenli olarak gözden geçirilerek güncellenir ve gerekli değilse iptal edilir. Kritik sistemlerin bulunduğu alanlara giriş ve çıkış bilgileri takip edilir ve kayıt altına alınır. Söz konusu kayıtlar en az 2 yıl süreyle muhafaza edilir." kuralı getirilmiştir.
Anılan Yönetmeliğin Değişim yönetimi başlıklı 23 üncü maddesinde; (1) İşletmeci sahip olduğu kritik sistemlere ilişkin tesis, ekipman, yazılım ve prosedürlerde değişiklik yapılmasının söz konusu olduğu durumlarda uygulanmak üzere gerekli kuralları belirler.
(2) Söz konusu kurallar asgari olarak aşağıdaki hususları içerir:
a) Değişikliklerin tanımlanması ve kayıt altına alınması.
b) Değişikliklerin planlanması ve test edilmesi.
c) Değişikliklerin etkilerinin analiz edilmesi.
ç) Önerilen değişikliklerin onaylanması.
d) Değişikliklerin yetkili kullanıcılar tarafından yapılmasının sağlanması.
e) Değişikliğe ilişkin bilgilerin ilgililere bildirilmesi.
f) Başarısız değişikliklerle ve öngörülemeyen sonuçlarla karşılaşılması durumunda yapılacak işlemleri." hükme bağlanmış, Yedekleme başlıklı 27 nci maddesinin 1 inci fıkrasında; "İşletmeci, bir felaket veya hata durumunda ihtiyaç duyulacak bilgi ve yazılımların kurtarılmasına imkân verecek şekilde yedek alınmasını sağlar." düzenlemesi getirilmiş, Zaman Senkronizasyonuna ilişkin 28 inci maddesi; "(1) İşletmeci, bünyesinde kullanılan tüm bilgi sistemlerinin belirlenen tutarlı bir zaman kaynağına göre ayarlanmasını ve senkronize şekilde çalışmalarını sağlar." Yönetmeliğin Sistem kayıt dosyalarının tutulmasına ilişkin 29 uncu maddesinde; (1) İşletmeci, istenmeyen bilgi işleme faaliyetlerinin önlenmesi ve bilgi güvenliği ihlal olaylarının tanımlanması amacıyla kritik sistemleri izler ve asgari aşağıdaki hususların uygulanabilir olanlarını içeren kayıt dosyalarını en az 2 yıl süreyle tutar:
a) Kullanıcı kimlikleri.
b) Oturum açma/kapatma, veri ekleme/silme/değiştirme gibi işlemlerin tarihi, zamanı
ve açıklamaları.
c) Bağlantı sağlanan ekipmanın kimliği ve yeri.
ç) Başarılı ve reddedilen sistem, veri ve diğer kaynaklara erişim girişimlerinin kayıtları.
d) Sistem ayarlarındaki değişiklikleri.
e) Kullanılan özel izinleri ve ayrıcalıkları.
f) Sistem araçlarının ve uygulamalarının kullanımı.
g) Erişilen dosyalar ve erişimin tipi.
ğ) Ağ adresleri.
h) Erişim kontrol sistemi tarafından üretilen alarmlar.
ı) Anti virüs yazılımı, güvenlik duvarı gibi güvenlik sistemlerinin aktif ve pasif hale getirilmeleri.
i) Sistem güvenlik ayarlarına ve kontrollerine ilişkin değişiklikler veya değişiklik girişimleri.
j) Sistem yöneticileri tarafından yapılan işlemler.
k) Kullanıcı veya sistem programları tarafından rapor edilen bilgi işlem ve haberleşme sistemlerine ilişkin hatalar.
(2) Sistem yöneticilerinin kendi işlemlerine ilişkin kayıt dosyalarını silmelerini veya değiştirmelerini engelleyecek önlemler alınır.
(3) Kayıt dosyaları değişikliğe ve yetkisiz erişime karşı korunur." kuralı getirilmiştir.
