AB’nin Siber Güvenlik Alanındaki Politikalarının ve Uygulamalarının Etkinliği: Bir Siber Güvenlik Temsilcisi Olarak AB’nin Yeterliliği

Yıl 2023, Cilt: 13 Sayı: 2, 482 - 507, 30.06.2023

Omca Altın

https://doi.org/10.18074/ckuiibfd.1276923

Öz

Bilgiye ulaşma noktasında temel araçlar ve ortamlar olarak görülen bilgi ve iletişim teknolojileri son dönemde hayatımızın vazgeçilmez unsurları haline gelmiştir. Teknolojinin oldukça hızlı bir şekilde gelişimi ve dönüşümü, birçok avantaj yanı sıra risk ve tehditleri de beraberinde getirmektedir. Diğer bir ifade ile teknolojideki gelişmelerle birlikte siber ortamın sağlamış olduğu birçok olanak ve kolaylıkların yanında bu ortamın tehdit, zarar verme, saldırı vb. amaçlarla kullanılması kişilerin, kurumların ve devletlerin ciddi zarara uğramalarına neden olmaktadır. Bu doğrultuda, bilgi ve iletişim sistemlerinin siber saldırılardan korunmasının diğer bir ifade ile siber güvenliğin sağlanmasının yolları aranmaya başlanmıştır. Avrupa Birliği (AB) de siber güvenliğin sağlanması hususunda sosyo-ekonomik merkezli çeşitli stratejiler ve politikalar geliştirmeye çalışan bir aktördür. Bunun yanında Birliğin siber güvenlik ile ilgili bütüncül dolayısıyla kolektif bir vizyon içeren ortak bir tanıma sahip olmadığı görülmektedir. Birlik ve Birlik üye ülkeleri arasındaki ortak vizyon eksikliği ve Birliğin hükümetler arası karakteri siber güvenlik alanında Birliği sınırlayan iki ana faktör olarak karşımıza çıkmaktadır. Bunlar Birliğin siber güvenlik stratejisinin uygulanmasını zorlaştırmakta ve bir siber güvenlik temsilcisi olarak siber tehditler karşısında etkili bir duruş sergileyememesine neden olmaktadır. Dolayısıyla Birliğin uluslararası alanda diğer güçlerle ilişkilerindeki başarısı da bu durumdan olumsuz yönde etkilemektedir. Diğer taraftan Birliğin siber güvenliğin saldırı unsurlarından çok savunma unsurlarına odaklanması siber alanda yer alan birçok aktör ve olguyu etkileme kapasitesini de sınırlandırmaktadır. Dolayısıyla Birliğin siber güvenlik tehditleri karşında etkili bir rol oynayabilmesi için öncelikle AB ekseninde bir siber güvenlik anlayışı yaratması gerekmektedir. Aynı zamanda Birliğin üye ülkelerinin siber güvenliğe ilişkin ulusal stratejilerinin koordinasyonunu ve tüm AB üye devletleri aynı güvenlik topluluğuna ait olduğundan ve aralarında çıkar yakınsaklığı bulunduğundan bölgesel bir işbirliğinin uygulanabilirliğini sağlamayı hedeflemesi gerekmektedir. Bunun yanında siber güvenlik tehditlerinin sınır aşan bir niteliğe sahip olması sebebiyle Birlik uluslararası alanda kilit ortaklarla da işbirliği içerisinde olmaya önem vermelidir. Bu durumda uluslararası işbirliğini sağlayacak olan kurumsal düzenlemeler ve süreç planlamaları öncelikli hale getirilmelidir. Aynı zamanda Birliğin, siber güvenliğin savunma unsurları ile birlikte saldırı unsurlarına da odaklanması etkinliği açısından son derece önemli olacaktır. Bu doğrultuda çalışmada; AB’nin siber güvenlik alanındaki politikaları ve uygulamaları ele alınarak, bu politika ve uygulamaların ne kadar etkin olduğu ve bir siber güvenlik temsilcisi olarak nitelendirilen AB’nin bu alandaki yeterliliği değerlendirilmeye çalışılacaktır.

