النص الكامل ومواد قانون الأمن السيبراني

مواد قانون الأمن السيبراني

الفصل الأول - الأحكام التمهيدية

هدف

المادة 1- (1) يهدف هذا القانون إلى تحديد وإزالة التهديدات الداخلية والخارجية الحالية والمحتملة ضد جميع العناصر التي تشكل القوة الوطنية لجمهورية تركيا في الفضاء الإلكتروني، وتحديد المبادئ اللازمة للحد من الآثار المحتملة للحوادث الإلكترونية، ووضع الترتيبات اللازمة لحماية المؤسسات والمنظمات العامة، والمنظمات المهنية ذات صفة المؤسسات العامة، والأشخاص الطبيعيين والاعتباريين والمنظمات التي لا تتمتع بالشخصية الاعتبارية ضد الهجمات الإلكترونية، وتحديد الاستراتيجيات والسياسات لتعزيز الأمن السيبراني للبلاد وتنظيم مبادئ إنشاء مجلس الأمن السيبراني.

مجال

المادة 2- (1) يشمل هذا القانون المؤسسات والمنظمات العامة، والمنظمات المهنية التي تتمتع بصفة المؤسسات العامة، والأشخاص الطبيعيين والاعتباريين والمنظمات التي لا تتمتع بالشخصية الاعتبارية التي توجد وتعمل وتقدم خدمات في الفضاء الإلكتروني.

(2) الأنشطة الاستخباراتية التي تتم وفقًا لقانون واجبات وصلاحيات الشرطة رقم 4، المؤرخ 7/1934/2559، وقانون قيادة خفر السواحل رقم 9، المؤرخ 7/1982/2692، وقانون تنظيم وواجبات وصلاحيات الدرك رقم 10، المؤرخ 3/1983/2803، والأنشطة التي تتم وفقًا لقانون أجهزة الاستخبارات الحكومية ومنظمة الاستخبارات الوطنية رقم 1، المؤرخ 11/1983/2937، وقانون الخدمة الداخلية للقوات المسلحة التركية رقم 4، المؤرخ 1/1961/211، خارج نطاق هذا القانون.

التعاريف والمختصرات

المادة 3- (1) في هذا القانون ؛

أ) الاستضافة: حفظ أنظمة المعلومات في مركز بيانات خارجي،

ب) الرئيس: رئيس الأمن السيبراني،

ج) الرئاسة: رئاسة الأمن السيبراني،

د) أنظمة المعلومات: الأجهزة والبرامج والأنظمة وجميع المكونات الأخرى النشطة أو السلبية المستخدمة في عرض جميع أنواع الخدمات والمعاملات والبيانات المقدمة من خلال تكنولوجيا المعلومات والاتصالات،

د) البنية التحتية الحرجة: البنى التحتية التي تستضيف أنظمة المعلومات التي قد تؤدي إلى خسائر في الأرواح، أو أضرار اقتصادية واسعة النطاق، أو ثغرات أمنية، أو تعطيل النظام العام عندما يتم المساس بسرية أو سلامة أو إمكانية الوصول إلى المعلومات/البيانات التي تعالجها.

هـ) الخدمة العامة الأساسية: هي الخدمة التي تعد أساسية للحفاظ على الأنشطة الوطنية أو الاجتماعية أو الاقتصادية، والتي يتم تقديمها بشكل احتكاري أو استبدال محدود في جميع أنحاء البلاد، والتي قد يؤدي انقطاعها أو الإضرار بها إلى تأثير كبير على الأمن الوطني أو الرفاهة الاجتماعية أو الاقتصادية للبلاد أو النظام العام أو الصحة، أو تقديم الخدمات الأخرى.

و) الأمن السيبراني: مجموع الأنشطة التي تشمل حماية أنظمة المعلومات التي تشكل الفضاء الإلكتروني من الهجمات، وضمان سرية وسلامة وإمكانية الوصول إلى البيانات التي تتم معالجتها في هذه البيئة، واكتشاف الهجمات والحوادث الإلكترونية، وتفعيل آليات الرد والإنذار ضد هذه الاكتشافات ومن ثم إعادتها إلى الحالة التي كانت عليها قبل الحادث الإلكتروني.

ج) الحادث الإلكتروني: انتهاك سرية أو سلامة أو إمكانية الوصول إلى أنظمة المعلومات أو البيانات،

ج) الهجوم الإلكتروني: الإجراءات المتعمدة المتخذة ضد الأشخاص أو أنظمة المعلومات في أي مكان في الفضاء الإلكتروني بهدف القضاء على سرية أو سلامة أو إمكانية الوصول إلى أنظمة المعلومات في الفضاء الإلكتروني والبيانات التي تعالجها هذه الأنظمة،

ح) التهديد السيبراني: المخاطر المحتملة التي قد تسبب انتهاكات للسرية أو السلامة أو إمكانية الوصول إلى أنظمة المعلومات والبيانات الموجودة في هذه الأنظمة أو التي تتم معالجتها بواسطتها،

i) معلومات استخباراتية حول التهديدات السيبرانية: المعلومات التي تم جمعها أو تحويلها أو تحليلها أو تفسيرها أو إثرائها حول التهديدات السيبرانية الحالية أو المحتملة والهجمات السيبرانية ضد الأصول في الفضاء الإلكتروني،

i) الفضاء الإلكتروني: البيئة التي تتكون من جميع أنظمة المعلومات المرتبطة بشكل مباشر أو غير مباشر بالإنترنت أو الاتصالات الإلكترونية أو شبكات الكمبيوتر والشبكات التي تربطها ببعضها البعض،

ج) بعض: فريق الاستجابة للحوادث السيبرانية،

ك) الأصول: جميع المعلومات ومرافق معالجة المعلومات التي تحتوي على بيانات يمكن نقلها من خلال الاتصالات والمتاحة في بيئات إلكترونية أو مادية، والموظفون الذين يستخدمون البيانات أو يحملونها، والمساحات المادية التي تستضيف البيانات،

ل) الضعف: يشير إلى نقاط الضعف والثغرات الأمنية في الأصول الموجودة في الفضاء الإلكتروني والتي يمكن استغلالها من قبل أي تهديد إلكتروني.

