Anahtar kelimeler: Ddos Ataklarına Şebeke Yaşandığının Erişim Sektöründe Onüçüncü Önlemlerin Haberleşme İletişim
T.C.
D A N I Ş T A YONÜÇÜNCÜ DAİREEsas No
:█████████Karar No
:████████TEMYİZ EDEN (DAVALI)
: ... KurumuVEKİLİ
: Av. ...KARŞI TARAF (DAVACI)
: ... Hizmetleri Sanayi ve Ticaret A.Ş.VEKİLİ
: Av. ...İSTEMİN KONUSU
: ... Bölge İdare Mahkemesi ... İdari Dava Dairesi'nin ... tarih ve E:..., K:... sayılı kararının temyizen incelenerek bozulması istenilmektedir.YARGILAMA SÜRECİ
:Dava konusu istem
: Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği'nin 21. maddesinin 1. fıkrasına aykırı olarak, █████/2015 ile █████/2015 tarihleri arasında gerçekleşen DDos ataklarına karşı yeterli önlemlerin alınmaması sonucunda internet erişim hizmetlerinde kesintiler yaşandığının tespit edildiğinden bahisle, davacı şirket hakkında Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği'nin 19. maddesinin birinci fıkrası ve 44. maddesi uyarınca 2014 yılı net satış tutarının (4.516.119,36-TL) % 0,1 (binde bir)'i oranında idari para cezası verilmesine ilişkin ... tarih ve ... sayılı Bilgi Teknolojileri ve İletişim Kurulu (Kurul) kararının 2. maddesi ile söz konusu karar uyarınca düzenlenen 4.516,12-TL tutarındaki ... tarih ve ... sayılı ücret tahakkuk fişinin iptali ve bu işlemler nedeniyle ödediği 3.387,09-TL'nin ödeme tarihinden itibaren işleyecek tecil faiziyle birlikte iadesine karar verilmesi istenilmiştir.İlk Derece Mahkemesi kararının özeti
: ... İdare Mahkemesi'nce verilen ... tarih ve E:..., K:... sayılı kararda; █████/2014 tarih ve 28914 sayılı Resmî Gazete'de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği uyarınca söz konusu yönetmeliği ihlâl eden işletmecilerin idari para cezası verilmeden önce uyarılması gerektiği, uyarı mekanizmasının 5809 sayılı Elektronik Haberleşme Kanunu'nda sayılmayan ancak işletmecilerin daha dikkatli ve özenli çalışmasını sağlamaya yönelik, idari para cezası verilmeden önce tüketilmesi gereken bir usûli bildirim niteliğinde olduğu, böylece ihlâle konu fiille yaptırım arasında adil bir denge sağlanmaya çalışıldığı anlaşıldığından, davacı şirketin idari para cezasıyla cezalandırılmadan önce uyuşmazlığa konu fiili nedeniyle uyarılması gerekirken doğrudan idari para cezasıyla cezalandırılmasına ilişkin dava konusu işlemde hukuka uygunluk bulunmadığı sonucuna varılmıştır.Belirtilen gerekçelerle, hukuka aykırı bulunan dava konusu işlemin iptaline, 3.387,09-TL'nin ödeme tarihi olan █████/2017 tarihinden itibaren işleyecek yasal faiziyle birlikte davacıya iade edilmesine karar verilmiştir.Bölge İdare Mahkemesi kararının özeti
: ... Bölge İdare Mahkemesi ... İdari Dava Dairesi'nce; uyarı yaptırımı, para cezasına nispetle daha hafif olmakla birlikte, idarenin düzenleyici işlemi ile kanun koyucu tarafından açıkça yaptırım olarak para cezası öngörülen fiiller hakkında, yaptırım türünün değiştirilmesinin mümkün olmadığı, bu itibarla, █████/2014 tarih ve 28914 sayılı Resmî Gazete'de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği ile kanunilik ilkesine aykırı olarak 5809 sayılı Kanun'da yer almayan "uyarı" yaptırımının getirildiği, "uyarı" yaptırımının hukukî dayanağı bulunmadığı, bu itibarla, Mahkeme tarafından belirtilen gerekçeyle dava konusu işlemin iptaline karar verilmesinde hukukî isabet bulunmadığı;Dava konusu işlemin, davacı şirketin DDOS (dağıtık hizmet durdurma saldırıları) ataklarına karşı alması gereken tedbirlerin ne olduğu konusunda somut bir gerekçe ortaya koyulmadan tesis edildiği, dava dosyasına da davacının söz konusu saldırılara karşı hangi tedbirleri almayarak internet erişim hizmetinde kesinti yaşanmasına neden olduğuna dair somut bir bilgi ve belge sunulmadığı, salt davacıdan internet hizmeti alan kullanıcıların internet hizmetlerinin kesintiye uğraması nedeniyle davacının DDOS ataklarına karşı gerekli tedbirleri almadığı sonucuna ulaşıldığı anlaşıldığından, dava konusu işlemde bu gerekçeyle hukuka uygunluk bulunmadığı sonucuna varılmıştır.Açıklanan nedenlerle, 2577 sayılı İdari Yargılama Usulü Kanunu'nun 45. maddesinin 3. fıkrası uyarınca istinaf başvurusunun yukarıda belirtilen gerekçeyle reddine karar verilmiştir.TEMYİZ EDENİN İDDİALARI