Anahtar Kelimeler

Avrupa Birliği, AB'nin Siber Güvenlik Politikası ve Uygulamaları, Siber Saldırı, Siber Tehdit

Kaynakça

• Akarçay, P. ve Ak, G. (2018). Rethinking cyber warfare: Timeless, normless and unconstrained. IKSAD Journal, 4(9), 195-214.
• Akbaş, G., B. (2022). Avrupa Birliği siber güvenlik politikası ve ENISA. T.C. Sanayi ve Teknoloji Bakanlığı Stratejik Araştırmalar ve Verimlilik Genel Müdürlüğü, 34(398), 1-50. https://edergi.sanayi.gov.tr/File/Journal/2022/2/2_2022.pdf (Erişim Tarihi: 26 Şubat 2023)
• Atakan, M. (2021). Siber güvenlik risklerinin ve Covid 19 salgınının uzaktan denetim üzerindeki etkileri. Denetişim, 11(22), 27-39.
• Bangemann, M. (1994). Recommendations to the European Council. https://www.cyber-rights.org/documents/bangemann.htm (Erişim Tarihi: 06 Ocak 2023)
• Commission of the European Communities. (1996). Illegal and harmful content on the internet. http://aei.pitt.edu/5895/1/5895.pdf (Erişim Tarihi: 8 Ocak 2023)
• Commission of the European Communities. (2001). Network and information security: Proposal for a European policy approach. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52001DC0298&from=EN (Erişim Tarihi: 8 Ocak 2023)
• Craigen, D., Thibault, D. N. ve Purse, R. (2014). Defining cybersecurity. Technology Innovation Management Review, 13-21.
• Deibert, J. R., Rohozinski, R. ve Crete-Nishihata, M. (2012). Cyclones in cyberspac: Information sharing and denial in the 2008 Russia-Georgia war. Security Dialogue, 43(1), 3-24.
• ENISA. (t.y.). About ENISA. https://www.enisa.europa.eu/about-enisa (Erişim Tarihi: 8 Ocak 2023)
• ENISA. (2017). ENISA overview of cybersecurity and related terminology. https://www.enisa.europa.eu/publications/enisa-position-papers-and-opinions/enisa-overview-of-cybersecurity-and-related-terminology (Erişim Tarihi: 4 Ocak 2023)
• European Commission. (1985). Completing the international market. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:51985DC0310&from=EN (Erişim Tarihi: 6 Ocak 2023)
• European Commission. (2013). Cybersecurity strategy of the European Union: An open, safe and secure cyberspace. https://eeas.europa.eu/archives/docs/policies/eu-cyber-security/cybsec_comm_en.pdf (Erişim Tarihi: 13 Ocak 2023)
• European Commission. (2015a). The European agenda on security. https://www.europarl.europa.eu/cmsdata/125863/EU%20agenda%20on%20security.pdf (Erişim Tarihi: 13 Ocak 2023)
• European Commission. (2015b). A digital single market strategy for Europe. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52015DC0192&from=EN (Erişim Tarihi: 8 Ocak 2023)
• European Commission. (t.y.) NIS Directive. https://ec.europa.eu/digital-single-market/en/network-and-information-security-nis-directive (Erişim Tarihi: 13 Ocak 2023)
• European Commission. (2017a). Proposal for a regulation of the European Parliament and of the Council on Enisa, the "EU cybersecurity agency", and repealing regulation (EU) 526/2013, and on information and communication technology cybersecurity certification (''Cybersecurity act''). https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:52017PC0477&from=EN (Erişim Tarihi: 14 Ocak 2023)
• European Commission. (2017b). Joint communication to the European Parliament and the Council: Resilience, deterrence and defence: Building strong cybersecurity for the EU. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52017JC0450&from=en (Erişim Tarihi: 25 Şubat 2023)
• European Commission. (2020). New EU cybersecurity ctrategy and new rules to make physical and digital critical entities more resilient. New_EU_Cybersecurity_Strategy_and_new_rules_to_make_physical_and_digital_critical_entities_more_resilient.pdf (Erişim Tarihi: 14 Ocak 2023)