المبادئ الأساسية

المادة 4- (1) المبادئ الأساسية لضمان الأمن السيبراني هي كما يلي:

أ) الأمن السيبراني جزء لا يتجزأ من الأمن الوطني.

ب) الهدف الرئيسي هو حماية البنية التحتية الحيوية وأنظمة المعلومات وإنشاء فضاء إلكتروني آمن.

ج) يتم إجراء الدراسات المتعلقة بالأمن السيبراني على أساس المؤسسية والاستمرارية والاستدامة.

ج) من الضروري تنفيذ تدابير الأمن السيبراني طوال دورة حياة الخدمات والمنتجات.

د) في الدراسات الهادفة إلى ضمان الأمن السيبراني، يتم تفضيل المنتجات المحلية والوطنية في المقام الأول.

هـ) جميع المؤسسات والهيئات العامة والأشخاص الطبيعيين والاعتباريين مسئولون عن تنفيذ سياسات واستراتيجيات الأمن السيبراني واتخاذ التدابير اللازمة لمنع الهجمات السيبرانية أو الحد من آثارها.

و) المساءلة ضرورية في تنفيذ عمليات الأمن السيبراني.

ج) يتم إجراء دراسات تطوير سياسة واستراتيجية الأمن السيبراني مع اتباع نهج التحسين المستمر.

ج) تشجيع الدراسات التي تهدف إلى زيادة كفاءة وإمكانات الموارد البشرية المؤهلة في مجال الأمن السيبراني.

ح) يهدف إلى نشر ثقافة الأمن السيبراني في المجتمع.

أ) تعتبر مبادئ سيادة القانون وحقوق الإنسان والحريات الأساسية وحماية الخصوصية مبادئ أساسية.

الفصل الثاني - الواجبات والصلاحيات والمسؤوليات ومجلس التدقيق والأمن السيبراني

واجبات الرئاسة

المادة 5- (1) تكون مهام رئاسة الجمهورية كما يلي:

أ) القيام بالمهام المنصوص عليها في التشريعات ذات الصلة.

ب) تنفيذ الأنشطة الرامية إلى زيادة المرونة السيبرانية للبنى التحتية الحيوية وأنظمة المعلومات، وحمايتها من الهجمات السيبرانية، واكتشاف الهجمات السيبرانية، ومنع الهجمات المحتملة والحد من آثارها أو القضاء عليها، وإجراء أو طلب إجراء اختبارات الضعف والاختراق وتحليلات المخاطر للأصول، ومكافحة التهديدات السيبرانية، والحصول على معلومات استخباراتية حول التهديدات السيبرانية وإنشاء هذه المعلومات ومشاركتها، وإجراء أنشطة تحليل البرامج الضارة.

ج) تحديد البنى التحتية الحيوية والمؤسسات والمواقع التي تنتمي إليها.

د) التأكد من إجراء جرد لجميع أصول المؤسسات والمنظمات العامة والبنية التحتية الحيوية، بما في ذلك جرد بياناتها، وإجراء تحليل المخاطر للأصول، واتخاذ أو اتخاذ تدابير أمنية وفقًا لخطورة أصول المؤسسات والمنظمات العامة والبنية التحتية الحيوية.

د) إنشاء وتأسيس والإشراف على فرق الاستجابة للحوادث السيبرانية في الدول الأخرى، والعمل على تحديد وزيادة مستويات نضج فرق الاستجابة للحوادث السيبرانية في الدول الأخرى، وقياس قدرات فرق الاستجابة للحوادث السيبرانية في الدول الأخرى، والتنسيق مع فرق الاستجابة للحوادث السيبرانية في الدول الأخرى، وإجراء وتشجيع الدراسات لإنتاج وتطوير جميع أنواع أدوات التدخل السيبراني والحلول الوطنية.

هـ) تنظيم الإجراءات والمبادئ التي يجب على العاملين في مجال الأمن السيبراني الالتزام بها.

و) إنشاء أو إنشاء أو تشغيل أو تشغيل البنى التحتية اللازمة لضمان الأمن السيبراني للمؤسسات والمنظمات العامة والخدمات العامة الحيوية، وتوفير أو ضمان توفير خدمات الاستضافة للمؤسسات والمنظمات العامة عبر أنظمة وبنى تحتية آمنة، وتحديد إجراءات ومبادئ تطبيق هذه الأنشطة.

ج) إعداد المعايير المتعلقة بمجال الأمن السيبراني، ودراسة المعايير التي يعدها الأشخاص أو المنظمات الأخرى، وإبداء الرأي بشأنها، وقبولها كمعايير إذا لزم الأمر، ونشرها، ومراقبة تنفيذها.

ج) إجراء عمليات الاختبار والتصديق للبرمجيات والأجهزة والمنتجات والأنظمة والخدمات المتعلقة بمجال الأمن السيبراني، وإنشاء وتشغيل البنى التحتية للاختبار لهذا الغرض، وإجراء عمليات التصديق والترخيص والتوثيق لخبراء وشركات الأمن السيبراني بالتنسيق مع المؤسسات ذات الصلة.

ح) إجراء عمليات تدقيق للأمن السيبراني وفرض العقوبات بناءً على نتائجها.

i) تحديد المعايير الفنية واتخاذ الترتيبات التشريعية بشأن المؤهلات التي يجب أن تتمتع بها منتجات وخدمات الأمن السيبراني التي سيتم استخدامها في المؤسسات والمنظمات العامة والبنى التحتية الحيوية والشركات التي ستقدمها، وإجراء عمليات تدقيق عليها أو إجراؤها، وتحديد المؤهلات التي يجب أن تتمتع بها المنظمات التي ستجري عمليات التدقيق، وتعيين هذه المنظمات، وتعليق التعيين مؤقتًا أو إلغاؤه عند الضرورة.

القوى

المادة 6- (1) تمارس الرئاسة في أداء مهامها الصلاحيات التالية:

أ) استخدام الصلاحيات المنصوص عليها في التشريعات ذات الصلة.