Anılan Yönetmeliğin Kritik sistemlerde kullanıcı erişim yönetimine ilişkin 30 uncu maddesinin 1'inci fıkrasında; "İşletmeci, kritik sistemlerde kullanıcıların, kendileri ile ilişkilendirilebilecek ve yaptıkları işlemlerden sorumlu olmalarını sağlayacak nitelikte ayırt edilebilir ve eşsiz kullanıcı adı kullanmalarını sağlar." hükmü yer almış, Belgelendirme yükümlülüğüne ilişkin 36 ncı maddesinin 1 inci fıkrasında; "İşletmeci, yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri kapsayacak şekilde kurduğu BGYS için belgelendirme kuruluşlarından uygunluk belgesi alır ve Kuruma gönderir." düzenlemesi getirilmiş, Felaket kurtarma merkezi başlıklı 39 uncu maddesinin 1'inci fıkrasında; "İşletmeci bir felaket, arıza veya hata durumunda sunulan elektronik haberleşme hizmetinin sürekliliğinin veya zamanında kurtarılmasının sağlanması için, ilgili bilgi sistemlerinin ve merkezi şebeke yönetim sistemlerinin bulunduğu yerde meydana gelebilecek bir felaketten etkilenmeyecek uzaklıkta felaket kurtarma merkezi kurar veya kurulu felaket kurtarma merkezlerinden hizmet satın alır."hükmü yer almış olup 42 nci madde hükmü ile Yönetmeliğin yayımı tarihinde yürürlüğe gireceği belirlenmiştir.
Davacı, dava dilekçesinde, mülga Elektronik Haberleşme Güvenliği Yönetmeliği gereklerine uygun şekilde çalışmalarını planlayıp yürüttüğünü, ancak, davaya konu yönetmeliğin kapsamlı çıkarıldığını, mülga yönetmeliğin 16 maddeden oluşmasına karşın yürürlükteki yönetmeliğin 43 madde olarak genişletildiğini ve hukuka aykırı hükümler içerdiğini, ülkenin her bir il, ilçe ve mezrasında haberleşme alt yapısına sahip olduklarından yürürlüğe giren Yönetmelik hükümlerinin hayata geçirilmesi için mevcut sisteme ilave yatırım yapılması gerektiğini, bunun maliyeti çok artırıp daha fazla varlık sınıflandırması ve çalışma yapma ihtiyacı yarattığını, sistemin kurulup test edilmesi için 2 yıllık geçiş süresine ihtiyaç olduğunu, yönetmelik gereklerinin efor, maliyet ve geçiş süresi hususlarından kaynaklanan sıkıntıları nedeniyle yayımı tarihi itibarıyla yerine getirilmesinin fiilen ve hukuken mümkün bulunmadığını ileri sürerek iptalini istemektedir.
Yönetmelik maddeleri ile Kanun hükümlerinin birlikte incelenmesinden; dava konusu düzenlemenin, dayanağı olan Kanun hükümlerinin uygulanmasını sağlamaya yönelik bulunduğu ve farklı içerik taşımadığı, mülga yönetmelikteki yükümlülüklerin nitelik ve nicelik itibarıyla meri yönetmelik ile daha net ve belirgin bir şekle büründüğü görülmekte olup iptali istenilen Yönetmelik maddelerinin hizmet gereklerine uygun olduğu, hukuka aykırı olmadığı anlaşılmaktadır.
Bu nedenle, davanın reddi gerektiği düşünülmektedir.

TÜRK MİLLETİ ADINA
Karar veren Danıştay Onüçüncü Dairesince, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:

MADDİ OLAY VE HUKUKİ SÜREÇ :
13/07/2014 tarih ve 29059 sayılı Resmî Gazete'de yayımlanan "Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği"nin 6. maddesinin 1. fıkrası, 9. maddesinin 1. ve 3. fıkraları, 10. maddesinin 1. fıkrası, 11. maddesinin 1. fıkrası, 17. maddesinin 2. fıkrası, 23. maddesi, 27. maddesinin 1. fıkrası, 28. maddesi, 29. maddesi, 30. maddesinin 1. fıkrası, 36. maddesinin 1. fıkrası, 39. maddesinin 1. fıkrası ile 42. maddesinin iptali istemiyle bakılan dava açılmıştır.