• European Commission. (2022). Cyber Resilience Act. https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act (Erişim Tarihi: 14 Mayıs 2023).
• European Council. (1994). Presidency conclusions. https://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/ec/00150.EN4.htm (Erişim Tarihi: 6 Ocak 2023)
• European Parliament and Council. (1995). Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A31995L0046 (Erişim Tarihi: 8 Ocak 2023)
• Negreiro, M. (2013). The NIS 2 Directive: A high common level of cybersecurity in the EU. European Parliament. https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf (Erişim Tarihi: 12 Mayıs 2023)
• European Union. (2006). Strategy for a secure information society (2006 communication). https://eur-lex.europa.eu/EN/legal-content/summary/strategy-for-a-secure-information-society-2006-communication.html (Erişim Tarihi: 9 Ocak 2023)
• Federal Ministry of the Interior, Building and Community. (2021). Cyber Security Strategy for Germany 2021. https://www.bmi.bund.de/EN/topics/it-internet-policy/cyber-security-strategy/cyber-security-strategy-node.html (Erişim Tarihi: 4 Şubat 2023)
• Güngör, M. (2015). Ulusal bilgi güvenliği: Strateji ve kurumsal yapılanma, Uzmanlık Tezi, T.C. Kalkınma Bakanlığı Yönetim Hizmetleri Genel Müdürlüğü Bilgi ve Belge Yönetim Daire Başkanlığı, Yayın No:2919. http://www.bilgitoplumu.gov.tr/wp-content/uploads/2015/11/Ulusal_Bilgi_Guvenligi_Strateji_ve_Kurumsal_Yapilanma.pdf (Erişim Tarihi: 4 Şubat 2023)
• Helmbrecht, U., Purser, S. ve Klejnstrup, R. M. (2012). Cyber security : Future challenges and opportunities. ENISA. https://www.btg.org/wp-content/uploads/2012/01/ENISA-Cyber-Security-Report-2011.pdf (Erişim Tarihi: 2 Şubat 2023)
• Kaya, B. M. ve Aksöz, E. (2023). NIS 2 Direktifi: AB’de yeni siber güvenlik kuralları. Turkish Law Blog. https://turkishlawblog.com/insights/detail/nis2-direktifi-abde-yeni-siber-guvenlik-kurallari (Erişim Tarihi: 12 Mayıs 2023)
• Kovacs, L. (2018). Cyber security policy and strategy in the European Union and NATO. Land Forces Academy Review, 23(1), 16-24. https://doi.org/10.2478/raft-2018-0002
• Köksoy, F. (2020). Avrupa Birliği’nin siber güvenlik politikası: Kurumsalcılık mı tutarlılık mı?. Güvenlik Stratejileri Dergisi, 16(15), 635-674. doi:10.17752/ guvenlikstrtj.807014
• Kurnaz, S. ve Önen, M. S. (2019). Avrupa Birliği’ne uyum sürecinde Türkiye’nin siber güvenlik stratejileri. International Journal of Politics and Security, 1(2), 82-103.
• Lawels. (2022). The NIS2 directive was officialy published in the official journal of the EU. https://lawels.com/en/2022/12/27/the-nis2-directive-was-officially-published-in-the-official-journal-of-the-eu/ (Erişim Tarihi: 2 Şubat 2023)
• Nezgitli, S. ve Benzer, R. (2020). Avrupa Birliği siber güvenlik kanunu. Bilişim Sistemleri ve Yönetim Araştırmaları Dergisi, 2(1), 10-17.
• Ministry of Digital Affairs. (2017). National framework of cybersecurity policy of the Republic of Poland for 2017-2022: Respecting the rights and freedoms in cyberspace comprehensive approach to security cybersecurity as an important element of the state policy. https://www.enisa.europa.eu/topics/national-cyber-security-strategies/ncss-map/Cybersecuritystrategy_PL.pdf (Erişim Tarihi: 2 Şubat 2023)
• Official Journal of the European Communities. (2002). Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002: Concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications). https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32002L0058&from=EN (Erişim Tarihi: 8 Ocak 2023)
• Official Journal of the European Union. (2005). Council framework decision 2005/222/JHA of 24 February 2005 on attacks against information systems. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32005F0222&from=EN (Erişim Tarihi: 9 Ocak 2023)