ب) يتخذ أو يتسبب في اتخاذ التدابير اللازمة لحماية الأشخاص الخاضعين لأحكام هذا القانون من الهجمات الإلكترونية وتوفير الردع ضد مصدر هذه الهجمات. وفي هذا السياق، يمكنها ضمان تثبيت ودمج منتجات البرمجيات والأجهزة المناسبة لأنظمة المعلومات، ونقل البيانات وسجلات السجلات التي تنتجها أو تجمعها هذه المنتجات إلى أنظمة المعلومات تحت إدارة الرئاسة، واستخدام الأساليب والأدوات اللازمة للكشف عن الحوادث السيبرانية.

ج) يجوز لها تقديم الدعم في الموقع أو عن بعد للاستجابة للحوادث السيبرانية للأشخاص الذين يقعون ضمن نطاق هذا القانون والذين يتعرضون لحوادث سيبرانية، ويجوز لها تتبع آثار الهجمات من خلال البيانات أو الصور أو سجلات السجلات التي يتم العثور عليها أو الحصول عليها في الفضاء الإلكتروني، ويجوز لها فحصها وإثباتها، ويجوز لها مشاركة النتائج التي تعتبر أنها تشكل جريمة مع السلطات القضائية وغيرها من الأطراف ذات الصلة، ويجوز لها التنسيق مع أصحاب المصلحة المحليين والدوليين.

ج) لها أن تحصل على المعلومات والوثائق والبيانات والسجلات من الجهات الخاضعة لأحكام هذا القانون، في حدود الأنشطة التي تمارسها، وأن تقيمها، ولها أن تستفيد من أرشيفاتها ومراكز معالجة البيانات الإلكترونية والبنية الأساسية للاتصالات لديها وأن تتصل بها. وتخضع المعلومات والوثائق والبيانات والسجلات التي يتم الحصول عليها في هذا النطاق للدراسة لمدة أقصاها سنتان، ويتم إتلافها بعد فترة الدراسة. وفي هذا السياق، لا يمكن لمن يوجه إليه الطلب أن يتهرب من تلبية الطلب من خلال الاستشهاد بأحكام تشريعاته الخاصة.

د) يمكنه جمع وتخزين وتقييم السجلات في أنظمة المعلومات. ويمكنه إعداد التقارير حول هذه الأمور ومشاركتها مع المؤسسات والمنظمات ذات الصلة.

هـ) يجوز للرئاسة تخصيص موظفين عند الحاجة لقضايا الأمن السيبراني بالتنسيق مع الوزارات والمؤسسات والهيئات العامة الأخرى.

و) لها أن تقيم علاقات مع المنظمات والدول الدولية بشأن القضايا التي تقع ضمن اختصاصها، وتبادل المعلومات، وتمثيل بلادنا وضمان التنسيق معها، والمشاركة في أعمال المنظمات الدولية، ومتابعة تنفيذ القرارات المتخذة فيها، وضمان التنسيق اللازم.

ج) يجوز لها تصنيف المؤسسات والهيئات وغيرها من الأشخاص الطبيعيين والاعتباريين والمنظمات التي ليس لها شخصية اعتبارية ذات الصلة في نطاق هذا القانون، ولها أن تضع أحكاماً تغطي جزءاً معيناً منها فقط عند الضرورة أثناء ممارسة أنشطتها.

ج) يجوز لها الترخيص لمراجعين مستقلين ومنظمات تدقيق مستقلة للقيام بعمليات تدقيق الأمن السيبراني، كما يجوز لها إلغاء ترخيصها مؤقتًا أو إلى أجل غير مسمى.

ح) تحديد معايير البرمجيات والأجهزة والمنتجات والخدمات المستخدمة في أنظمة المعلومات للمؤسسات والمنظمات العامة والبنية التحتية الحيوية والتي لها تأثير على الأمن السيبراني، وكذلك الإجراءات والمبادئ المتعلقة بالإخطارات التي يجب تقديمها إلى الرئاسة.

i) تحديد الحد الأدنى من معايير الأمن لبرامج وأجهزة ومنتجات وخدمات الأمن السيبراني. إنها تدير عمليات التصديق والترخيص والتوثيق للأشخاص الحقيقيين والقانونيين الذين سيقدمون أو يزودون هذه الخدمات. يجوز لها أن تطلب أن تكون برامج وأجهزة ومنتجات وخدمات الأمن السيبراني متوافقة مع المعايير التي تحددها، ويجوز لها أن تتخذ التدابير اللازمة لمنع استخدام تلك التي لا تتوافق مع هذا الطلب.

(2) البيانات الشخصية في نطاق الأعمال والمعاملات التي تتم وفقاً لهذا القانون؛ يتم معالجتها وفقًا للقانون وقواعد النزاهة، بشرط أن تكون دقيقة ومحدثة عند الضرورة، ولأغراض محددة وواضحة ومشروعة، فيما يتصل بغرض المعالجة، ومحدودة ومتناسبة، ويتم الاحتفاظ بها للفترة اللازمة لغرض المعالجة. البيانات الشخصية والأسرار التجارية التي يتعين الحصول عليها في إطار السلطات المحددة في هذا القانون؛ إذا تم إزالة الأسباب التي تستدعي الوصول إلى هذه البيانات، فسيتم حذفها تلقائيًا أو إتلافها أو جعلها مجهولة.

(3) تحدد الإجراءات والمبادئ المتعلقة بتنفيذ هذه المادة بموجب اللائحة التي يصدرها الرئيس.

المسؤوليات والتعاون

المادة 7- (1) تكون الواجبات والمسؤوليات المتعلقة بالأمن السيبراني لمن يقدمون الخدمات ويجمعون البيانات ويعالجونها ويقومون بأنشطة مماثلة باستخدام أنظمة المعلومات والتي تدخل في نطاق هذا القانون على النحو التالي:

أ) إرسال كافة أنواع البيانات والمعلومات والوثائق والأجهزة والبرامج وغيرها من المساهمات التي تطلبها الرئاسة في نطاق مهامها وأنشطتها إلى الرئاسة في الوقت المناسب.