İNCELEME VE GEREKÇE:

İLGİLİ MEVZUAT:
5809 sayılı Elektronik Haberleşme Kanunu'nun 4. maddesinin 1. fıkrasının (l) bendinde, her türlü elektronik haberleşme cihaz, sistem ve şebekelerinin kurulması ve işletilmesine müsaade edilmesi, gerekli frekans, numara, uydu pozisyonu ve benzeri kaynak tahsislerinin yapılması ile bunların düzenlenmesinin Devletin yetki ve sorumluluğu altında olduğu, ilgili merciler tarafından elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde göz önüne alınacak ilkeler arasında "Bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi"nin de sayıldığı; "Kurumun görev ve yetkileri" başlıklı 6. maddesinin 1. fıkrasının (n), (ş), (v) ve (y) bentlerinde, Kurumun görev ve yetkileri olarak "Elektronik haberleşme sektöründe kullanılacak her çeşit sistem ve cihazların, uyumlaştırılmış ulusal standartlarını yayımlatmak ve uygulanmasını sağlamak, teknik düzenlemelerini yapmak, piyasa denetimini yapmak ve/veya yaptırmak, bu amaçla laboratuvarlar kurup işletebilmek ve bu laboratuvarlarda verebileceği eğitim ve danışmanlık hizmetleri karşılığında alınacak ücretleri belirlemek.", "Elektronik haberleşme sektörüne yönelik olarak, millî güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almak.", "Siber güvenlik ve internet alan adları konularında Bakanlar Kurulu, Bakanlık ve/veya Siber Güvenlik Kurulu tarafından verilen görevleri Telekomünikasyon İletişim Başkanlığı veya diğer birimleri marifetiyle yerine getirmek." ve "Bu Kanunla verilen görevlere ilişkin yönetmelik, tebliğ ve diğer ikincil düzenlemeleri çıkarmak." kuralına yer verildiği; "İşletmecilerin hak ve yükümlülükleri" başlıklı 12. maddesinin 2. fıkrasının (i) ve (j) bentlerinde, "Kurum, işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek aşağıdaki hususlar başta olmak üzere, mevzuat doğrultusunda yükümlülükler getirebilir: ... i) Elektronik haberleşme şebekelerinin bütünlüğünün idame ettirilmesi. j) İzinsiz erişime karşı şebeke güvenliğinin sağlanması. ..."; "Kurumun yetkisi ve idarî yaptırımlar" başlıklı 60. maddesinde, Kurumun mevzuata, kullanım hakkı ve diğer yetkilendirme şartlarına uyulmasını izleme ve denetlemeye, aykırılık halinde işletmecilere bir önceki takvim yılındaki net satışlarının yüzde üçüne kadar idarî para cezası uygulamaya, millî güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi ve kanunlarla getirilen hükümlerin uygulanması amaçlarıyla gerekli tedbirleri almaya, gerektiğinde tesisleri tazminat karşılığında devralmaya, belirlediği süre içerisinde yetkilendirme ücretinin ödenmemesi ya da ağır kusur hâlinde verdiği yetkilendirmeyi iptal etmeye yetkili olduğu, ancak, Kurumun, ulusal çapta verilecek frekans bandı kullanımını ihtiva eden ve sınırlı sayıda işletmeci tarafından yürütülmesi gereken elektronik haberleşme hizmetlerine ilişkin yetkilendirmelerin iptalini gerektiren hâllerde Bakanlığın görüşünü alacağının belirtildiği görülmektedir.
