1) Neyi değiştiriyor: Başkanlığın “siber güvenlik” tanımı genişliyor

Siber Güvenlik Başkanlığı, 08 Ocak 2025 tarihli 32776 sayılı Resmî Gazete’de yayımlanan 177 sayılı CBK ile kurulmuş, görevleri ağırlıklı olarak siber güvenlik politika/strateji, kapasite geliştirme, ekosistem ve kriz yönetimi gibi alanlarda tanımlanmıştı.

192 sayılı CBK, bu görev setini iki kritik başlıkla genişletiyor:

(i) “Siber güvenlik + dijital devlet” mevzuatı ve stratejisi

Kararname, Başkanlığa siber güvenlik ve dijital devlet alanında mevzuat çalışmaları yürütme, ulusal stratejiler/eylem planları hazırlama, uygulamayı koordine etme ve ulusal mevzuatı uluslararası düzenlemelere uyumlaştırma koordinasyonu gibi oldukça geniş bir politika-yapım rolü veriyor.

(ii) “Dijital devlet kurumsal mimarisi” ve kamu BT standartları

Belki de metnin en operasyonel etkisi burada: Başkanlık, dijital devlet kurumsal mimarisini oluşturma ve kamu kurumlarının temin edeceği/geliştireceği bilişim ürün, hizmet ve sistemlerinin idari–mali–teknik niteliklerine ilişkin ilke, usul ve standartları belirleme yetkisini alıyor.

Bu, yalnızca bir “teknik rehber” yetkisi değil. Kamu tarafında standart belirleme; procurement şartnamelerine, kabul kriterlerine, entegrasyon zorunluluklarına ve dolayısıyla sözleşme risk dağılımına doğrudan yansıyan bir kaldıraçtır.

2) Kamuda yapay zekâ

192 sayılı CBK’nın en dikkat çekici yeni ekleri, kamuda yapay zekâyı politikadan veriye, uygulamadan standarda kadar uçtan uca ele alan dört başlıkta toplanıyor:

• Kamuda yapay zekâ uygulamalarına yönelik mevzuat çalışmaları ve ulusal politika/strateji/eylem planlarına katkı, ayrıca uluslararası düzenlemelerle uyumlaştırma çalışmalarına katkı.

• Veri yönetişimi: Dijital devlet ve kamuda AI kullanımı bağlamında, verinin oluşturulmasından yok edilmesine kadar süreçleri kapsayan ilke/usul/standartların belirlenmesi.

• Ortak veri alanı altyapısı ve AI uygulamalarında kullanılacak veriler için kalite kriterleri/standartları ve uygunluk süreçleri.

• Kamuda AI uygulamalarına “öncülük etme” yaklaşımıyla, gereksinimlerin kurumlarla birlikte tespiti ve uygulama ekosisteminin kurgulanması.

Bu çerçeve, pratikte iki tartışmayı kaçınılmaz kılıyor:

1. AI yönetişimi kamu içinde “merkezi” bir standarda mı bağlanacak?

2. AI için “veri”yi yöneten kurum, aynı zamanda “dijital devlet mimarisi”ni de yönettiğinde, KVKK/GDPR benzeri veri koruma yükümlülükleriyle kamu hizmeti gerekleri nasıl dengelenecek?

Burada e-Devlet ekosisteminin veri işleme gerçekliği de önemli bir arka plan sunuyor: e-Devlet Kapısı’nda kimlik, iletişim, işlem, giriş verileri gibi çok geniş bir veri setinin işlendiği, ayrıca siber güvenliğe ilişkin IP/port gibi verilerin de bu kapsamda değerlendirildiği kamu bilgilendirme metinlerinde açıkça görülüyor.

3) Teşkilat ve “kurumsallaşma” : Genel Müdürlükler ve temsilcilikler

Metin yalnızca görev eklemiyor; kurumsal kapasiteyi de büyütüyor:

• Başkanlık; Başkan + üç başkan yardımcısı şeklinde yeniden yapılandırılıyor.

• Yurtiçinde en fazla 7 temsilcilik, ayrıca yurtdışı teşkilatı kurma yetkisi tanımlanıyor.