ب) اتخاذ التدابير المنصوص عليها في التشريعات لأغراض الأمن الوطني أو النظام العام أو حسن تنفيذ الخدمات العامة فيما يتعلق بالأمن السيبراني، وإبلاغ الرئاسة دون تأخير عن أي ثغرات أو حوادث سيبرانية يتم اكتشافها في المناطق التي يقدمون فيها الخدمات.

ج) شراء منتجات وأنظمة وخدمات الأمن السيبراني لاستخدامها في المؤسسات والمنظمات العامة والبنية التحتية الحيوية من خبراء الأمن السيبراني أو المصنعين أو الشركات المرخصة والمعتمدة من قبل الرئاسة.

ج) الحصول على موافقة الرئاسة في إطار الأنظمة المعمول بها قبل أن تبدأ شركات الأمن السيبراني الخاضعة للشهادة والترخيص والتوثيق عملها.

د) تنفيذ ما ورد في السياسة والإستراتيجية وخطة العمل والإجراءات التنظيمية الأخرى التي تصدرها الرئاسة لرفع مستوى النضج السيبراني واتخاذ الإجراءات اللازمة.

(2) تعمل الرئاسة بالتعاون مع المؤسسات والهيئات العامة والأشخاص الطبيعيين والاعتباريين والهيئات غير المنتظمة في ممارسة الأعمال المنصوص عليها في هذا القانون.

التدقيق

المادة 8- (1) يجوز للرئاسة تفتيش أي عمل أو معاملة تدخل في نطاق هذا القانون عندما ترى ذلك ضرورياً فيما يتصل بمهامها المحددة في هذا القانون؛ ولتحقيق هذه الغاية، يجوز لها إجراء عمليات تفتيش في الموقع أو أن تكون قد أجرتها بالفعل. تشمل الرقابة أنشطة ومعاملات المؤسسات والهيئات وغيرها من الأشخاص الطبيعيين والاعتباريين ذوي الصلة في نطاق هذا القانون، وذلك فيما يتصل بأحكام هذا القانون. يتم تفويض موظفي الرئاسة والمدققين المستقلين المعتمدين والموثقين ومنظمات التدقيق المستقلة لإجراء التدقيق. ويمارس هذه السلطة الأشخاص الذين يعينهم الرئيس. تتم عمليات التفتيش في المؤسسات والمنظمات العامة والبنى التحتية الحيوية من قبل موظفي الرئاسة أو تحت إشرافهم.

(2) تحدد الرئاسة مبادئ الأهمية والأولوية فيما يتعلق بأنشطة التدقيق والمعايير ومبادئ التطبيق التي يجب أخذها في الاعتبار في تقييم المخاطر. يتم تنفيذ أنشطة التدقيق وفقًا للبرنامج الذي سيتم إنشاؤه في نطاق مبادئ الأهمية والأولوية وتقييم المخاطر. يجوز للرئيس أن يطلب إجراء تدقيق خارج البرنامج بشأن القضايا التي يرى ضرورة فحصها خارج البرنامج المحدد.

(3) تلتزم السلطات المدنية وقوات الشرطة وغيرها من رؤساء ومسؤولي المؤسسات العامة بتقديم كافة أنواع التسهيلات والمساعدة للمكلفين بإجراء التحقيقات أو التدقيق.

(4) المكلفون بمهمة التدقيق؛ ويحق لهم فحص البيانات والوثائق والبنية التحتية الإلكترونية والأجهزة والأنظمة والبرمجيات والأجهزة في بيئة إلكترونية، وأخذ نسخ أو نسخ رقمية أو عينات منها، وطلب توضيحات مكتوبة أو شفهية حول الموضوع، وإعداد المحاضر اللازمة، وفحص المرافق وعملياتها، ويقتصر ذلك على أنشطة التدقيق التي يقومون بها. يجب على الجهات الخاضعة للتفتيش إبقاء الأجهزة والأنظمة والبرامج والأجهزة ذات الصلة مفتوحة للتفتيش خلال الفترات المحددة، وتوفير البنية التحتية اللازمة للتفتيش واتخاذ التدابير اللازمة لإبقائها في حالة صالحة للعمل.

(5) من أجل ضمان الأمن الوطني والنظام العام ومنع الجريمة أو الهجمات الإلكترونية، يجوز إجراء عمليات التفتيش في المساكن وأماكن العمل والأماكن المغلقة غير المفتوحة للجمهور بقرار من القاضي أو في الحالات التي يعتبر فيها التأخير غير مرغوب فيه، بناءً على أمر كتابي من النائب العام، ويجوز إجراء عمليات النسخ والضبط دون انقطاع ودون التسبب في انقطاع الخدمة لفترة طويلة. يتم تسليم نسخة من النسخة المطبوعة للشخص المعني ويتم تسجيل هذا الأمر في المحضر والتوقيع عليه. ولكي يتم تنفيذ هذه المعاملات، لا بد من إثبات وجود أسباب معقولة. وتخضع عمليات التفتيش والنسخ والضبط التي تتم دون قرار من القاضي لموافقة القاضي المختص خلال أربع وعشرين ساعة. ويعلن القاضي قراره خلال ثمانية وأربعين ساعة؛ وإلا، سيتم إتلاف النسخ المصنوعة والنصوص المفكوكة على الفور، وسيتم رفع الحجز تلقائيًا. لا يجوز إجراء عمليات البحث والنسخ والضبط في مراكز البيانات التابعة لمشغلي مراكز البيانات المعتمدين إلا بقرار من القاضي. وتتمتع محكمة الجنايات في أنقرة بالسلطة والاختصاص فيما يتعلق بالطلبات التي تندرج ضمن نطاق هذه الفقرة. ومع ذلك، لا يشترط صدور قرار من القاضي بالنسبة للمؤسسات والمنظمات العامة.

مجلس الأمن السيبراني

المادة 9- (1) مجلس الأمن السيبراني؛ ويتكون من الرئيس، ونائب الرئيس، ووزير العدل، ووزير الخارجية، ووزير الداخلية، ووزير الدفاع الوطني، ووزير الصناعة والتكنولوجيا، ووزير النقل والبنية التحتية، والأمين العام لمجلس الأمن القومي، ورئيس منظمة الاستخبارات الوطنية، ورئيس الصناعات الدفاعية، ورئيس الأمن السيبراني. وفي حالة غياب الرئيس، يتولى نائب الرئيس رئاسة المجلس.