13/07/2014 tarih ve 29059 sayılı Resmî Gazete'de yayımlanan Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği'nin "Amaç ve kapsam" başlıklı 1. maddesinde, "(1) Bu Yönetmeliğin amacı, şebeke ve bilgi güvenliğinin sağlanmasına yönelik olarak işletmecilerin uyacakları usul ve esasları düzenlemektir. (2) Kişisel verilerin işlenmesi ve gizliliğinin korunması, bu Yönetmelik kapsamı dışındadır."; "Tanımlar ve kısaltmalar başlıklı 3. maddesinde, "(1) Bu Yönetmelikte geçen; a) Belgelendirme kuruluşu: TS ISO/IEC 27001 veya ISO/IEC 27001 standardına göre belgelendirme yapmak üzere akredite edilmiş kurum veya kuruluşu, b) BGYS standardı: TS ISO/IEC 27001 veya ISO/IEC 27001 standardını, c) Bilgi güvenliği yönetim sistemi (BGYS): Bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak üzere sistemli, kuralları koyulmuş, planlı, yönetilebilir, sürdürülebilir, dokümante edilmiş, işletmecinin yönetimince kabul görmüş ve uluslararası güvenlik standartlarının temel alındığı faaliyetler bütününü, ç) Bilgi sistemi: İşletim sistemlerinin, veritabanlarının, sunucuların, altyapının, iş uygulamalarının, kullanıma hazır ürünlerin, donanımların, yazılımların ve hizmetlerin tamamını, ... i) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi, ... k) Kritik bilgi: Değiştirilmesi, bozulması, kaybolması, kötüye kullanılması veya yetkisiz bir şekilde ifşa edilmesi durumunda şebeke ve bilgi güvenliği açısından zararlara yol açacak bilgiyi, l) Kritik sistem: İşletmecinin kontrolü altında yer alan elektronik haberleşme altyapısı ile işlevselliğinin bozulması hâlinde veya maruz kalacağı etkiler neticesinde şebeke ve bilgi güvenliğini zafiyete uğratabilecek sistemleri, m) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu, n) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu, o) Risk değerlendirme: Risklerin analizi, seviyelerinin tanımlanması, derecelendirilmesi ve tahmin edilmesi ile kabul edilebilir risk seviyesinin belirlenmesini, ö) Risk işleme: Riski azaltmaya yönelik önlemlerin seçilmesi ve uygulanması ile kabul edilen risklerin gerekçelerinin belirlenmesini, ... r) Siber Güvenlik Kurulu: 5/11/2008 tarihli ve 5809 sayılı Elektronik Haberleşme Kanununun EK 1'inci maddesinin birinci fıkrası kapsamında kurulan kurulu, ... t) Varlık: İşletmeci için değeri olan herhangi bir şeyi, ifade eder. (2) Bu Yönetmelikte geçen ve birinci fıkrada yer almayan tanımlar için ilgili mevzuatta yer alan tanımlar geçerlidir." kuralları yer almıştır.

HUKUKİ DEĞERLENDİRME:
5809 sayılı Kanun'a göre, elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi gerektiği, elektronik haberleşme sektöründe kullanılacak her çeşit sistem ve cihazların, uyumlaştırılmış ulusal standartlarını yayımlatmak ve uygulanmasını sağlamak, teknik düzenlemelerini yapmak, piyasa denetimini yapmak ve/veya yaptırmak, elektronik haberleşme sektörüne yönelik olarak, millî güvenlik, kamu düzeni veya kamu hizmetinin gereği gibi yürütülmesi amacıyla mevzuatın öngördüğü tedbirleri almanın ve siber güvenlik ve internet alan adları konularında Bakanlar Kurulu, Bakanlık ve/veya Siber Güvenlik Kurulu tarafından verilen görevleri Telekomünikasyon İletişim Başkanlığı veya diğer birimleri marifetiyle yerine getirmenin ve bu Kanunla verilen görevlere ilişkin yönetmelik, tebliğ ve diğer ikincil düzenlemeleri çıkarmanın Kurumun görev ve yetkisinde olduğu; Kurumun işletmecilere sektörün ihtiyaçları, uluslararası düzenlemeler, teknolojide meydana gelen gelişmeler gibi hususları gözeterek elektronik haberleşme şebekelerinin bütünlüğünün idame ettirilmesinin ve izinsiz erişime karşı şebeke güvenliğinin sağlanması için mevzuat doğrultusunda yükümlülükler getirebileceği, bu kapsamda Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği'nin hazırlandığı anlaşılmıştır.