• Official Journal of The European Union. (2006). Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending directive 2002/58/E. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32006L0024 (Erişim Tarihi: 9 Ocak 2023)
• Official Journal of the European Union. (2019). Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union agency for cybersecurity) and on information and communications technology cybersecurity certification and repealing regulation (EU) No 526/2013 (cybersecurity act). https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019R0881&from=EN (Erişim Tarihi: 25 Şubat 2023)
• Official Journal of the European Union. (2022a). Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive). https://eur-lex.europa.eu/eli/dir/2022/2555 (Erişim Tarihi: 12 Mayıs 2023)
• Official Journal of the European Union. (2022b). Regulations: Regulation (EU) 2022/2554 of the European Parliament and of the Councıl of 14 December 2022: On digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554 (Erişim Tarihi: 14 Mayıs 2023)
• Oxford University Press. (2014). Oxford online dictionary. Oxford: Oxford University Press. http://www.oxforddictionaries.com/definition/english/Cybersecurity (Erişim Tarihi: 25 Şubat 2023)
• Özden, Ü. S. (2023). AB finansal hizmetler sektörü aktörleri için operasyonel dayanıklılık yasası yürürlüğe girdi. Erdem&Erdem. https://www.erdem-erdem.av.tr/bilgi-bankasi/ab-finansal-hizmetler-sektoru-aktorleri-icin-dijital-operasyonel-dayaniklilik-yasasi-yururluge-girdi (Erişim Tarihi: 13 Mayıs 2023)
• Pavlidis, G. (2021). Europe in the digital age: Regulating digital finance without suffocating innovation. Law, Innovation and Technology, 13(2), 464-477. DOI: 10.1080/17579961.2021.1977222
• Public Works and Government Services Canada. Translation Bureau. (2012). Emergency management vocabulary: Terminology bulletin 281. Gatineau: Publıc Works and Government Services Canada. https://publications.gc.ca/site/eng/417764/publication.html (Erişim Tarihi: 25 Şubat 2023)
• Sheldon, B. J. (2011). Deciphering cyberpower: Strategic purpose in peace and war. Strategic Studies Quarterly, 95-112.
• Sliwinski, F. K. (2014). Moving beyond the European Union’s weakness as a cyber security agent. Contemporary Security Policy, 35(3), 468-486. https://doi.org/10.1080/13523260.2014.959261
• Singer, P. W. ve Friedman, A. (2014). Cyber security and cyber war: What everyone needs to know. New York: Oxford University Press.
• Stokes, D. ve Whitman, G. R. (2013). Transatlantic triage? European and UK ‘grand strategy’ after the US rebalance to Asia. International Affairs (Royal Institute of International Affairs 1944-), 89(5), 1087-1107.
• Şenol, M. (2016). Siber güçle caydırıcılık ama nasıl?. Uluslararası Bilgi Güvenliği Mühendisliği Dergisi, 2(10), 10-17.
• Şenol, M. (2017). Türkiye’de siber saldırılara karşı caydırıcılık. Uluslararası Bilgi Güvenliği Mühendisliği Dergisi. 3(2), 1-9.
• Tekin, K. (2002). Avrupa Birliği ve egemenlik kavramı. Türk İdare Dergisi, 434, 71-87.
• Ünver, M. ve Canbay, C. (2010). Ulusal ve uluslararası boyutlarıyla siber güvenlik. Elektrik Mühendisliği, 438, 103.
• Yeniyıldız, N. S. (t.y.a). AP ve Konseyden siber güvenlik kurallarını güçlendirmeye yönelik yeni adımlar. İktisadi Kalkınma Vakfı. https://www.ikv.org.tr/images/files/Siber_Guvenlik_Kurallarinin_Guclendirilmesi_Bilgi_Notu.pdf (Erişim Tarihi: 12 Mayıs 2023)
• Yeniyıldız, N. S. (t.y.b). Avrupa Komisyonundan Siber Dayanıklılık Yasası. İktisadi Kalkınma Vakfı. https://www.ikv.org.tr/images/files/Siber_Dayaniklilik_Yasasi_Bilgi_Notu(1).pdf (Erişim Tarihi: 14 Mayıs 2023)