(2) يجوز بالإضافة إلى الأعضاء دعوة الوزراء والأفراد ذوي الصلة لحضور اجتماعات المجلس، حسب طبيعة جدول الأعمال، للحصول على المعلومات والآراء.

(3) يجوز للمجلس تشكيل لجان ومجموعات عمل إذا رأى ذلك ضرورياً في نطاق مهامه. وتقوم اللجنة ومجموعات العمل بإجراء دراسات فنية بشأن القضايا التي تقع ضمن نطاق مهام المجلس وإعداد مقترحات القرارات. يمكن دعوة الخبراء في هذا المجال لحضور اجتماعات اللجان ومجموعات العمل للاستفادة من آرائهم.

(4) واجبات المجلس هي كما يلي:

أ) اتخاذ القرارات بشأن السياسات والاستراتيجيات وخطط العمل والإجراءات التنظيمية الأخرى المتعلقة بالأمن السيبراني، وتحديد المؤسسات والمنظمات التي سيتم إعفاؤها من كل أو جزء من القرارات المتخذة.

ب) اتخاذ القرارات بشأن تنفيذ خارطة الطريق التكنولوجية للأمن السيبراني التي أعدتها الرئاسة على مستوى البلاد.

ج) تحديد المجالات ذات الأولوية التي ينبغي تشجيعها في مجال الأمن السيبراني واتخاذ القرارات بشأن تنمية الموارد البشرية في مجال الأمن السيبراني.

ج) تحديد قطاعات البنية التحتية الحيوية.

د) البت في المنازعات التي قد تنشأ بين الرئاسة والمؤسسات والهيئات العامة.

(5) يتم تنفيذ الخدمات الكتابية للمجلس عن طريق الرئاسة. وتحدد اللائحة التي يصدرها الرئيس إجراءات ومبادئ عمل المجلس واللجنة ومجموعات العمل.

الفصل الثالث - الأحكام المتعلقة بالموظفين

توظيف الموظفين الخبراء المتعاقدين

المادة 10- (1) يجوز الاستعانة بخبراء متعاقدين، يحدد الرئيس عددهم، للقيام بمهام تتعلق بضمان الأمن السيبراني في الرئاسة. وتحدد هيئة الأمن السيبراني مؤهلات هؤلاء الموظفين، والمسائل المتعلقة بتوظيفهم مثل شروط التعيين والأجور الصافية بما في ذلك جميع أنواع المدفوعات التي ستُمنح لهم، مع مراعاة الواجبات التي يتعين على الأشخاص المعنيين القيام بها، بما لا يتجاوز خمسة أضعاف سقف الأجور التعاقدية المطبقة على الموظفين وفقاً للمادة 14، الفقرة (ب) من قانون الموظفين المدنيين رقم 7 تاريخ 1965/657/4. ويعتبر العاملون في نطاق هذه الفقرة مؤمن عليهم في نطاق الفقرة الفرعية (أ) من الفقرة الأولى من المادة 31 من قانون التأمينات الاجتماعية والتأمين الصحي العام رقم 5 تاريخ 2006/5510/4. باستثناء ما ورد في القوانين من أحكام خاصة فإن التوظيف بهذه الطريقة لا يشكل حقا مكتسبا للعمل في أي وظيفة أو إطار أو وضع في المؤسسات والمنظمات العامة عند انتهاء العقد.

(2) في الرئاسة؛ طبقاً لقانون التحقيق الأمني ​​والبحث الأرشيفي رقم 7 بتاريخ 4/2021/7315، يتم إجراء التحقيق الأمني ​​والبحث الأرشيفي معاً لجميع الموظفين المناوبين، بما في ذلك المعينين مؤقتاً.

نقل التزامات الخدمة الإلزامية

المادة 11- (1) تخصم من مدة الخدمة للموظفين العاملين في رئاسة الجمهورية الذين لديهم التزامات خدمة إلزامية لدى المؤسسات والهيئات العامة الأخرى في نطاق التشريع ذي الصلة، بشرط الحصول على موافقة المؤسسة والهيئة العامة ذات الصلة.

الأحكام المحظورة

المادة 12- (1) لا يجوز لمن يعمل بصفة دائمة أو عقدية لدى الرئاسة وانتهت علاقته بالرئاسة لأي سبب من الأسباب أن يتولى أي مهمة رسمية أو خاصة أخرى في مجال الأمن السيبراني في الداخل أو الخارج لمدة سنتين دون موافقة الرئاسة، ولا يجوز له ممارسة التجارة في هذا المجال، أو ممارسة أنشطة مستقلة، وخاصة لا يجوز له أن يكون مساهماً أو مديراً في شركة تعمل في هذا القطاع.

(2) يحظر نشر أو إفشاء أي معلومات أو وثائق أو بيانات مماثلة متحصل عليها في نطاق مهام وأنشطه الرئاسة عن طريق الإذاعة أو التلفزيون أو الإنترنت أو وسائل التواصل الاجتماعي أو الصحف أو المجلات أو الكتب أو جميع وسائل الإعلام الأخرى وجميع وسائل الاتصال الجماهيري المكتوبة والمرئية والمسموعة والإلكترونية إلا في الحالات التي يجيزها الرئاسة.

الالتزام بالسرية

المادة 13- (1) لا يجوز الكشف عن المعلومات السرية والبيانات الشخصية والأسرار التجارية والوثائق التي تخص الجمهور والأطراف المعنية والجهات الخارجية والتي تم الحصول عليها في نطاق المهام والأنشطة التي تقوم بها الرئاسة لأي شخص آخر غير السلطات المخولة قانونًا ولا يجوز استخدامها لصالح الأشخاص الطبيعيين أو الاعتباريين.