Ayrıca, anılan Yönetmeliğin 13/07/2014 tarihli Resmî Gazete'de yayımlanmasından önce yürürlükte olan Elektronik Haberleşme Güvenliği Yönetmeliği'nin (mülga Yönetmelik) 11. maddesinin 1. fıkrasında yer alan, işletmecinin TS ISO/IEC 27001 veya ISO/IEC 27001 standardına uygunluğunu sağlamakla yükümlü olduğu kuralındaki standarda ilişkin hususlara 13/07/2014 tarihinde yürürlüğe giren Yönetmelik maddelerinde yer verilerek daha açık ve sınırları daha net olacak şekilde aynı standardın devam ettirildiği görülmüştür.
Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği'nin "BGYS’nin kurulması, kapsamı ve yönetimi" başlıklı 6. maddesinin 1. fıkrasının incelenmesinden;
Yönetmeliğin 6. maddenin 1. fıkrasında, "İşletmeci, yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri kapsayacak şekilde BGYS kurar." kuralı yer almıştır.
Anılan kuralda "yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri" ifadesine yer verilerek işletmecilerin kurmakla yükümlü olduğu BGYS'nin kapsamının sınırlarının net bir şekilde belirlendiği, dolayısıyla mülga Yönetmeliğin 11. maddesinde yer verilen standartta çok daha geniş kapsamlı olarak tanımlandığı anlaşılan BGYS'ye ilişkin olarak davacının iddiasının aksine dava konusu kural sebebiyle süre verilmesinin gerekli olmadığı, haberleşme altyapısının başlı başına bütün olarak bir kritik altyapı olduğu, bu altyapının herhangi bir yerinde meydana gelecek zafiyetin tüm bilişim sistemlerine zarar verebileceği ve bilgi güvenliğinin bir bütün olarak ele alınması gerektiği de dikkate alındığından, dava konusu kuralda hukuka aykırılık bulunmamaktadır.
Anılan Yönetmeliğin "Varlık yönetimi sınıflandırması" başlıklı 9. maddesinin 1. ve 3. fıkralarının incelenmesinden;
Yönetmeliğin 9. maddesinin 1. fıkrasında, "İşletmeci, sahip olduğu varlıkları ve bu varlıkların sorumlularını dokümante ederek bir varlık envanteri oluşturur. Birçok varlığın belirli bir fonksiyonu yerine getirmek üzere birlikte kullanıldığı karmaşık bilgi sistemleri tek bir varlık olarak kabul edilebilir."; 3. fıkrasında, "İşletmeci, bilgi güvenliği ihtiyaçlarını karşılayacak şekilde varlıklarının gizlilik sınıfını; kritiklik derecesi, yasal gereksinimler ve verinin hassasiyeti kriterlerine göre belirleyerek varlıklarını uygun biçimde etiketler." kurallarına yer verilmiştir.
Bu kuralda, TS ISO/IEC 27001 standardının "varlık yönetimi" başlıklı kısmında yer verilen benzer kuralların yer aldığı, dolayısıyla mülga Yönetmelikte belirtilen TS ISO/IEC 27001 standardındaki konuya ilişkin yükümlülüklerin işletmeciler açısından aynen devam ettiği, ilave yükümlülük getirilmediği anlaşıldığından, 5809 sayılı Kanun kapsamında üst hukuk normlarına uygun olan dava konusu maddede hukuka aykırılık bulunmadığı anlaşılmıştır.