: Davalı idare tarafından, siber güvenliğe ilişkin önlemlerin alınmadığı ve internet erişim hizmetlerinde kesintiler yaşandığı hususunun tutanaklarla somut bir şekilde tespit edildiği, Kurumlarından yetkilendirme almak suretiyle elektronik haberleşme hizmeti sunan davacı şirketin şebekelerinin tehditlerden korunması ve şebekeleri kullanan sistem ve uygulamaların güvenliğinin sağlanması amacıyla gerekli tüm tedbirleri almakla yükümlü olduğu, dava konusu uyuşmazlık kapsamında alınan tedbirlerin yetersiz olduğu, "gerekli önlemleri alma" yükümlülüğünün gerek mevzuatta gerek uluslararası düzenlemelerde yer aldığı, söz konusu tedbirlerin neler olduğunun belirtilmesinin istenmesinin hem teknolojinin gelişim hızına hem de uluslararası düzenlemelere uygun olmadığı, söz konusu önlemlerin şebekeye yönelik her bir tehdit, güvenlik açığı ve saldırıya karşı farklılaşabildiği ve somut durum ve koşulların özelliklerine göre işletmecinin kendisi tarafından belirlenmesinin gerektiği, alınan tedbirlerin gerekli ve yeterli olup olmadığının değerlendirilmesinde ise işletmecinin şebekesini tehdit eden bir saldırıyı gerektiği şekilde bertaraf edip edemediği ve saldırı sonucunda ortaya çıkan sonuçların yol gösterici olduğu, dolayısıyla siber saldırılara karşı alınacak donanımsal veya yazılımsal veya bunların kombinasyonları şeklinde alınabilecek farklı birçok önlem bulunduğu, her geçen gün çeşitliliği artan siber saldırılara karşı mevzuatla kazuistik düzenlemeler yapılmasının uygulanabilir olmadığı, önemli olanın şebeke güvenliğinin sağlanması olduğu, tedbirlerin ne olduğunun tek tek sayılmasının gelişen teknoloji karşısında mümkün olmadığı ileri sürülmektedir.KARŞI TARAFIN SAVUNMASI
: Davacı tarafından, dava konusu işlemin, şirketlerince alınması gereken hangi önlemin alınmadığı belirtilmeksizin tesis edildiği, DDOS saldırılarına karşı şebekesini korumak üzere Superonlıne firmasından saldırı engelleme hizmeti satın almış olmasının mevcut durumda alabileceği en üst düzey önlem olduğu, davalı idarece alınması gereken önlemlere ilişkin herhangi bir açıklama yapılmadığı, somut gerekçe ortaya koyulmadığı, davalı idarenin temyiz dilekçesindeki iddialarının soyut olduğu belirtilerek istemin reddi gerektiği savunulmuştur.DANIŞTAY TETKİK HÂKİMİ ...'IN DÜŞÜNCESİ
: Temyiz isteminin reddi ile usul ve yasaya uygun olan Bölge İdare Mahkemesi kararının onanması gerektiği düşünülmektedir.TÜRK MİLLETİ ADINAKarar veren Danıştay Onüçüncü Dairesi'nce, Tetkik Hâkiminin açıklamaları dinlendikten ve dosyadaki belgeler incelendikten sonra gereği görüşüldü:HUKUKİ DEĞERLENDİRME
:Bölge idare mahkemesi kararlarının temyizen bozulması, 2577 sayılı İdari Yargılama Usulü Kanunu'nun 49. maddesinde yer alan sebeplerden birinin varlığı hâlinde mümkündür.Temyizen incelenen karar usul ve hukuka uygun olup, dilekçede ileri sürülen temyiz nedenleri kararın bozulmasını gerektirecek nitelikte görülmemiştir.KARAR SONUCU
:Açıklanan nedenlerle;1. Davalının temyiz isteminin reddine,2. Dava konusu işlemin yukarıda özetlenen gerekçeyle iptaline ve ...-TL'nin ödeme tarihi olan █████/2017 tarihinden itibaren işleyecek yasal faiziyle birlikte davacıya iade edilmesine ilişkin İdare Mahkemesi kararına yönelik istinaf başvurusunun gerekçeli olarak reddi yolundaki ... Bölge İdare Mahkemesi ... İdari Dava Dairesi'nin ... tarih ve E:..., K:... sayılı temyize konu kararında, 2577 sayılı İdari Yargılama Usulü Kanunu'nun 49. maddesinde sayılan bozma nedenlerinden hiçbirisi bulunmadığından, anılan Bölge İdare Mahkemesi kararının ONANMASINA,3. Temyiz giderlerinin istemde bulunan üzerinde bırakılmasına,4. Posta giderleri avansından artan tutarın davalıya iadesine,5. 2577 sayılı Kanun'un 50. maddesi uyarınca, bu kararın taraflara tebliğini ve bir örneğinin de ... Bölge İdare Mahkemesi ... İdari Dava Dairesi'ne gönderilmesini teminen dosyanın ... İdare Mahkemesi'ne gönderilmesine, █████/2024 tarihinde kesin olarak oybirliğiyle karar verildi.