الفصل الرابع - الدخل والإعفاءات

إيرادات الرئاسة

المادة 14- (1) إيرادات الرئاسة؛

أ) المساعدات المالية المقررة من الموازنة العامة،

ب) الإيرادات الناتجة عن أنشطة الرئاسة،

ج) الإيرادات المتحصلة من الغرامات الإدارية التي تفرضها الرئاسة،

ج) من المبالغ التي يتم تحويلها حتى 10% بقرار من رئيس الجمهورية من إيرادات الصناديق المنشأة أو التي يتم إنشاؤها بقانون ومرسوم،

د) يتكون من الدخل الآخر.

الإعفاءات

المادة 15- (1) تعفى من الرسوم الجمركية والأموال والرسوم ورسوم الدمغة على الأوراق المعدة لهذه المعاملات المعاملات التي تتم على جميع أنواع المواد والأدوات والمعدات والآلات والأجهزة والأنظمة التي يتم توفيرها عن طريق الاستيراد أو المنح من الخارج في نطاق احتياجات الرئاسة وقطع الغيار والمواد الخام والمواد المساعدة التي تستخدم في البحث والتطوير والتدريب والإنتاج والتحديث والبرمجيات والبناء والصيانة والإصلاح وعلى المواد المساعدة الواردة من مصادر خارجية مجاناً. وينطبق هذا الاستثناء أيضاً على العمليات مثل الإصلاح والتحديث والصيانة والعودة إلى المصدر والخروج الدائم لأغراض التبادل والخروج المؤقت والاستيراد دون مقابل والدخول إلى الخارج نيابة عن الرئاسة.

(2) لا يشترط الحصول على الإذن وشهادة المطابقة المطلوبة من المؤسسات والهيئات العامة والأشخاص الطبيعيين والاعتباريين لاستيراد وتصدير كافة أنواع المواد والأدوات والمعدات والآلات والأجهزة والأنظمة التي تحتاجها الرئاسة أثناء قيامها بمهامها.

(3) يجوز للمؤسسات والهيئات العامة وغيرها من المؤسسات والهيئات أن تخصص مؤقتاً أو تنقل مجاناً إلى رئاسة الجمهورية أية مواد أو معدات أو أدوات أو أجهزة تكون قيد استعمالها وتصادر عند الحاجة إليها أثناء أداء المهام المنصوص عليها في هذا القانون، وذلك دون مراعاة أحكام القوانين الأخرى في هذا الشأن.

الفصل الخامس - تطبيق الأحكام الجزائية والغرامات الإدارية

الأحكام الجزائية والغرامات الإدارية

المادة 16- (1) كل من لم يقدم المعلومات والوثائق والبرامج والبيانات والأجهزة المطلوبة من قبل الجهات والمفتشين المخولين بموجب هذا القانون، باستثناء المؤسسات والهيئات العامة، في نطاق واجباتهم وصلاحياتهم، أو منع الحصول عليها، يعاقب بالحبس من سنة إلى ثلاث سنوات وبغرامة قضائية من خمسمائة يوم إلى ألف وخمسمائة يوم.

(2) يعاقب بالحبس من سنتين إلى أربع سنوات وبغرامة قضائية من ألف إلى ألفي يوم كل من قام بنشاط دون الحصول على الموافقة أو التصريح أو الأذونات اللازمة بموجب هذا القانون.

(3) من لم يقم بواجبه في كتمان الأسرار يعاقب بالسجن من أربع إلى ثماني سنوات.

(4) من يجعل البيانات الشخصية، التي كانت مدرجة سابقًا في نطاق خدمة عامة أساسية، متاحة أو مشتركة أو تباع، دون إذن من الأفراد أو المؤسسات، مقابل رسوم أو مجانًا، بسبب تسرب البيانات في الفضاء الإلكتروني، يعاقب بالسجن من ثلاث إلى خمس سنوات.

(5) من أنشئ محتوى كاذبًا يدعي وجود تسرب بيانات تتعلق بالأمن السيبراني، بهدف إثارة القلق والخوف والذعر بين الناس أو استهداف المؤسسات أو الأفراد، مع علمه بعدم وجود تسرب بيانات في الفضاء الإلكتروني، أو نشر مثل هذا المحتوى لهذا الغرض، يعاقب بالسجن من سنتين إلى خمس سنوات.

 (6) يُحكم على من يقوم بهجوم إلكتروني على العناصر التي تشكل القوة الوطنية للجمهورية التركية في الفضاء الإلكتروني أو يحتفظ بأي بيانات تم الحصول عليها نتيجة لهذا الهجوم في الفضاء الإلكتروني بالسجن من ثمانية إلى اثنتي عشرة سنة، ما لم يشكل الفعل جريمة أخرى تتطلب عقوبة أشد. ويعاقب بالسجن من عشر إلى خمس عشرة سنة كل من ينشر أي بيانات تم الحصول عليها نتيجة هذا الهجوم في الفضاء الإلكتروني، أو يرسلها إلى مكان آخر، أو يعرضها للبيع.

(7) تضاعف العقوبة التي توقع وفقاً للفقرات السابقة بمقدار الثلث إذا ارتكبت الجريمة من موظف عام، ونصفها إذا ارتكبها أكثر من شخص، ومن النصف إلى المثلين إذا ارتكبت في نطاق أنشطة منظمة.

(8) يعاقب بالحبس من ثلاث إلى خمس سنوات كل من يخالف المادة 12.

(9) يعاقب بالسجن من سنة إلى ثلاث سنوات كل من أساء استعمال واجباته وصلاحياته الناشئة عن هذا القانون أو تسبب في خرق البيانات من خلال التصرف على نحو يخالف متطلبات واجباته في نطاق حماية البنى التحتية الحيوية من الهجمات الإلكترونية.

(10) يعاقب بغرامة إدارية تتراوح بين مليون ليرة تركية وعشرة ملايين ليرة تركية كل من يتخلف عن أداء واجباته ومسؤولياته المنصوص عليها في الفقرتين الفرعيتين (ب) و(ج) من الفقرة الأولى من المادة 7، ويعاقب بغرامة إدارية تتراوح بين عشرة ملايين ليرة تركية ومائة مليون ليرة تركية كل من يتخلف عن أداء واجباته ومسؤولياته المنصوص عليها في المادة 18.