Anılan Yönetmeliğin "Risk değerlendirme ve işleme" başlıklı 10. maddesinin 1. fıkrası, "İş sürekliliği" başlıklı 11. maddesinin 1. fıkrası, "Fiziksel erişim" başlıklı 17. maddesinin 2. fıkrası, "Değişim yönetimi" başlıklı 23. maddesi, "Sistem kayıt dosyalarının tutulması" başlıklı 29. maddesinin incelenmesinden;
Aynı Yönetmeliğin 10. maddesinin 1. fıkrasında, "İşletmeci, bilgi güvenliğine ilişkin tehditlerin tanımlanmasını, söz konusu tehditlerin gerçekleşme olasılıklarını ve oluşturabilecekleri olumsuz sonuçları niteleyen ve risklerin sınıflandırılmasını içerecek şekilde yılda en az bir defa risk değerlendirmesi yapar."; 11. maddesinin 1. fıkrasında, "İşletmeci, yetkilendirmesine ilişkin tüm hizmetlerin ve kritik sistemlerin doğal afetler, çevresel tehditler, kazalar, donanım arızaları, kasti eylemler veya siber saldırılar sonucunda kesintiye uğramasını önlemek ve sahip olduğu varlıklarda oluşabilecek kayıpları en aza indirmek amacıyla iş sürekliliği planları yapar ve uygular."; 17. maddesinin 2. fıkrasında, "Kritik sistemlerin bulunduğu alanlara giriş ve erişim yetkisi sadece yetkili kişilerle sınırlandırılır, bu yetkiler düzenli olarak gözden geçirilerek güncellenir ve gerekli değilse iptal edilir. Kritik sistemlerin bulunduğu alanlara giriş ve çıkış bilgileri takip edilir ve kayıt altına alınır. Söz konusu kayıtlar en az 2 yıl süreyle muhafaza edilir."; 23. maddesinde, "(1) İşletmeci sahip olduğu kritik sistemlere ilişkin tesis, ekipman, yazılım ve prosedürlerde değişiklik yapılmasının söz konusu olduğu durumlarda uygulanmak üzere gerekli kuralları belirler. (2) Söz konusu kurallar asgari olarak aşağıdaki hususları içerir: a) Değişikliklerin tanımlanması ve kayıt altına alınması. b) Değişikliklerin planlanması ve test edilmesi. c) Değişikliklerin etkilerinin analiz edilmesi. ç) Önerilen değişikliklerin onaylanması. d) Değişikliklerin yetkili kullanıcılar tarafından yapılmasının sağlanması. e) Değişikliğe ilişkin bilgilerin ilgililere bildirilmesi. f) Başarısız değişikliklerle ve öngörülemeyen sonuçlarla karşılaşılması durumunda yapılacak işlemleri."; 29. maddesinde, "(1) İşletmeci, istenmeyen bilgi işleme faaliyetlerinin önlenmesi ve bilgi güvenliği ihlal olaylarının tanımlanması amacıyla kritik sistemleri izler ve asgari aşağıdaki hususların uygulanabilir olanlarını içeren kayıt dosyalarını en az 2 yıl süreyle tutar: a) Kullanıcı kimlikleri. b) Oturum açma/kapatma, veri ekleme/silme/değiştirme gibi işlemlerin tarihi, zamanı ve açıklamaları. c) Bağlantı sağlanan ekipmanın kimliği ve yeri. ç) Başarılı ve reddedilen sistem, veri ve diğer kaynaklara erişim girişimlerinin kayıtları. d) Sistem ayarlarındaki değişiklikleri. e) Kullanılan özel izinleri ve ayrıcalıkları. f) Sistem araçlarının ve uygulamalarının kullanımı. g) Erişilen dosyalar ve erişimin tipi. ğ) Ağ adresleri. h) Erişim kontrol sistemi tarafından üretilen alarmlar. ı) Anti virüs yazılımı, güvenlik duvarı gibi güvenlik sistemlerinin aktif ve pasif hâle getirilmeleri. i) Sistem güvenlik ayarlarına ve kontrollerine ilişkin değişiklikler veya değişiklik girişimleri. j) Sistem yöneticileri tarafından yapılan işlemler. k) Kullanıcı veya sistem programları tarafından rapor edilen bilgi işlem ve haberleşme sistemlerine ilişkin hatalar. (2) Sistem yöneticilerinin kendi işlemlerine ilişkin kayıt dosyalarını silmelerini veya değiştirmelerini engelleyecek önlemler alınır. (3) Kayıt dosyaları değişikliğe ve yetkisiz erişime karşı korunur." kuralları yer almıştır.