• Başkanlığın, Cumhurbaşkanı kararıyla yurtiçinde/yurtdışında görev alanıyla ilgili şirket kurabilmesi düzenleniyor.

• Hizmet birimlerine Kamu Yapay Zekâ Genel Müdürlüğü ve Dijital Devlet Genel Müdürlüğü ekleniyor.

Şirket kurma yetkisi, özellikle “ortak ürün/hizmet/sistem geliştirme ve işletme” göreviyle birlikte okunduğunda (e-Devlet Kapısı ve ortak dijital devlet altyapıları) kamu BT’sinde işletme modeli tartışmalarını da beraberinde getirrebilir. Kamu hizmeti üretimi hangi ölçüde idari faaliyet, hangi ölçüde ticari/operasyonel faaliyet olarak kurgulanacak? Bu ayrım ihale hukuku, rekabet hukuku, şeffaflık, veri güvenliği ve sorumluluk rejimleri bakımından belirleyici olacaktır.

4) Bu düzenlemeyi “AI Act diliyle” nasıl okumalıyız?

AB Yapay Zekâ Tüzüğü (AI Act), risk-temelli yaklaşım ve yönetişim mimarisiyle (özellikle yüksek riskli sistemlerde risk yönetimi, veri yönetişimi, teknik dokümantasyon, şeffaflık ve insan gözetimi gibi eksenlerde) dünyada referans metin hâline geldi.

192 sayılı CBK’nın kamuda AI’ye dair “veri yönetişimi”, “kalite kriterleri”, “ortak veri alanı” ve “uyumlaştırma” vurgusu, Türkiye’de kamu YZ'sinin, en azından kavramsal düzeyde, bu risk temelli yönetişim diline yaklaşabileceğini düşündürüyor. Bu bir kesinlik değil, ama metnin yönü, AI’nin ‘sadece yazılım’ değil, veri ve süreç standardı olduğu gerçeğini kabul eden bir hatta işaret ediyor.

Benzer biçimde NIST’in AI Risk Management Framework (AI RMF 1.0) dokümanı, kamu kurumlarının ve tedarikçilerin “güvenilir AI” beklentisini operasyonelleştirmek için risk yönetimi, yönetişim ve ölçümleme dilini bir araya getirir. ISO/IEC 42001 ise AI yönetim sistemi standardı olarak, kurumsal tarafta denetlenebilir AI yönetişimi kurmak isteyenler için bir başka çıpa sunar.

Buradaki kritik nokta 192 sayılı CBK, bu çerçeveleri aynen ithal etmiyor, fakat kamuda AI’nin standartlarla ve veri yönetişimiyle yönetileceği bir zemini tarif ediyor.

5) LANT perspektifinden “yakın vadede” pratik etkiler

Bu metin, özellikle üç kesimde somut etki üretmeye aday olarak görüyoruz:

Kamu kurumları için: Dijital devlet mimarisi, entegrasyon standartları ve proje yönetim ilkeleri, kurum içi BT projelerinde “ben böyle yapıyorum” dönemini daraltabilir. Bu da, ihale dokümanlarından teknik kabul kriterlerine kadar birçok metni yeniden tasarlatır.

GovTech / tedarikçi ekosistemi için: Kamuya AI veya dijital hizmet sunan şirketlerin “uyum” kapsamı genişler. Sadece KVKK veya siber güvenlik kontrolleri değil, veri kalitesi, ortak veri alanı uyumu, entegrasyon standartları ve proje yönetim çerçeveleri de sözleşmesel yükümlülük hâline gelebilir.

Hukukçular ve uyum ekipleri için: Bu değişiklik, “AI sözleşmesi” denince yalnızca lisans/sorumluluk tartışmasına sıkışmadan, veri yönetişimi, kayıt/denetlenebilirlik, kamuya özgü şeffaflık ve hesap verebilirlik gereksinimlerini aynı dosyada ele alma ihtiyacını artırır. e-Devlet ekosisteminde geniş veri işleme setleri zaten bilinen bir gerçeklikken, AI’nin bu veri alanına eklenmesi risk profilini daha da karmaşıklaştıracaktır.