(11) يخضع من يفشلون في الوفاء بالتزاماتهم الواردة في الفقرة الرابعة من المادة 8 لغرامات إدارية تصل إلى 5 في المائة من إجمالي إيرادات المبيعات في بياناتهم المالية السنوية المدققة بشكل مستقل، ومن مائة ألف ليرة تركية إلى مليون ليرة تركية، ولا تقل عن مائة ألف ليرة تركية إذا لم تفي الشركات التجارية بهذه الالتزامات.

تنفيذ الغرامات الإدارية

المادة 17- (1) قبل فرض الغرامات الإدارية يجب أخذ دفاع الشخص المعني. إذا لم يقدم الدفاع خلال ثلاثين يوماً من تاريخ إبلاغه بالكتاب الذي طلب فيه الدفاع، اعتبر صاحب الشأن متنازلاً عن حقه في الدفاع.

(2) إذا ثبت أن إحدى المخالفات المنصوص عليها في هذا القانون قد تكررت أكثر من مرة قبل صدور قرار العقوبة الإدارية، فيحكم على الشخص الطبيعي أو الاعتباري بغرامة إدارية واحدة، وتزاد الغرامة بما لا يزيد على ضعفين. إذا نتج عن ارتكاب الجنحة فائدة أو ضرر فلا يجوز أن يقل مقدار الغرامة الإدارية التي تفرض عن ثلاثة أمثال هذه الفائدة أو الضرر ولا أن يزيد على خمسة أمثالها.

(3) يتم سداد الغرامات الإدارية التي فرضتها الرئاسة خلال شهر من تاريخ الإخطار. يتم تحصيل الغرامات الإدارية التي لم يتم دفعها خلال هذه المدة والتي أصبحت نهائية من قبل مكاتب الضرائب بناء على إخطار من المؤسسة، وفقاً لأحكام القانون رقم 21 بشأن إجراءات تحصيل الديون العامة، تاريخ 7/1953/6183.

(4) تسجل خمسين بالمائة من الغرامات الإدارية المحصلة كإيرادات في موازنة الرئاسة، وخمسين بالمائة في الموازنة العامة. حصة الموازنة العامة من الغرامات الإدارية التي تحصلها الرئاسة؛ يتم تحويل حصة الرئاسة من الغرامات الإدارية التي تحصلها مصلحة الضرائب إلى نهاية الشهر التالي للتحصيل.

(5) يجوز الطعن الإداري في قرارات الغرامة الإدارية الصادرة بموجب هذا القانون.

الفصل السادس – أحكام متنوعة وختامية

منتجات وشركات الأمن السيبراني

المادة 18- (1) يتم بيع منتجات وأنظمة وبرامج وأجهزة وخدمات الأمن السيبراني إلى الخارج وفقاً للإجراءات والمبادئ التي تحددها الرئاسة. يشترط الحصول على موافقة الرئاسة لبيع المنتجات الخاضعة للترخيص المضمن في هذه الإجراءات والمبادئ إلى الخارج.

(2) يتم الإبلاغ عن عمليات الدمج أو التقسيم أو نقل الأسهم أو معاملات البيع للشركات التي تنتج منتجات أو أنظمة أو برمجيات أو أجهزة أو خدمات الأمن السيبراني إلى الرئاسة. وفي نطاق هذه المعاملات، تخضع المعاملات التي تمنح حقوق التحكم المباشر أو غير المباشر أو سلطة اتخاذ القرار على الشركة لأشخاص حقيقيين أو اعتباريين، بشكل فردي أو مشترك، لموافقة الرئاسة.

(3) لا تكتسب المعاملات التي تتم دون موافقة الرئاسة أي قوة قانونية. ويجوز للرئاسة أن تطلب من المؤسسات والهيئات المعلومات والوثائق المتعلقة بالمعاملات التي يجب إجراؤها في نطاق هذه المادة.

(4) تحدد الأمور المتعلقة بتنفيذ هذه المادة بالإجراءات والمبادئ التي ينشرها مجلس الرئاسة.

الأحكام المعدلة والملغاة

المادة 19- (1) أضيفت الجملة التالية إلى الفقرة الثالثة من المادة الإضافية 27 من المرسوم بقانون رقم 6 تاريخ 1989/375/34.

"ويعتبر رئيس الأمن السيبراني معادلاً لوكيل الوزارة من حيث الحقوق والمزايا المالية والاجتماعية وحقوق التقاعد، وذلك في إطار الإجراءات والأسس المحددة في هذه الفقرة."

(2) تمت إضافة السطر التالي إلى قسم "ب) الإدارات الأخرى ذات الميزانيات الخاصة" من الجدول (الثاني) الملحق بقانون إدارة ومراقبة المالية العامة رقم 10 بتاريخ 12/2003/5018.

"46) رئاسة الأمن السيبراني"

(3) تم تعديل الفقرة السادسة من المادة 4 من القانون رقم 5 بشأن تنظيم النشر على شبكة الإنترنت ومكافحة الجرائم المرتكبة من خلال هذه النشرات، المؤرخ 2007/5651/10، على النحو التالي.

"(6) تقوم المؤسسة في نطاق مهامها بالتنسيق مع مقدمي المحتوى والموقع والوصول والمؤسسات والمنظمات الأخرى ذات الصلة، وتنفذ الأنشطة اللازمة لضمان اتخاذ التدابير اللازمة وتقوم بالأعمال اللازمة."

(4) قانون الاتصالات الإلكترونية رقم 5 بتاريخ 11/2008/5809؛

أ) يلغى البند (ح) من الفقرة الأولى من المادة الخامسة، ويعدل البند (ط) على النحو التالي.

"ط) إنشاء وتشغيل وإدارة مراكز البيانات التي ستستضيف البيانات والأنظمة ضمن نطاق المهام التي تقوم بها الوزارة والبنية التحتية اللازمة لنقل البيانات، وتحديد السياسات والاستراتيجيات والأهداف لهذه المراكز، وإعداد خطط العمل، ومراقبة خطط العمل وتحديد إجراءات ومبادئ التطبيق لجميع هذه الأنشطة، والتخطيط وتنفيذ وتنسيق عمليات التثبيت والتطبيق والتشغيل."