Bu maddeler, mülga Yönetmelikte belirtilen TS ISO/IEC 27001 standardı kapsamında tanımlanmış yükümlülükler arasında yer almakta olup; davacıya ek süre verilmesine gerek bulunmadığı; ayrıca, düzenlemelerin davalı idarenin 5809 sayılı Kanun'da yer verilen görevleri kapsamında olduğu ve anılan Kanundaki temel ilkeleri ihlâl etmediği görüldüğünden, dava konusu maddelerde hukuka aykırılık bulunmamaktadır.
Anılan Yönetmeliğin "Yedekleme" başlıklı 27. maddesinin 1. fıkrasının incelenmesinden;
Yönetmeliğin 27. maddesinin 1. fıkrasında, "(1) İşletmeci, bir felaket veya hata durumunda ihtiyaç duyulacak bilgi ve yazılımların kurtarılmasına imkân verecek şekilde yedek alınmasını sağlar." kuralı yer almıştır.
Bu maddenin felaket, arıza, hata ve hasar hâllerinde verilerin geri döndürülebilmesi ve çalışmaya ara verilmesinin önlenmesi açısından önemli olduğu, mülga Yönetmelikte yer alan standarda ek olarak bir yükümlülük getirilmediği ve işletmecilere ek süre verilmesine gerek olmadığı anlaşıldığından, dava konusu kuralda hukuka aykırılık bulunmamaktadır.
Anılan Yönetmeliğin "Zaman senkronizasyonu" başlıklı 28. maddesinin incelenmesinden;
Yönetmeliğin 28. maddesinde, "(1) İşletmeci, bünyesinde kullanılan tüm bilgi sistemlerinin belirlenen tutarlı bir zaman kaynağına göre ayarlanmasını ve senkronize şekilde çalışmalarını sağlar." kuralı yer almıştır.
Bu madde ile, bilgi sistemlerinin saatlerinin farklı olmasının yol açtığı sorunların ortadan kaldırıldığı, zaman bilgisinin netleştirilerek adli olay veya bilgi güvenliği soruşturması için önemli bir hususun uyuşmazlık konusu olmaktan çıkarıldığı anlaşıldığından, dava konusu maddede hukuka aykırılık bulunmamaktadır.
Anılan Yönetmeliğin "Kritik sistemlerde kullanıcı erişim yönetimi" başlıklı 30. maddesinin 1. fıkrasının incelenmesinden;
Yönetmeliğin 30. maddesinin 1. fıkrasında, "İşletmeci, kritik sistemlerde kullanıcıların, kendileri ile ilişkilendirilebilecek ve yaptıkları işlemlerden sorumlu olmalarını sağlayacak nitelikte ayırt edilebilir ve eşsiz kullanıcı adı kullanmalarını sağlar." kuralı yer almıştır.
Söz konusu maddede, daha önce yürürlükte olan Yönetmelikteki yükümlülüklere ek olarak yeni bir yükümlülük getirilmediğinin görüldüğü, ayrıca siber güvenlik olaylarının detaylı araştırılması ve siber suçun soruşturulması için sistem kayıt dosyalarının tutulması gerektiği, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun gereğince de işletmecilerin sistem kayıt dosyalarını tutması zorunlu olduğundan, dava konusu kuralda hukuka aykırılık bulunmamaktadır.
Anılan Yönetmeliğin "Belgelendirme yükümlülüğü" başlıklı 36. maddesinin 1. fıkrasının incelenmesinden;
Yönetmeliğin 36. maddesinde, "(1) İşletmeci, yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri kapsayacak şekilde kurduğu BGYS için belgelendirme kuruluşlarından uygunluk belgesi alır ve Kuruma gönderir. (2) İlk defa belgelendirme yükümlülüğüne tabi olan işletmeci yükümlülük durumunun değiştiği yılın sonundan itibaren bir yıl içinde uygunluk belgesi alır ve Kuruma gönderir. (3) Birinci ve ikinci fıkralar gereğince uygunluk belgesi almış işletmeci, uygunluk belgesinin yenilenmesi, kapsamında değişiklikler yapılması gibi durumlarda, değişiklikten itibaren en geç iki ay içerisinde Kuruma bilgi vermekle yükümlüdür." kuralı yer almıştır.