ب) تم تعديل الفقرة (خامساً) من الفقرة الأولى من المادة 6 على النحو التالي.

"v) تنفيذ المهام الموكلة إليه من قبل الرئيس والوزارة فيما يتعلق بأسماء نطاقات الإنترنت والمهام المؤسسية."

ج) تلغى الفقرة الحادية عشرة من المادة 60 والملحقين رقم 1 و2.

الامتثال والترتيبات الانتقالية وإجراءات التأسيس

المادة المؤقتة 1- (1) تنتقل إلى رئاسة الأمن السيبراني جميع أنواع المنقولات والبنية التحتية لتكنولوجيا المعلومات والأنظمة والمركبات والأدوات والمعدات والمواد وجميع أنواع السجلات والوثائق في البيئة المادية والإلكترونية وجميع أنواع مخزون الأصول الأخرى التي تنتمي إلى رئاسة هيئة تكنولوجيا المعلومات والاتصالات ومكتب التحول الرقمي وتستخدم حصريًا في نطاق أنشطة الأمن السيبراني الوطني، وكذلك جميع أنواع الديون والمستحقات والحقوق والالتزامات الناشئة عن تنفيذ الأنشطة المذكورة من قبل الرئاسة والمكتب، في غضون ستة أشهر من تاريخ نشر هذا القانون.

(2) يجوز إلحاق العاملين في وظائف وكوادر هيئة تكنولوجيا المعلومات والاتصالات ومكتب التحول الرقمي ضمن نطاق أنشطة الأمن السيبراني الوطني بالرئاسة إذا طلبوا ذلك وإذا رأت رئاسة الأمن السيبراني ذلك مناسباً. ويجوز تعيين من يتقدم بطلب ويرى رئاسة الجمهورية أنه مناسب في الكوادر أو المناصب المناسبة في رئاسة الجمهورية خلال تسعة أشهر من تاريخ نشر هذا القانون مع مراعاة مسميات كوادره أو مناصبه الحالية وخلفياته التعليمية. وتعتبر المدة التي قضاها الموظفون المعينون في نطاق هذه الفقرة في مؤسساتهم أو وظائفهم السابقة كأنها قضوها في مؤسساتهم أو وظائفهم الجديدة. وتستمر تطبيق الأنظمة المذكورة على الموظفين المعينين في نطاق هذه الفقرة والذين تسري عليهم أحكام المادة 375 المؤقتة من المرسوم بقانون رقم 10 أو التشريعات الأخرى ذات الصلة فيما يتعلق بحقوقهم المالية. لا يتقاضى الموظفون المعينون من مكتب التحول الرقمي في نطاق هذه الفقرة أي تعويض أو رسوم إجازة سنوية وفقاً لتشريعات العمل. وتؤخذ فترات خدمة هؤلاء الموظفين، باستثناء الفترات التي تم دفع مكافأة نهاية الخدمة عنها بالفعل، والتي تمنحهم الحق في الحصول على مكافأة نهاية الخدمة، في الاعتبار عند حساب مكافآت التقاعد أو تعويضات نهاية الخدمة، حسب الاقتضاء. وبالإضافة إلى ذلك، إذا تم دفع مبالغ أو مكافآت إضافية لمثل هؤلاء الموظفين قبل تعيينهم وفقاً لهذه الفقرة، فسيتم استرداد الجزء من المبالغ المدفوعة المقابل للأيام التي لم يعملوا فيها بعد تاريخ التعيين.

(3) تصبح الرئاسة طرفاً في العقود المبرمة والدعاوى المرفوعة أو التي سترفع وإجراءات التنفيذ المتعلقة بأنشطة الأمن السيبراني الوطني لهيئة تكنولوجيا المعلومات والاتصالات ومكتب التحول الرقمي، اعتباراً من تاريخ إتمام إجراءات التعيين في الفقرة الثانية، وتحال ملفات القضايا القائمة وملفات إجراءات التنفيذ إلى الرئاسة.

(4) تلتزم الجمعيات واتحادات الجمعيات والمؤسسات والشركات التجارية العاملة في مجال الأمن السيبراني بإكمال إجراءات التصديق والترخيص والتوثيق في إطار المبادئ والأسس التي تحددها الرئاسة خلال سنة من تاريخ نفاذ الأنظمة المحددة في الفقرة السادسة. إذا لم يتم الوفاء بهذا الالتزام، فلن يكون من الممكن تنفيذ الأنشطة في مجال الأمن السيبراني. وفي نهاية هذه الفترة، سيتم إنهاء الكيانات القانونية للجمعيات والمؤسسات والاتحادات التي تفشل في الوفاء بالتزاماتها بقرار من المحكمة بناءً على طلب الرئاسة، وفقًا للأحكام ذات الصلة من القانون المدني التركي رقم 22 بتاريخ 11/2001/4721، وستتخذ المحكمة التدابير اللازمة أثناء عملية المحاكمة. وفي حال عدم قيام الشركات التجارية بالوفاء بالتزاماتها خلال نفس الفترة، فإنها ستقوم بإزالة العبارات المتعلقة بالأمن السيبراني في أسمائها التجارية ومجالات نشاطها من عقود شركتها أو البدء في إجراءات التصفية من أجل حذفها من السجل التجاري.

(5) تستمر المؤسسات العاملة في نطاق الأحكام الملغاة وفقاً للفقرتين الثالثة والرابعة من المادة 19 في ممارسة مهامها في إطار الأحكام المذكورة حتى اكتمال تنظيم الرئاسة.

(6) تصدر اللائحة التنفيذية لهذا القانون خلال سنة واحدة. إلى أن يتم العمل بهذه اللائحة يستمر العمل بأحكام اللوائح القائمة التي لا تتعارض مع هذا القانون.

قوة

المادة 20- (1) يدخل هذا القانون حيز التنفيذ في تاريخ نشره.

تنفيذي

المادة 21- (1) ينفذ الرئيس أحكام هذا القانون.