İlk defa belgelendirme yükümlülüğünü yerine getirmesi gereken işletmecilere bir yıllık süre verildiği, belgesi bulunan işletmecilere ise süre tanınmasına gerek olmadığı, dolayısıyla davacının geçiş süresi verilmesi gerektiği iddiasının bir geçerliliğinin bulunmadığı anlaşıldığından, dava konusu maddede hukuka aykırılık bulunmamaktadır.
Anılan Yönetmeliğin "Felaket kurtarma merkezi" başlıklı 39. maddesinin 1. fıkrasının incelenmesinden;
Yönetmeliğin 39. maddesinde, "(1) İşletmeci bir felaket, arıza veya hata durumunda sunulan elektronik haberleşme hizmetinin sürekliliğinin veya zamanında kurtarılmasının sağlanması için, ilgili bilgi sistemlerinin ve merkezi şebeke yönetim sistemlerinin bulunduğu yerde meydana gelebilecek bir felaketten etkilenmeyecek uzaklıkta felaket kurtarma merkezi kurar veya kurulu felaket kurtarma merkezlerinden hizmet satın alır. (2) Felaket kurtarma merkezi kurma yükümlülüğüne tabi olan işletmeci, yükümlülük durumunun değiştiği yılın sonundan itibaren iki yıl içerisinde felaket kurtarma merkezi kurar." kuralı yer almıştır.
Davacı tarafından her ne kadar söz konusu maddenin yürürlüğe girmesi için süre talep edilmişse de, anılan maddenin 2. fıkrasında, felaket kurtarma merkezi kurma yükümlülüğüne tabi olan işletmecinin yükümlülük durumunun değiştiği yılın sonundan itibaren iki yıl içerisinde felaket kurtarma merkezi kuracağının öngörüldüğü, işletmecilere yeterli sürenin tanındığı açıktır.
Bu itibarla, 5809 sayılı Kanun'a uygun olarak hazırlanan dava konusu maddede hukuka aykırılık bulunmamaktadır.
Anılan Yönetmeliğin "Yürürlük" başlıklı 42. maddesinin incelenmesinden;
Bu maddede, Yönetmeliğin yayımı tarihinde yürürlüğe gireceğine yer verilmiş olup, anılan Yönetmelikte işletmecilerin yükümlülükleri açısından bir sürekliliğin söz konusu olduğu, yeni bir yükümlülük olarak getirilen "felaket kurtarma merkezi kurma yükümlülüğü"ne ilişkin olarak 39. maddede uyum için iki yıllık süre öngörüldüğü, yine anılan Yönetmeliğin 36. maddesinde ilk kez belgelendirme yükümlülüğüne tabi işletmecilere bir yıllık sürenin getirildiği, dolayısıyla Yönetmeliğin yürürlüğü açısından işletmeciler açısından bir uyumsuzluğun bulunmadığı anlaşıldığından, davacının iddiasının aksine dava konusu maddede hukuka aykırılık bulunmamaktadır.

KARAR SONUCU:
Açıklanan nedenlerle;
1. DAVANIN REDDİNE,
2. Ayrıntısı aşağıda gösterilen toplam …-TL yargılama giderinin davacı üzerinde bırakılmasına,
3. Avukatlık Asgari Ücret Tarifesi uyarınca …-TL vekâlet ücretinin davacıdan alınarak davalı idareye verilmesine,
4. Posta gideri avansından artan tutarın kararın kesinleşmesinden sonra davacıya iadesine,
5. Bu kararın tebliğ tarihini izleyen 30 (otuz) gün içerisinde Danıştay İdari Dava Daireleri Kurulu'na temyiz yolu açık olmak üzere, 24/12/2020 tarihinde oybirliğiyle karar verildi.